martinxx
Goto Top

WLAN-Mitnutzer: andauernd

Hallo,
obwohl ich darauf hingewiesen hatte (nix illegales, auch kein Filesharing) und alles bestätigt wurde, habe ich etwas Sorge mit den AKtivitäten eines WLAN-Mitnutzers (Nachbar, kenne ich so gut wie nicht). www-Seiten werden kaum aufgerufen, stattdessen seh ich im Log von dd-wrt dauernd "komische Ports". Auf den IPs läuft ja meistens kein www-Dienst und so kann ich nicht feststellen, was das eigentlich ist. Kann hier ein Crack helfen? Ist das wahrscheinlich emule etc? Oder "nur" VoIP - oder was ganz anderes?
Hier mal ein Auszug (der letzte Eintrag ist die Portnummer, bei www (Port 80) stände da einfach nur "www")


192.168.0.34 172.182.84.177 39912
192.168.0.34 128.255.71.102 55513
192.168.0.34 68.62.116.149 40792
192.168.0.34 24.131.141.71 24719
192.168.0.34 24.81.85.41 63105
192.168.0.34 142.165.220.94 22538
192.168.0.34 199.212.65.169 5752
192.168.0.34 140.113.216.226 3768
192.168.0.34 129.64.171.109 2107
192.168.0.34 155.207.26.247 33343
192.168.0.34 85.206.166.199 14979
192.168.0.34 24.131.141.71 24719
192.168.0.34 155.207.26.247 33343
192.168.0.34 129.64.171.109 2107
192.168.0.34 24.131.141.71 24719
192.168.0.34 129.64.171.109 2107
192.168.0.34 24.131.141.71 24719
192.168.0.34 67.173.142.144 41367
192.168.0.34 128.174.154.177 47050
192.168.0.34 208.59.112.35 4491
192.168.0.34 59.189.181.212 64971
192.168.0.34 194.19.174.88 61139
192.168.0.34 218.228.161.169 30043
192.168.0.34 71.113.225.111 37544
192.168.0.34 85.165.197.108 27704
192.168.0.34 69.81.97.116 23450
192.168.0.34 81.11.198.33 44045
192.168.0.34 67.62.251.121 44034
192.168.0.34 202.127.184.164 15129
192.168.0.34 35.10.235.52 48894
192.168.0.34 24.59.26.187 42416
192.168.0.34 212.149.212.97 1679
192.168.0.34 60.45.123.3 3432
192.168.0.34 219.105.89.76 2972
192.168.0.34 147.156.140.122 2233
192.168.0.34 219.105.89.76 2972
192.168.0.34 82.81.254.191 19173
192.168.0.34 217.153.84.10 8617
192.168.0.34 163.26.20.9 2351
192.168.0.34 58.188.51.181 1171
192.168.0.34 71.57.21.3 57382
192.168.0.34 137.82.22.134 25539
192.168.0.34 24.149.176.109 8379
192.168.0.34 68.61.73.195 42431
192.168.0.34 80.213.170.75 53709
192.168.0.34 71.57.21.3 57382
192.168.0.34 81.229.64.91 12204
192.168.0.34 140.113.21.33 59101

Content-ID: 28442

Url: https://administrator.de/contentid/28442

Ausgedruckt am: 25.11.2024 um 20:11 Uhr

stpe
stpe 18.03.2006 um 00:29:36 Uhr
Goto Top
Eine TCP-Verbindung erfolgt auf folgende Weise:

- Der Client bittet über einen nichtpriviligierten Port (also Portnummer > 1024) auf dem Serverport (bei WWW also 80) auf eine Verbindung.
- Der Server bietet dem Client einen Port >1024 an.
- Die folgende Kommunikation erfolgt über diese Ports.

Die Ports scheinen also einfach "ausgehandelt" worden zu sein.
martinxx
martinxx 18.03.2006 um 00:37:43 Uhr
Goto Top
danke, nur was heisst das jetzt? die Verbindungen kamen so übrigens in kürzester Zeit hintereinander, da war kein www-port dazwischen (leiter loggt dd-wrt nicht die zeit, zumindest hab ichs noch nicht rausgefunden). Hab halt etwas Sorge, dass der laufend Mist baut...
(überschrift sollte übrigens heissen: andauernd "komische ports")

grüße
16568
16568 18.03.2006 um 00:47:57 Uhr
Goto Top
Sieht für mich ganz klar nach BitTorrent aus...


Lonesome Walker
lwinkler
lwinkler 18.03.2006 um 02:10:05 Uhr
Goto Top
Ich denk auch, daß es Filesharing Transfer ist, da viele der gelisteten IPs aus .jp und .tw kommen. Auf keinem der getesteten läuft ein Webserver (TCP 80).

Die IPs kannst Du übrigens auf Seiten wie http://www.dnsstuff.com/pages/expert.htm unter Reverse DNS lookup auflösen und sehen, wo diese herkommen. Die meisten scheinen aus Dialin IP Pools zu stammen (DFü, DSL, usw.)

Nun kommt es aber auch an, was das Log darstellt. Ausgehende Verbindungen oder eingehende. Womit hast Du das Log erstellt? Programm? Router?
martinxx
martinxx 18.03.2006 um 02:27:17 Uhr
Goto Top
Das ist das Log des Routers (WRT54 mit firmware DD-WRT, "outgoing log table"). Weil ich woanders darauf hingewiesen wurde, dass das mitloggen ohne Einverständnis strafbar wäre: Weiss ich schon, und ich logge auch nicht mit. Hatte nur einen Blick darauf geworfen nach Routerwechsel (andere Router protokollieren meist ja nur den Port 80).
Vielleicht kündige ich ihm, 10 EUR/Monat sind mir den Stress nicht wert (im schlimmsten Fall Hausdurchsuchung und Abtransport, selbst wenn man mir nachher nichts nachweisen kann...)

oder könnt es evtl. skype etc sein (hätte ich kein problem mit)? Das sind ja auch P2P-Netzwerke...
10545
10545 18.03.2006 um 06:44:19 Uhr
Goto Top
Moin,

ich denke ebenfalls (wie meine Vorredner) an Filesharing. Ich tippe hier allerdings auf den Esel ...

2 Möglichkeiten:

1. (Die sichere und rechtlich korrekte)
Hinweis auf die Vereinbarung und entsprechende "Abmahnung"! Bei Wiederholung => Fristlose Kündigung der Vereinbarung und Zugangssperre!

2. (Die technische Lösung)
Blocke doch einfach alle Port außer www (80,443) und E-Mail (25,110) (evtl. noch FTP? [20,21]
Nachteil: Manche FS-Programme nutzen dann Port 80 als FW-Umgehung ...

Anhand der Logfiles frage ich mich sowieso, ob Du keine Firewall aktiviert hast?! Das ist "grob fahrlässig" face-wink

Gruß, Rene
cykes
cykes 18.03.2006 um 07:14:57 Uhr
Goto Top
Hi,

da Du auf Deinem Linksys (?) Router ja bereits eine alternative Firmware installiert hast,
kannst Du ja z.B. mal seine zugesicherte Bandbreite beschränken, wenn er sich dann
beschwert, weist Du ihn auf Eure Vereinbarung hin.

Ganz allgemein ist es rechtlich sowieso gefährlich, seinen Internetzugang Dritten ausserhalb
des eigenen Haushalts zur Verfügung zu stellen, da Du dann (den vermutlich privaten
Zugang/Flatrate) ja eigentlich gewerblich nutzt und als (Sub)Provider auftritts.
Das kann Dir u.a. auch Ärger mit Deinem Provider einbringen, von dem Stress bezgl. Nutzung
von nicht legalen Inhalten mal ganz abgesehen. In jedem Fall bist DU als erster haftbar,
wenn es irgendwelche Streitpunkte gibt. Dann bist Du in der Beweispflicht.

Wenn man dann die 10?/Monat im Verhältnis sieht ist das den möglichen Stress nicht
wirklich wert.

Du könntest ausserdem das ganze komplett gegen Filesharing absichern, in dem Du
einerseite für seine IP die Anzahl der maximal zu öffnenden Port pro Sekunde beschränkst,
die Fireall aktivierst (wie schon erwähnt), und als letzte Möglichkeit auf einem Deiner
Rechner, der dann aber ständig laufen muss, einen Proxy installierst, über den alle HTTP
Verbindungen laufen, in dem Fall kannst Du Port 80 nämlich im Router nur für die IP dieses
Rechners erlauben und Dein Kollege muß dann im Browser die IP des Proxies eintragen.
Filesharing über Proxy funktioniert nämlich nicht wirklich gut face-wink

Gruß

cykes
martinxx
martinxx 18.03.2006 um 10:53:43 Uhr
Goto Top
Anhand der Logfiles frage ich mich sowieso,
ob Du keine Firewall aktiviert hast?! Das
ist "grob fahrlässig" face-wink

Danke für alle Hinweise. Also jetzt hab ich ncoh bemerkt, dass in diesen Logs wohl auch die geblockten und "gedroppten" Pakete auftauchen, allerdings ohne dass man weis, was was ist.
Hab jetzt mal nur auf "accepted packets" umgestellt.
Vielleicht waren das also alles nur "rejectete"? Werde es noch weiter beobachten..
Zu der Providerfrage: bei t-online ist Routerbetrieb und mehrere Nutezr ausdrücklich erlaubt, wenn nun der andere einen Anteil meiner Zugangskosten bezahlt kann man m.E. noch lange nicht von "Providertätigkeit" sprechen. Großer Gewinn ist ja auch nciht, eher nur Ärger.
Aber als Provider hat man es auch wiederum gut: man st für durchgeleitete Inhalte nicht verantwortlich, solange man sie nicht initiiert...
Firewall das Routers ist natürlich eingeschaltet..
QoS scheint bei dd-wrt noch nciht so toll zu funktionieren, ich könnte seine MAC auch nur auf "bulk" stellen (niedr. Priorität). Das hilft nichts, wenn zB nichts los ist, hat er dann doch volle..
Die max. ANzahl der Ports kann man, soweit ich sehe nur global einstellen.
Allerdings gibt es auch die Möglcihkeit, P2P und L7 zu blocken, scheint aber irgendwie nciht zu gehen, zumindest konnte ich bei einem test mit emule auf meinem Rechner noch connecten (zwar nur low id, aber trotzdem...)
cykes
cykes 18.03.2006 um 12:30:55 Uhr
Goto Top
Hi,

es ist aus rechtlicher Sicht eine Provider-Tätigkeit. Dir gehört der Anschluß, der Mitbenutzer
ist kein Mitglied Deines Haushalts udn auch kein Familienmitglied, wenn ich das richtig
verstanden habe. Somit trittst Du als Provider ihm gegenüber auf, da Du den Internet
Zugang für ihn zur Verfügung stellst. Das dürfte nur im Streitfall relevant werden.
Ich wollte Dich ja auch nur warnen, sollte keine Rechtberatung sein,
die ich auch gar nicht geben darf. Insbesonderer wenn der "Gast"-Benutzer halt irgendetwas
uneralubtes über Deinen Anschluß macht bist Du ind er BEweispflicht, das könnte
für Dich schwierig werden.

Gruß

cykes
10545
10545 18.03.2006 um 14:13:32 Uhr
Goto Top
Hi,

es ist aus rechtlicher Sicht eine
Provider-Tätigkeit. Dir gehört der
Anschluß, der Mitbenutzer
ist kein Mitglied Deines Haushalts udn auch
kein Familienmitglied, wenn ich das richtig
verstanden habe.

Hast Du face-wink
Du liegst vollkommen richtig.

Gruß, Rene
stang
stang 31.03.2006 um 10:24:19 Uhr
Goto Top
Du machst dir zu guter Recht Gedanken darüber was en Mitbewohner so treibt. Das sind fr mich typische anzeichen eines oder mehrerer Filesharing Programme. Es sind duchaus merkwürdige Ports. Aber hast du dir mal überlegt ob diese Person mit Online Gaming zu tun hat. Da wird ebenfalls auf Teamspeakserver und verschiedene Gameserver connected die nichts mit www (Port 80) zu tun haben. Mache dir darüber auch mal Gedanken ob das nicht eher der Fall ist. Sicherlihc verwenden viele Filesharing Programme, aber man darf nicht alles gleich darauf zurückschließen.