* Gert Doering: > Aus Sicht des Technikers ist mir P2P ein Aergernis, weil die verfuegbare > Software so grottig schlecht ist, dass sie oft nicht vom typischen Muster > eines massiven Virus-Ausbruchs zu unterscheiden ist ("unendliche Mengen > von Kommunikationsversuchen zu Adressen, wo definitiv keiner ist"), und > als solche haufenweise Fehlalarme in den Systemen ausloest, die der ISP > installiert, um bei groesseren Problemen (wie z.B. "Code Red" oder "Nimda", > wo einige Netze aufgrund zu langsamer Erkennung des Problems einfach > zusammengebrochen sind) schnell genug reagieren zu koennen.
Richtig lustig wird es, wenn Du viele Kunden aus Asien hast, die File-Sharing-Programme einsetzen, die in der westlichen Welt niemand kennt und die nicht auf deutsch/englisch/französisch/spanisch/russisch dokumentiert sind. Vshare ist so ein Fall. Auf der anderen Seite fand ich es nicht besonders schwierig, die Heuristiken so zu drehen, daß "nmap -iR" quasi sofort anschlug (und hauptsächlich sequentielle Scans nach einer Weile), die P2P-Verbindungsbauer aber nicht: Verkehr zu nicht geroutetem Adreßraum außerhalb der RFC1918-Netze stärker gewichten. (Heutzutage ist das wegen der Abnahme des nicht geroutetem Adreßraums vermutlich nicht mehr ganz so wirksam.) Daneben gewichteten wir auch die üblichen Ports etwas höher, um dort schneller zuschlagen zu können. Alles in allem war das absolut krude (wenn man es mal mit Papers in RAID vergleicht), aber für rund 15.000 Hosts recht wirksam. Wir hatten allerdings auch eine, seit Jahren nicht mehr verwendete Adresse, die ständig von fremden P2P-Clients kontaktiert wurde, ohne daß das einen offensichtlich Grund gehabt hätte. Vermutlich verwendete jemand unseren Adreßbereich hinter unvollständigem NAT (das die in P2P-Protokolle eingebetteten Adressen nicht umsetzte). Insofern: Ich kann verstehen, was Du meinst, aber ich halte *diese* Probleme nicht für unüberwindbar. Weniger lustig wird es, wenn über Filesharing-Netze in signifikantem Maße Kontrollkommunikation ausgetauscht wird (momentan gilt noch "if you want to stay unnoticed, make it look like a worm"). Bei einer solchen Entwicklung gibt es allerdings auch neue Chancen, Daten über Angriffe zu gewinnen. -- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]