Jump to content


Friends, we are happy to invite you to our NEW Global Kaspersky Club! Please follow this link www.kasperskyclub.com , sign-in and enjoy our new platform!


Photo

P2P Experten sind gefragt ...


  • Please log in to reply
28 replies to this topic

#16 redbull21

redbull21

    Crew Chief

  • Global Moderators
  • PipPipPipPip
  • 494 posts

Posted 13 July 2007 - 07:30 PM

Wie auch immer ... ich werde mir noch einmal die KIS-Standardregeln zu Gemüte führen, denn mit diesen hattest Du ja nie "Remoteport 0" Anfragen

Ich hatte weder mit den KIS-Vorlageregeln, noch mit meinen eigenen Regeln diese Anfragen.

Nochmal zu den KIS Standardregeln: Welche Probleme gab es denn bei Dir? Ich hatte, wie schon erwähnt, mein OS-Image zurückgespielt, die 48A installiert, die KIS .125 Regelvorlage implementiert und wurde von Meldungen und "gelben Pfeilen" fast erschlagen! (Nur KAD war immer grün)

Mit den KIS-Vorlageregeln ist das bei mir genauso. KAD immer grün und ED2k wird irgendwann grün, nachdem man die x-te Anfrage erlaubt hat. Trotzdem geht es aber munter weiter. Ich glaube, das sind alles Verbindungsversuche mit den Servern, die in der Liste stehen, sonst wären ja zu den Servern keine Daten in der Liste. Die müssen ja irgendwo herkommen. Wenn man in den emule-Einstellungen unter Server die Option "Server-Adressen vom verbundenen Server beziehen" deaktiviert, dann ist, nachdem man die Verbindung zum automatisch ausgewählten Server erlaubt hat, erstmal Ruhe und man hat eine hohe ID. Das Meldungs-Theater geht aber sofort von vorne los, sobald man einen Download startet, egal ob aus ED2k- oder aus KAD-Quellen.

In drastischen Worten: Die KIS-Vorlageregeln für emule sind, jedenfalls im Trainingsmodus, unbrauchbar.
Vegetarier essen keine Tiere, aber sie fressen ihnen das Futter weg. (Robert Lembke)

#17 TwinBit

TwinBit

    Crew Chief

  • Gold Beta Tester
  • PipPipPipPip
  • 411 posts

Posted 13 July 2007 - 09:56 PM

Hm ... komisch das Ganze.

Vielleicht stammt das "Regelwerk" noch aus einer länger zurückliegenden eMule Version, aber dann müsste sich ja so einiges verändert haben - keine Ahnung - da fehlt mir die Erfahrung. Bis jetzt bleiben die Remoteport 0 Anfragen komplett aus, wer weiß woran es gelegen hat.

#18 TwinBit

TwinBit

    Crew Chief

  • Gold Beta Tester
  • PipPipPipPip
  • 411 posts

Posted 20 July 2007 - 02:10 AM

Da ich noch immer nicht herausgefunden hatte was es mit Remoteport 0 auf sich hat, habe ich heute mal etwas verrücktes getan. Ich habe bei der Ersten Anfrage von eMule versuchsweise "jede Aktivität" gewählt. Jetzt bekomme ich keinerlei Meldungen/Anfragen mehr - allerdings "Remoteport 0 Anfragen" kommen noch immer ... So langsam kapiere ich gar nichts mehr! :yes:

rmp1_0.png

#19 redbull21

redbull21

    Crew Chief

  • Global Moderators
  • PipPipPipPip
  • 494 posts

Posted 20 July 2007 - 03:48 AM

Ich auch nicht. Leider kann ich dir da keinen weiteren Rat geben.

Ich stelle nur gerade fest, dass meine Regeln scheinbar nicht mehr reichen. UDP eingehend war bisher für lokalen Port 4672 erlaubt, der in meinen emule-Einstellungen für UDP festgelegt ist. Hatte damit nie Anfragen, aber plötzlich meldet KIS nun UDP eingehend auf andere lokale Ports. Ich möchte aber keine "allow all-Regel" für emule. Jetzt habe ich mal ne Blockregel "Verbiete UDP eingehend" als letzte Regel gesetzt. Scheint zu funktionieren, es kommen keine Meldungen mehr und die ID ist immer noch hoch.
Vegetarier essen keine Tiere, aber sie fressen ihnen das Futter weg. (Robert Lembke)

#20 TwinBit

TwinBit

    Crew Chief

  • Gold Beta Tester
  • PipPipPipPip
  • 411 posts

Posted 20 July 2007 - 04:22 AM

Wie gesagt, mit der "Jede Aktivität" Regel kommen nur noch Remoteport 0 Anfragen - alle anderen (die sich auch bei mir plötzlich von einem Tag auf den anderen häuften) bleiben aus. Ich habe diese Regel ja auch nur aus schierer Neugier ausprobiert, wollte sehen was passiert. Ich habe ein wenig mit "Netstat" und den diversen Schaltern gespielt. Netstat -b zeigt mir auch den vom jeweilgem User genutzten Port (also meinen Lokal Port) an, nur finden konnte ich darin noch keine IP-Adresse eines Remoteport 0 Users. KIS zeigt mir auch an das über die IP-Adresse solcher User Datenverkehr statt findet, nur koonnte ich hier den entsprechenden Port nicht zuordnen. Aber ich bekomme das noch raus! :yes:

#21 redbull21

redbull21

    Crew Chief

  • Global Moderators
  • PipPipPipPip
  • 494 posts

Posted 20 July 2007 - 05:12 AM

Bei deiner Hartnäckigkeit glaube ich das. :yes:

Wie es aussieht, konnte ich mein Problem gerade durch Ausführen dieser Anleitung lösen. Jedenfalls erhalte ich auch nach Deaktivieren meiner Blockregel nun keine Anfragen mehr. Frag mich jetzt bloß nicht warum. Ich bin da auch nur durch Zufall beim Stöbern drauf gestoßen. Es muss wohl mit dem ständigen Aktualisieren der dynamischen Serverliste zusammenhängen, was beim Umstieg auf eine feste Serverliste nicht mehr oder vielleicht auf andere Art stattfindet. Außerdem soll die feste Liste keine Fakeserver enthalten, die sich scheinbar immer mehr verbreiten.
Vegetarier essen keine Tiere, aber sie fressen ihnen das Futter weg. (Robert Lembke)

#22 TwinBit

TwinBit

    Crew Chief

  • Gold Beta Tester
  • PipPipPipPip
  • 411 posts

Posted 20 July 2007 - 05:44 AM

Boah ... cool :yes:

Ich schreibe gerade an einem Beitrag fürs englische (Haupt) Forum weil ich sehen möchte ob dort vielleicht ähnliche Probs bekannt sind. Das Ganze wollte ich auch noch in unserem (Haupt) Forum posten. Ich spare mir das vorerst und probiere es auch erstmal mit der Anleitung. Das Problem ist aber immer, (scheinbar erst seit kurzem) dass es mit einer vermeintlichen Lösung eine ganze Weile gut geht um dann wieder "voll daneben" zu sein. ;) Mal sehen wie es funktioniert - doch jetzt mach ich Feierabend ;) Bis morgen dann.

#23 TwinBit

TwinBit

    Crew Chief

  • Gold Beta Tester
  • PipPipPipPip
  • 411 posts

Posted 22 July 2007 - 05:53 AM

So, mein lieber Herr Red ... :lol:

ich habe nun einige Zeit mit obiger Anleitung getestet. Noch gibt es keinerlei Probleme mit irgendwelchen Anfragen. DL + UL scheint mir normal zu sein. Ich hatte beide "Systeme" immer im grünen Bereich (HI-ID) und auch sonst keinerlei Auffälligkeiten. Allerdings ist mein Remoteport 0 Problem noch immer existent. :rolleyes: Aber das ist wohl wirklich ein "Sonderfall" den ich, genau wie mein "Symbolleistenproblem" irgendwann noch in den Griff bekommen werde. Achso ... Ich habe die Anleitung "nur" mit den nicht-gerade-so-tollen-KIS-Vorgaberegeln getestet, aber ab morgen teste ich das Ganze auch mal mit den "RedBull21-Regeln" und werde mich dann wieder melden ... :)

#24 TwinBit

TwinBit

    Crew Chief

  • Gold Beta Tester
  • PipPipPipPip
  • 411 posts

Posted 21 October 2007 - 02:57 AM

Hi,

ich muß diesen alten Thread noch einmal aufgreifen. Da ich zur Zeit wieder am testen bin, wollte ich (da das Problem mit "Remoteport 0" noch immer besteht) die Überlegung mit einer Verbotsregel Beitrag #7 und Beitrag #8

Verbieten ausgehende (Strom) UDP Verbindungen, wobei Remoteport: 0

für die svchost.exe in die Tat umsetzen. Leider funktioniert das nicht so ganz. Es sind nur Ports von 1-65535 möglich. :)
Ich werde versuchen eine Lösung im offiziellem Forum zu finden, bin aber für weitere Tipps und Hinweise dankbar.

#25 redbull21

redbull21

    Crew Chief

  • Global Moderators
  • PipPipPipPip
  • 494 posts

Posted 21 October 2007 - 02:13 PM

Es sind nur Ports von 1-65535 möglich. :)

Ach du Schande, das war mir gar nicht bewusst. :) Gibt es da einen logischen Grund dafür? Ich weiß es nicht. Vielleicht, weil er irgendwie eine Sonderstellung einnimmt. Siehe Tabelle hier.
Vegetarier essen keine Tiere, aber sie fressen ihnen das Futter weg. (Robert Lembke)

#26 TwinBit

TwinBit

    Crew Chief

  • Gold Beta Tester
  • PipPipPipPip
  • 411 posts

Posted 21 October 2007 - 05:48 PM

Ich hatte von Anfang an diese ICMP Geschichte in Verdacht! h i e r wird auch davon gesprochen. Ich überlege mir, ob es sinvoll ist, den gesamten ICMP Verkehr (Echo Reply) in den "Regeln für Pakete" mit einer Verbotsregel testweise zu unterbinden.

Verbieten ausgehende ICMP Pakete wobei ICMP-Code:Echo Reply


Ich kann ich mir nicht vorstellen, welche Funktion, Anwendung oder was auch immer, bei mir auf eine ICMP Anfrage (bzw. einer Antwort meines Rechners) aus dem I-Net angewiesen ist.

#27 redbull21

redbull21

    Crew Chief

  • Global Moderators
  • PipPipPipPip
  • 494 posts

Posted 21 October 2007 - 07:45 PM

Ich würde sagen, das ist standardmäßig schon genau so eingerichtet, wie dort empfohlen. :angry:

Die Regel, die du vorschlägst, wird schon durch die bestehende Verbotsregel "Other ICMP Types" abgedeckt. Typ 0 ausgehend ist nicht per Regel erlaubt, wird also bis zur Verbotsregel durchgereicht, die dann zutrifft. Die Verbotsregel umfasst ja alle ICMP-Typen.

Aber was hat ICMP mit Port 0 zu tun?
Vegetarier essen keine Tiere, aber sie fressen ihnen das Futter weg. (Robert Lembke)

#28 TwinBit

TwinBit

    Crew Chief

  • Gold Beta Tester
  • PipPipPipPip
  • 411 posts

Posted 21 October 2007 - 07:59 PM

Soweit ich weiß, ist Port 0 für ICMP/Echo Reply tcp/udp "reserved". Ich suche nacher mal nach einer Dokumentation, in welcher ich das gelesen habe. Im Moment finde ich die Seite nicht wieder.

#29 TwinBit

TwinBit

    Crew Chief

  • Gold Beta Tester
  • PipPipPipPip
  • 411 posts

Posted 29 October 2007 - 01:37 AM

Jetzt ENDLICH ist diese verd... Remoteport 0 Anfrage geziehlt reproduzierbar! Ich kann jederzeit eine solche "Anfrage" erzeugen, wenn ich eine bestimmte Kaspersky Adresse anklicke. Ich glaube langsam an einen, nur selten in Erscheinung tretenen, Fehler von KIS.

Aber von Anfang an ... vor ein paar Tagen las' ich einen Beitrag im englichen Forum. Innerhalb dieses Beitrages befand sich ein Link zu einem der KL "Beta-Server". Die Version KIS .254(nct) war noch nicht verfügbar, obgleich die entsprechenden Ordner schon vorhanden waren. (Es dauert halt etwas bis alle KL "Beta-Server" sycronisiert sind.) Ich hatte zuvor ein frisches XP Image installiert um das System für die Neue Version bereit zu machen.

Leider beinhaltet dieses Image weder entsprechende Links zu oft besuchten Seiten/Servern noch meinen FTP Clienten (is ja nich so das ich vergesslich bin!) - somit war ich gezwungen den besagten Link auf meinen Desktop zu ziehen, um des öfteren nach dem Rechten - sprich den nun hoffentlich gefüllten Ordnern zu sehen. Nach einer Weile war ich neugierig und klickte auf den frisch auf den Desktop gezogenen KL "Beta-Link".

BINGO! dachte ich nicht weil KIS .254(nct) endlich verfügbar war, sondern weil der besagte Link eine Remoteport 0 Anfrage auslöst - und zwar immer wieder reproduzierbar! Ich hatte im englichsprachigem Forum von diesem "Remoteport 0" Problem geschrieben, niemand hatte dieses Problem bisher - doch auch dort ist man sich einig: Diese Anfragen sollten unter allen Umständen geblockt werden! Was leider mit KIS nicht machbar ist, da die blockierbaren Ports erst bei Port 1 beginnen.

In der Zwischenzeit habe ich nun auch endlich herausgefungen, unter welchen Umständen diese Anfrage auftritt. In dem Moment, in dem ich auf meinem Rechner "ICS" einrichte beginnen die "Remoteport 0" Anfragen! Deaktiviere ich es, ist sofort wieder Ruhe! Ich hatte das in der Vergangenheit 'zig Mal versucht, doch nie hatte es Erfolg gebracht! Weshalb jetzt? - Dass weiß wohl nur der Geier! Eigentlich benötige ich ICS nur sporadisch und eher selten, könnte einen Router benutzen, wollte das aber bisher nie. Jetzt komme ich aber nicht mehr drum herum.

Es gilt jetzt herauszufinden, ob sich hinter "Remoteport 0" wirklich "Remoteport 0" verbirgt, oder ob es ein Bug in der Anzeige des Ports von KIS ist. "Paul"(p2u) aus der englischen Sektion erwähnt ebenfalls die theoretische Möglichkeit dieses Bugs, ich selber spielte schon lange mit ähnlichen Gedanken. Mal sehen wie sich das ganze noch entwickelt. <_<

Edited by TwinBit, 29 October 2007 - 02:17 AM.