On November 15, 2009 08:51:38 [email protected] wrote: > Habe heute im Firewall-Protokoll meines IPCop gesehen, dass Skype versucht > beim Start über den UDP Port 14774 Daten an die folgenden IPs zu versenden:
Und das wird nicht der einzige Port sein, den dein Skype probiert und auch nicht die einzigen IPs. > 79.219.93.115 = DTAG-DIAL24 Deutsche Telekom AG DEUTSCHLAND Dialin, also ein user wie du und ich. > 188.16.124.26 = Dynamic distribution IP's for broadband services Russian > Federation RUSSIA Dialin. Ob du es glaubst oder nicht, die Russen haben auch ISPs und ganz normale Menschen, die online gehen :) > 65.184.19.101 = Road Runner HoldCo LLC USA Road Runner ist ein US ISP > 188.34.13.66 = ASRETELECOM IRAN Eine dialup IP im Iran. Hier gilt dasselbe wie bei Russland. > ist das für mich unschädlich. Im Gegenteil. Fuer Skype ist es erst einmal schaedlich, dass du alle Ports sperrst, denn Skype hat keine festen Ports. Skype verwendet aber ein paar Methoden, um trotz deiner Sperren zu komunizieren, wie es ihm beliebt. > Mich interessiert allerdings, warum Skype Daten nach Russland und in den > Iran versenden will? Das liegt daran, wie Skype funktioniert. Skype nutzt ein Peer-To-Peer Protokoll. Das heisst es gibt keinen festen Server, ueber den alles versendet wird, wie etwa bei ICQ, MSN oder AIM etc. Google einfach mal nach Peer to Peer Netzwerken und Protokollen, dann wirst du verstehen, wieso Skype "Daten nach Russland und in den Iran versenden will". In kurz gleich hier, vielleicht hilft das ja schon zum Verstaendnis: Bei einem P2P-Netzwerk kommuniziert jeder mit jedem. Willst du mit mir telefonieren oder chatten ueber Skype, schicken wir nicht beide eine Nachricht an den Server, und der Server schickt es an mich und dich weiter, sondern wir schicken einfach direkt Nachrichten zwischen uns hin und her. Es gibt zwei Moeglichkeiten, wieso da jemand nach Russland und in den Iran (und in die USA und nach Deutschland) sendet. Ein solches Netzwerk hat natuerlich Probleme zu wissen, wer denn alles online ist und welcher Skype-Name sich hinter welcher IP versteckt usw. Wuerde dein Skype einfach an alle IPs im Internet eine Anfrage stellen, ob denn da eventuell dein Freund hinter steckt, mit dem du chatten willst, wuerdest du nie fertig. Daher muss es natuerlich immer noch so etwas wie einen Server geben. Das sind die sogenannten Super-Nodes. Diese uebernehmen ein paar mehr Aufgaben, als nur zu chatten und zu reden. Mit diesen Super-Nodes wollen natuerlich nun alle andere Skype Clients reden, um Informationen zu erhalten. Die Super Nodes koennen natuerlich auch offline gehen, daher sind Super Nodes nicht fest, sondern jeder Skype Client kann im Prinzip zur Super-Node werden. Natuerlich waehlt Skype das nach Kriterien, wie verfuegbarer Kapazitaet der Rechners und der Netzwerkverbindung geschickt aus. Es kann also zum Beispiel sein, dass diese IPs alle zu Rechnern gehoeren, die Super-Nodes waren, als du offline gegangen bist. Nun macht Skype aber noch etwas anderes, um sich gegen solche Leute wie dich zu wehren, die einfach alle Ports sperren. Haetten alle Leute alle Ports gesperrt, koennte Skype natuerlich nicht mehr funktionieren. Daher kann es alle deine Kommunikation einfach ueber Umwege umleiten. Nehmen wir mal an, du und ich wollen reden, aber wir haben beide alle eingehenden Ports gesperrt und du hast auch noch alle ausgehenden Ports gesperrt. Skype hat jetzt keine Chance von dir aus zu mir direkt zu verbinden, um die Chat-Nachricht abzuliefern. Aber halt! Natuerlich hast du nicht alle Ports gesperrt! Du erlaubst es natuerlich, Anfragen auf zum Beispiel Port 80 zu verschicken, denn du willst ja surfen. Oder auf Port 25, denn du willst ja EMails verschicken. etc. Skype sucht sich jetzt also einen Port heraus, auf dem es durch deine Firewall versenden kann, sagen wir einmal Port 80. Natuerlich ist auf meiner Seite Port 80 eingehend gesperrt, bzw. knallt auf meinen Router. Wir koennen also immer noch nicht reden. Stattdessen schickt Skype die Nachricht jetzt einfach von dir aus zu irgendeinem anderen Skype, zum Beispiel im Iran oder in Russland auf Port 80, denn irgendwo gibt es sicher jemanden, der auf Port 80 Skype Nachrichten annehmen kann. Der wiederum hat mit einer Super-Node Verbindung, ich habe mit einer Super-Node Verbindung und auf diesem Wege kann die Nachricht weitergeleitet werden. Das ist alles total ineffizient, aber dafuer kommt die Nachricht durch, selbst wenn unsere beiden Firewalls fast komplett dicht sind. Port 80 war natuerlich nur ein Beispiel. Skype nimmt was auch immer du ihm anbietest und irgendwas musst du ihm anbieten, denn du willst ja selber mit der Welt kommunizieren. Du siehst also, du hast keine Chance mit deiner Firewall Skype zu verbieten, das zu tun, was es will. Alex -- Linux mailing list [email protected] subscribe/unsubscribe: http://lug-owl.de/mailman/listinfo/linux Hinweise zur Nutzung: http://www.lug-owl.de/Mailingliste/hints.epo
