[Rapidshare] ip ranges blokkeren op firewall - Netwerken

donderdag 4 oktober 2007 19:55

Acties:

Topicstarter

Voor het bedrijf waar ik werk willen we paal en perk stellen aan rapidshare downloads. Deze verzadigd onze internet verbinding, wat uiteraard bij andere gebruikers voor narigheid zorgt.

Omdat deze via HTTP verlopen, is dit echter niet zo eenvoudig.

Nu vroeg ik me af of er een mogelijkheid is om alle ip ranges die rapidshare gebruikt, te achterhalen. Deze kunnen wij blokkeren op onze firwall.

Ik kan uiteraard een nslookup doen van www.rapidshare.com, en vervolgens een whois van dat ip adres zodat ik een volledige range bekom.

Echter betreft dit een dusdanig uitgebreid netwerk dat rapidshare vele ranges gebruikt.

Iemand een idee hoe we dit best aanpakken? Ik heb me al suf gezocht op google en GOT. Het meeste dat ik vind daaraantegen gaat omtrent uw eigen adres wijzigen ivm gratis onbeperkt downloaden.

[ Voor 9% gewijzigd door Tom_G op 04-10-2007 19:56 ]

donderdag 4 oktober 2007 20:00

Acties:

Emperor_

Loopt dit http verkeer via een proxy ? dan zou je dus regels als block *.rapidshare.com kunnen toeveoegen of *.rapidshare.* (als deze wildcards ondersteund wordt door de software natuurlijk!) aan je proxy instellingen. Misschien is dit wat makkelijker dan een flinke set firewall regels.

donderdag 4 oktober 2007 20:01

Acties:

Klippy

Still Game

Alle download linkjes gaan toch naar altijd naar rapidshare.com/de ?

Blokkeer gewoon die 2 domeinen ipv op IP niveau?
Zouden er zo veel gebruikers zijn die handmatige IP adressen gaan intikken?

Of zeg ik nu wat heel doms

Overigens denk ik dat er wat heel anders mis is in je organisatie als dit voor zo veel overlast zorgt.

Steam | SXQncyBhbGwgZ29vZCwgbWFuISDwn5iO

donderdag 4 oktober 2007 20:54

Acties:

Tom_G

Topicstarter

Alle verkeer wordt gemonitort.
Er wordt (nog) geen proxy gebruikt.

Overmatige downloads worden daarbij gecheckt. Soms gaat het tussen de 5 en de 20GB die langs rapidshare gaan.

Blokkeren op DNS niveau is niet zo verstandig, dan moet er telkens voor iedere connectie een reverse lookup gedaan worden (immers de client vraagt een bepaalde host, daarvoor gebeurd een nslookup zodat deze het ip weet. De firewall zou dus telkens een reverse lookup van ieder destination adres moeten doen om te controlleren dat het dit domain betreft.)

Overigens, deze organisatie, hierbij hebben we het over een hoge school met enkele duizenden studenten.

De internet connectie gaat via een 1Gbit glasvezel verbinding op een onderzoeksnetwerk (Belnet, de Belgische tegenhanger van surfnet dacht ik). Echter alle verkeer buiten dit Belnet netwerk naar onze instantie (download dus) wordt gecapped op 30 mbit...

Nu heb ik zelf wel even de test gedaan op mijn Linux systeem door de range 195.122.131.0-195.122.131.255 (rapidshare.com gebruikt hieruit enkele adressen) te blokkeren.

En dit lijkt op dit moment te werken: immers zoals hierboven vermeld gaan alle downloads via de main site waarna ze pas naar een download server doorgestuurd wordt.

donderdag 4 oktober 2007 21:11

Acties:

Turdie

Hallo

Je zou ook een access-list kunnen maken waarin je het netwerk waarin Rapidshare zit de toegang op netwerk niveau blokkeerd.Via ripe.net heb ik achterhaald dat rapidshare ip-adressen krijg uitgedeeld in de volgende range:195.122.131.0 - 195.122.131.255
(Zie hier voor meer info erover)

[ Voor 10% gewijzigd door Turdie op 04-10-2007 21:15 ]

donderdag 4 oktober 2007 21:16

Acties:

Tom_G

Topicstarter

guidovb999 schreef op donderdag 04 oktober 2007 @ 21:11:
Hallo

Je zou ook een access-list kunnen maken waarin je het netwerk waarin Rapidshare zit de toegang op netwerk niveau blokkeerd.Via ripe.net heb ik achterhaald dat rapidshare ip-adressen krijg uitgedeeld in dit netwerk:
195.122.128.0/18 (Zie hier voor de info erover)
Dat is dus volgende range:195.122.131.0 - 195.122.131.255.

Groet,

Guido

Dat is wat ik kon bereiken met het "whois" commando (Linux).

Je krijgt dan precies dezelfde output te zien zoals op ripe.net

Natuurlijk zijn er mischien nog 100 of meer ip ranges die door Rapidshare gebruikt worden. De hamvraag blijft dus: hoe kan je deze allemaal achterhalen?

Op dit moment vermoed ik echter dat de bovengenoemde rang blokkeren afdoende is op dit moment.

Ik heb ook via een abuse mail naar Rapidshare gestuurt met de vraag of men ofwel de ip range die door ons instituut (betreft 64-2 bruikbare IP adressen) kan blacklisten en indien niet mogelijk ons alle ranges bezorgt die rapidshare in gebruik heeft.

Ik wacht dus af...

[ Voor 15% gewijzigd door Tom_G op 04-10-2007 21:18 ]

donderdag 4 oktober 2007 21:49

Acties:

CyBeR

💩

Zoek uit wat de nameservers van rapidshare zijn, en blokkeer die op IP-adres. Of zet zelf een zone rapidshare in je eigen nameservers. Beetje een laatste oplossing maar 't zal wel effectief zijn.

Alternatief: zorg dat belnet die 30mbit cap weghaalt? Een vergelijking met SURFnet in de strijd gooien helpt mischien

('SURFnet geeft hun klanten wel uncapped 1gbit.. daar willen jullie je toch mee vergelijken?')

All my posts are provided as-is. They come with NO WARRANTY at all.

donderdag 4 oktober 2007 22:01

Acties:

bibawa

mogen we misschien weten welke school dit is ^^.

Ik herken deze problemen van bij ons op school vandaag ...

vrijdag 5 oktober 2007 10:27

Acties:

_Arthur

blub

CyBeR schreef op donderdag 04 oktober 2007 @ 21:49:
Zoek uit wat de nameservers van rapidshare zijn, en blokkeer die op IP-adres. Of zet zelf een zone rapidshare in je eigen nameservers. Beetje een laatste oplossing maar 't zal wel effectief zijn.

En de studenten die gewoon een hosts file gebruiken downloaden nog steeds.

Iets met DNS hierbij doen is niet de oplossing. Blokkeren van de ip-ranges op netwerk niveau van rapidshare wel.

vrijdag 5 oktober 2007 14:38

Acties:

Tom_G

Topicstarter

_Arthur schreef op vrijdag 05 oktober 2007 @ 10:27:
[...]

En de studenten die gewoon een hosts file gebruiken downloaden nog steeds.

Iets met DNS hierbij doen is niet de oplossing. Blokkeren van de ip-ranges op netwerk niveau van rapidshare wel.

Dat is dus ondertussen gebeurd.

DNS is maar zoals gezegd een lapmiddel dat enkelen zal tegenhouden.

Wat betreft die 30 Mbit cap... Er wordt dus betaald per 10 Mbit. Spijtig genoeg leven we hier in België het land der internet limieten.

Merk wel op, dit geld enkel voor zgn "commercieel internet". Dit omvat alle download verkeer van buiten het Belnet netwerk dat binnenkomt langs Belnet en zo tot bij ons komt. Alle rest is ongelimiteerd tot op de snelheid van de fysieke link (1Gbit).

Data uitwisselen met andere hogescholen of universiteiten op het netwerk, linux mirror FTP servers,... dit blijft allemaal op de maximale snelheid bruikbaar.

De school betreft overigens de Hogeschool West-Vlaanderen voor zover relevant.

Ondertussen mailde ik ook naar de abuse dienst van Rapidshare, maar zij kunnen noch onze range blacklisten noch ons een lijst bezorgen van hun ranges. Wel wisten ze me te vertellen dat er een 100-tal klasse C ranges gebruikt wordt.

Het lijkt op dit moment in elk geval afdoende om er één dicht te zetten waar oa de main site op draait. Alle downloads lijken toch eerst langs daar afgeleid wat voldoende is om de service te blokkeren.

[ Voor 21% gewijzigd door Tom_G op 05-10-2007 14:40 ]

vrijdag 5 oktober 2007 14:57

Acties:

bibawa

Waarom opteer je niet om een proxy server er tussen te blaatsen en het *rapidshare.com/de domein te blokkeren.

En als ze echt willen dan zal ze het blijven lukken, met programma's als your-freedom kunnen wij hier in school ook probleemloos vanalles binnenhalen dat normaal niet zou lukken

zaterdag 6 oktober 2007 01:12

Acties:

CyBeR

💩

_Arthur schreef op vrijdag 05 oktober 2007 @ 10:27:
[...]

En de studenten die gewoon een hosts file gebruiken downloaden nog steeds.

Tuurlijk. Maar da's niet boeiend want daar weet de gemiddelde miep niks van en ik mag toch hopen dat ze die op schoolcomputers niet aan mogen passen.

All my posts are provided as-is. They come with NO WARRANTY at all.

zondag 7 oktober 2007 11:19

Acties:

Tom_G

Topicstarter

CyBeR schreef op zaterdag 06 oktober 2007 @ 01:12:
[...]

Tuurlijk. Maar da's niet boeiend want daar weet de gemiddelde miep niks van en ik mag toch hopen dat ze die op schoolcomputers niet aan mogen passen.

Meerendeel gebruikt eigen laptops.

In elk geval, de geblokkeerde main page range van rapidshare zal er voorlopig wel voor zorgen dat het downloaden ingedamt wordt.

zondag 7 oktober 2007 12:42

Acties:

CyBeR

💩

Tom_G schreef op zondag 07 oktober 2007 @ 11:19:
[...]

Meerendeel gebruikt eigen laptops.

Neemt niet weg dat 't merendeel ook geen flauw idee heeft van hosts files

All my posts are provided as-is. They come with NO WARRANTY at all.

zondag 7 oktober 2007 12:52

Acties:

gambieter

Just me & my cat

Onafhankelijk van de techniek zou ik ook even een email uit laten gaan naar de hele school met waarschuwing over gebruik van dit soort applicaties. En een "one strike you're out" policy: zodra je gepakt wordt kom je op een systeem met beperkte mogelijkheden, of wordt je account geblokkeerd voor een bepaalde tijd. Dat dit je opleiding verstoord is je eigen keuze.

Verder is een proxy de verstandigste optie, gekoppeld aan een goed ingestelde firewall.

I had a decent lunch, and I'm feeling quite amiable. That's why you're still alive.

zondag 7 oktober 2007 14:26

Acties:

Fabian

Je kunt poort 80 verkeer via een transparante proxy routeren. Zo hoef je op de clients geen proxy in te stellen en is het minder makkelijk te omzeilen.

Binnen je proxy kun je dan eenvoudig rapidshare blokkeren.

zondag 7 oktober 2007 14:42

Acties:

Verwijderd

Het meeste nette is juist wel ook via DNS te doen. Laat alle request voor rapidshare redirecten naar een site intern (ip,vhost van jezelf) waarom dit geblokeerd wordt. Hiermee informeer je je gebruikers dat het geblokeerd is en waarom.

Dit zou simpel weg kunnen door in je hosts tabel op je dns server (of dns confiuguratie) het te laten resolven naar de adressen die jij opgeeft. En daar een pagina te plaatsen. Dit is ook toepasbaar in toekomstige situaties voor andere sites.

Blokkeren op je gateway/firewall op ip-niveau is een must. Sommige zullen het uiteraard proberen ip niveau

dinsdag 9 oktober 2007 13:27

Acties:

Verwijderd

Tom_G schreef op donderdag 04 oktober 2007 @ 20:54:
Alle verkeer wordt gemonitort.
Er wordt (nog) geen proxy gebruikt.

Overmatige downloads worden daarbij gecheckt. Soms gaat het tussen de 5 en de 20GB die langs rapidshare gaan.

Blokkeren op DNS niveau is niet zo verstandig, dan moet er telkens voor iedere connectie een reverse lookup gedaan worden (immers de client vraagt een bepaalde host, daarvoor gebeurd een nslookup zodat deze het ip weet. De firewall zou dus telkens een reverse lookup van ieder destination adres moeten doen om te controlleren dat het dit domain betreft.)

Overigens, deze organisatie, hierbij hebben we het over een hoge school met enkele duizenden studenten. De internet connectie gaat via een 1Gbit glasvezel verbinding op een onderzoeksnetwerk (Belnet, de Belgische tegenhanger van surfnet dacht ik). Echter alle verkeer buiten dit Belnet netwerk naar onze instantie (download dus) wordt gecapped op 30 mbit...

Nu heb ik zelf wel even de test gedaan op mijn Linux systeem door de range 195.122.131.0-195.122.131.255 (rapidshare.com gebruikt hieruit enkele adressen) te blokkeren.

En dit lijkt op dit moment te werken: immers zoals hierboven vermeld gaan alle downloads via de main site waarna ze pas naar een download server doorgestuurd wordt.

het wordt gewoon tijd voor een proxy ipv zo'n oplossing en met duizenden studenten is dat zeker te verantwoorden...

dinsdag 9 oktober 2007 23:25

Acties:

Verwijderd

Misschien moet je het aan een van de studenten vragen, die weten er wel weg mee.
Als het geen rapidshare is dan wordt het megashares of anders, mogelijkheden genoeg. Er is altijd wel een omweg. Dus enkel via ip ranges zal dit niet voldoende zijn.

woensdag 10 oktober 2007 11:49

Acties:

Verwijderd

ik heb zelf aan de howest gestudeerd, en gebruik isa server als proxy oplossing voor een school van 1200 users, zeker als onderwijsinstelling betaal je minimaal voor een licentie en de infrastructuur om jullie verkeer te beheren hoeft niet extreem zwaar te zijn.

ofwel kan je mss monowall gebruiken als filter ...

dinsdag 16 oktober 2007 18:21

Acties:

Verwijderd

Wel grappig om dit hier alles te lezen... Kzit ook in het pih en zie dat ze daar serieus bezig zijn.
Los het gewoon anders op... Iedere student heeft een limiet,
wanneer je daarover gaat krijg je een melding en kan je voor even geblokkeerd zijn ofzo... voor de mensen die gewoon 1 keer in een maand nen cd downloaden valt da dan allemaal goed mee... Maar die andere freaks die 30 - 40 giga per dag downloaden die moeten gestraft worden. Maar anders was er mis mee... Zoals sommige hier zeggen ik heb al vele gezien die andere alternatieven hebben.

grtzz

dinsdag 16 oktober 2007 18:42

Acties:

gambieter

Just me & my cat

Verwijderd schreef op dinsdag 16 oktober 2007 @ 18:21:
voor de mensen die gewoon 1 keer in een maand nen cd downloaden valt da dan allemaal goed mee... Maar die andere freaks die 30 - 40 giga per dag downloaden die moeten gestraft worden. Maar anders was er mis mee... Zoals sommige hier zeggen ik heb al vele gezien die andere alternatieven hebben.

Waarom download je je CDs niet thuis? Het schoolnetwerk is niet bedoeld voor dat soort activiteiten.

I had a decent lunch, and I'm feeling quite amiable. That's why you're still alive.

dinsdag 16 oktober 2007 18:46

Acties:

Verwijderd

Ergens heb je gelijk... Maarja! Waarom niet, Waarom rijdt een mens 130 km/u op de autostrade, het mag ook niet hé...

Soms zit de wereld raar in elkaar. Maar ergens heb je gelijk, En ergens heb ik gelijk.
Wat zou je zelf doen als je de kans krijgt?

dinsdag 16 oktober 2007 18:47

Acties:

gambieter

Just me & my cat

Verwijderd schreef op dinsdag 16 oktober 2007 @ 18:46:
Soms zit de wereld raar in elkaar. Maar ergens heb je gelijk, En ergens heb ik gelijk.
Wat zou je zelf doen als je de kans krijgt?

Die kans heb ik allang gehad, en altijd thuis de download gedaan. Vandaar dat ik ook anti-P2P maatregelen op scholen, universiteiten e.d. toejuich.

I had a decent lunch, and I'm feeling quite amiable. That's why you're still alive.

dinsdag 16 oktober 2007 19:21

Acties:

Verwijderd

ik beken dat ik af en toe ook eens downloade in het pih, maar da was nooit meer dan keer nen film ofzoo... want ik versta soms niet hoe sommige zoveel kunnen downloaden, er zitten freaks in het Pih dan alles downloaden dan ze zien... Dat vind ik inderdaad ook overdreven

dinsdag 16 oktober 2007 20:38

Acties:

Verwijderd

Ik heb 3 jaar op pih gezeten en deed netwerken en heb nooit geleecht op school ... stukje ethiek en beroepscode vind ik wel op zijn plaats ... thuis doe je maar, maar het netwerk van belnet is er niet om lame te dl'en ... het enige dat ik leechte waren iso's van debian etc...

However vind ik een oplossing met een isa server of iets dergelijks wel handig ... wat ook gedaan wordt op een andere hogeschool is dat elke user via vpn inbelt ( is met een cisco client , maar kan evengoed gewoon pptp ofzo ) en dan kan surfen en na een bepaalde fair use limiet een melding krijgt ... eventueel extra traffiek kan wel, mits een interventie van een it medewerker ... aangezien het best mogelijk is dat je 100 gig moet dl'en voor onderzoek ofzo ...