Leecher? Und wie bannen?
 

Der kommt mir irgendwie verdächtig vor. Hat keine Identification und ist am Dauersaugen ohne ein Byte herzugeben, obwohl ich in den Sivka-Settings "Reward Only Secure Idented Client" habe. Auch die Average ReAsk Time von 10min ist doch wohl ziemlich niedrig.

Wie wird man so jemand los? :?

Oder hat jemand 'ne Erklärung, daß das völlig ok ist?

http://www.emule-web.de/board/files/leecher.jpg

Stell' doch einfach "SRC Request Threshold" an. Die Voreinstellung auf 5/10 ist OK. Damit werden alle geblockt, die zu schnell anfragen.
Die Kennung des Mods ist auch sehr seltsam: seit wann gibt es eine Sivka-Modifikation Version 13b2, die auf Emule 0.30 aufsetzt?

Drongo

Ich schätze einfach mal das es eine selbsgebastelte Version ist villeicht mit den aktuellen Code von Sivka, nur auf die 30 Version aufgesetzt ?!

Ohne es jetzt ausprobiert zu haben, denke ich daß das nicht geht, da die Modifikationen ja immer auf den Originalcode aufgesetzt sind.
Ich denke eher, daß die Identifikation gefälscht ist.
Was für Beweggründe gibt es wohl, die sichere Identifizierung auszuschalten, außer Userhash-Diebstahl?

Drongo

Ok, und wie schieß ich den Vogel ab? Ich bräuchte eigentlich nur die IP und könnte sie dann blocken. Aber wie bekommt man die raus (ohne selbst 'n Mod zu kompilieren)?

Die IP kannst Du ganz einfach aus der (high) ID errechnen. Formel steht afaik in der FAQ. ansonsten Suche benutzen.

wie man aus der High-Id die IP-Adresse berechnet habe ich ja hier gefunden: http://www.emule-web.de/board/viewtopic.php?t=4316

Ich hätte da aber noch ne Frage: Wie kommt man denn an den Wert der High-Id der anderen Clients?

In den Client Details zeigt mein Muli nur generell an, ob der Client eine Low-Id oder High-Id hat, aber nicht welchen Wert.

Ciao
Rumpelzuck

Mit "SRC Request Threshold" blockst du einfach alle, die agressiv anfragen, ist IMHO der einfachere Weg.

Drongo

Den Client, der oben in dem Bild gezeigt wird, würde man aber so nicht abfangen, weil der ja lt. Statistik nicht durch übermäßige SRC Requests auffällt. Der Programmierer dieses Clients kennt sich ja vielleicht mit den diversen Parametern, die zum Bann führen, ganz gut aus ...

Lt. den Entwicklern ist EMule ja ein Sharing Programm und Leecher werden zwar nicht gefördert aber zumindest geduldet. Uploader werden dank des Creditsystems sogar in einem gewissen Rahmen bevorzugt.

Das Problem ist grundsätzlich die richtige Erkennung und gerechte Bewertung, welcher Client überhaupt generell ein Leecher ist. Es gibt ja durchaus Gründe warum ein Client nichts zu dir uploadet, aus der Sicht von dir allein also als Leecher erscheint, aber trotzdem ist er kein Leecher in Bezug auf das restliche ED2K Netz.

Ciao
Rumpelzuck

Ändere die Punktevergabe doch so ab, dass ein Client um so weniger Punkte bekommt je größer der Up-/Download unterschied ist...

das ist ja der vorteil an OpenSource

Der post von skuX war eigentlich überflüssig, er hätte nur auf die bereits lange bestehende Anleitung von uns linken brauchen. ;) (Dort ist auch der link zu einem Tool, das die Umrechnung vornimmt.)
http://www.emule-web.de/board/viewtopic.php?t=3333 - die Anleitung ist ja nun schon etwas älter und leider war es weder zum Zeitpunkt des Erstellens, noch zum heutigen Zeitpunkt leicht, an die user ID zu kommen.
Ich kreide das den Entwicklern schwer an - schon die Änderung seit einer der Mittzwanziger Versionen von eMule, die IPs der user nicht mehr anzuzeigen, finde ich sehr unsinnig. Die Gründe dafür sind mir bis heute nicht bekannt, man vermutet, dass damit das "Aussperren" von clients (per IP-Filterung) erschwert werden soll.

Die user ID kann man mit Glück manchmal im log oder im verbose log finden, wenn der client z.B. eine Aktion vorgenommen hat.
Wann und wieso, hat sich wie mir scheint von Version zu Version geändert und ebenso ist es wohl auch bei div. Mods unterschiedlich.

Wenn ich einen user, der mir verdächtig erscheint ( und dieser user im obigen screenshot mit dem nicht existenten Mod als nick und der hohen Menge an DL wäre mir in jedem Fall verdächtig, wenn nicht das file, an dem er zieht, vielleicht auf Release gestellt wurde.. ) loswerden möchte, so kann ich das jederzeit, indem ich ausser eMule noch zwei weitere Programme zur Hilfe nehme (neuen Muli coden, der die IPs wieder anzeigt wäre eine Alternative, die mir aber nicht zur Vefügung steht).
Kenne ich die IP dann, überprüfe ich sie per Whois-Anfrage und wenn ich nicht sicher weiss, dass das eine dynamische IP ist, so wandert diese IP dann umgehend in meine ipfilter.dat. :twisted:
User mit IPs, von denen ich nicht weiss, ob sie dyn. oder statisch sind, trage ich temporär auch in meine ipfilter.dat ein, wenn besagter user mir zu sehr auf den Geist geht - warum auch immer.

So, und nachdem das prinzipiell jeder tun kann, verstehe ich nicht, warum ein Programm, das doch auf Komfort und umfangreiche Funktionalität ausgelegt ist, es einem nicht einfacher macht, gewisse Schädlinge auszusperren.
Sicher, Missbrauchgefahr gibt es - aber die, die Wert auf so ein feature legen, nutzen eh irgendwelche Mods, die es im Untergrund gibt und die mehr Schaden anrichten, als wenn die IPs im offiziellen eMule wieder offen drin stünden!

Ja, das nervt mich auch - vielleicht kann Sivka das einbauen? Oder gibt es irgendwo ein Modul, was man dazukompilieren kann?

Welche Programme nimmst du denn? Aus der Masse der Verbindungen, die über tcpdump oder ethereal augegeben werden, ist es immer schwierig, einen bestimmten Datenstrom ausfindig zu machen.

Drongo

Besser wäre, die Anzeige der client IP würde wieder in die Originalversion mitaufgenommen.


Ich nehme meine Firewall (Kerio 2.1.5 --> Anzeige der 'Opened Connections'), schaue in eMule nach, wie lange der UL slot etabliert ist und finde anschliessend mit viel Mühe und scharfem Hinsehen :twisted: die IP zu der connection raus, indem ich die Zeit aus dem Muli in eine Uhrzeit umrechne - on-the-fly sozusagen und diese dann vergleiche.
Diese Verbindung schliesse ich dann mit Hilfe von TCPview - daraufhin (sofern es auch die richtige IP war, die ich aus den hüpfenden Zeilen in Kerio herausgefunden habe - Trefferquote liegt bei 95 % - bin gut! 8) ) trage ich die IP dann in meine ipfilter.dat ein, nach dem bereits oben beschriebenen Auswahlverfahren.
Übrigens sollte man für diese Aktion in der Lage sein sich eine IP auswendig zu merken. :roll:

Ja, okay... Weder ActivePorts noch Sygate zeigen die Verbindungsdauer an :(

Kann man von einem durch ipfilter.dat geblockten Client eigentlich noch runterladen? Sonst könnte man die IP ja direkt in die Firewall eintragen - ich habe dafür eine Regel, die ich nach Bedarf anschalte.

(Später)
Ha! mit der aktuellen ethereal Version kann man auch in Edonkey-Paketen Daten finden! Etheral kurz laufen lassen, in den Anzeigefilter "edonkey contains <Datei_die_gerade_gesaugt_wird>" eingeben und schon hat man die gesuchte IP.
Cool, bisher hat das nie so richtig geklappt.

Drongo

Ein gewisses Restrisiko bleibt - für den, den ich als Leecher ansehe. Wenn andere von ihm was bekommen, ist's ja ok. In diesem Fall sind die Indizien aber erdrückend.

Genau sowas hab ich gesucht. :D

Allerdings ist mir die Suche nach dem File String etwas zu grob, denn da erwische ich auch die "Guten". Man kann jedoch direkt nach dem fraglichen Userhash filtern, denn der ist mir ja bekannt. Also den Filter auf "edonkey.client_hash contains cb:73:f5" gesetzt und schwuppdi hatt ich ihn. Ab in die ipfilter.dat mit Kommentar LEECHER.

Ping oder Traceroute an die IP ging übrigens auch net.

Jetzt steht im Verbose Log:
26.07.2004 09:39:27: Ignored source (IP=w.x.y.z) received from server - IP filter (LEECHER)
:dance