Изпечатай

[VladSun]

http://lists.grok.org.uk/pipermail/full-disclosure/2005-November/038646.html

Още:

I improved a bit the Squid config:

# Prevent Skype connecting HTTPs using CONNECT requests to IP addresses (those not using domain names)
acl numeric_IPs url_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+
http_access deny CONNECT numeric_IPs all
# Prevent Skype connecting http
acl Skype_UA browser Skype
http_access deny Skype_UA
# Prevent anyone to download anything from skype website
acl Skype_domain dstdomain skype.com
http_access deny Skype_domain

Also now, can block Skype UDP traffic, based on this very good document http://www.secdev.org/conf/skype_BHEU06.handout.pdf using iptables (warning: Skype can�t work without a TCP connection - But Skype can work without UDP).

iptables −I FORWARD −p udp −m l e ng th −−l e ng th 39 −m u32 −−u32 �27&0 x8f=7� −−u32 �31=0 x527c4833 � −j DROP

Currently working on some patch to automate skype blocking configuration using the great EFW firewall (based on IPcop) http://www.efw.it

Cheers,
Nick

[VladSun]

От прекрасния PDF по-горе:

How to block Skype UDP traffic with one rule

Код

GeSHi (Bash):
 iptables -I FORWARD -p udp -m length --length 39 -m u32 --u32 '27&0x8f=7' --u32 '31=0x527c4833' -j DROP

How to make Skype deaf and dumb

Код

GeSHi (Bash):
iptables -I FORWARD -p udp -m length --length 39 -m u32 --u32 '27&0x8f=7' --u32 '31=0x01020304' -j DROP

Лошото е, че при мен не излизат такива пакети

[seadog]

http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6723/prod_white_paper0900aecd80633b0a.html

..................

!---Defines Protocol Stack and Match Criteria (FPM filter to block Skype traffic)
class-map type stack match-all ip_tcp
match field IP protocol eq 6 next TCP
class-map type access-control match-all skype
match start TCP payload-start offset 0 size 4 eq 0x17030100

Мисля, че и други освен Cisco ползват този механизъм за блокиране на skype ... то и друг няма

[petar258]

Имам чувството че тази поредица "0x17030100" не е еднаква за всички потребители на скайп, и в посочения пример пише "In order to block Skype, perform the following steps" - за да блокирате скайп, изпълнете следващите стъпки.
И ми се струва че който иска да го блокира трябва сам да открие точната поредица за конкретния скайп акаунт, по реда който е описан в горния пример.

[VladSun]

Аз пробвах и да DROP-я всички пакети от TCP сесиятта свързана с пакет с присъстващ 0x17030100 стринг - не се получи ...

[seadog]

71   42.875591   212.187.172.36   192.168.115.129   TCP   33033 > amx-icsp [PSH, ACK] Seq=1 Ack=6 Win=6144 Len=5

0000  00 1d 60 e7 ad c6 00 09  6b c0 48 1a 08 00 45 00   ..`..... k.H...E.
0010  00 2d 5d 2b 40 00 2a 06  4d 96 d4 bb ac 24 c0 a8   .-]+@.*. M....$..
0020  64 81 81 09 05 27 d4 ce  7d dd 8f 0b 6a 35 50 18   d....'.. }...j5P.
0030  00 0c 1f 91 00 00 17 03  01 00 00 00               ........ ....   

Oт WireShark преди 10 мин. - това е copy/paste и резултата се вижда - сложил съм го с Bold

Това е от мен по темата

[VladSun]

По-горе съм дал, че ги match-вам тези пакети, DROP-я ги, но въпреки това Skype се връзва.

[seadog]

Това са 2-та SID-a от snort свързани със Skype Client login-a:

SID:5999 - 0x1703010000
SID:6001 - 0x17030100D9

пробвай да ги match-ваш и след това drop , със snort работи.

[VladSun]

Това са 2-та SID-a от snort свързани със Skype Client login-a:

SID:5999 - 0x1703010000
SID:6001 - 0x17030100D9

пробвай да ги match-ваш и след това drop , със snort работи.

Ти нали видя iptables правилата ми?
Прекалено са прости за да бъркам, ама знае ли се

[seadog]

Погледнах ти правилата и мисля, че няма да вършат работа в случая.

Мисля че FORWARD веригата е достатъчно добро решение

Виж този линк и прочети по-точно това за conflicker : http://cipherdyne.org/LinuxFirewalls/AppB/

[seadog]

http://cipherdyne.org/blog/2009/07/disrupting-conficker-worm-traffic-with-iptables-and-fwsnort.html

[VladSun]

Погледнах ти правилата и мисля, че няма да вършат работа в случая.

Мисля че FORWARD веригата е достатъчно добро решение

Виж този линк и прочети по-точно това за conflicker : http://cipherdyne.org/LinuxFirewalls/AppB/

Ъъъ.... забрави за INPUT/FORWARD разделението - при мен е локален процес Skype-a, та малко или много ми е ясно какво правя. Въпросът е в match-ването, connection tracking-a и политиката към тези пакети и свързаните с тях TCP сесии.

[VladSun]

В тия последните два линка (прекалено дълги са за да ги разглеждам обстойно) Ctrl-F за skype не открива нищо. Можеш ли да конкретизираш точно, какво трябва да гледам в тях?

[seadog]

Това е snort rule за блокиране на skype:

tcp $EXTERNAL_NET any -> $HOME_NET any
(msg:"P2P Skype client login"; flow:to_client,established; flowbits:isset,skype.login; dsize:5;
content:"|17 03 01 00|"; depth:4; metadata:policy security-ips drop; classtype:policy-violation; sid:5999; rev:4;)

Ползвай линковете по-горе за да си генерираш ipables rules - на първия линк има скрипт за тази цел.
А на втория съм ти написал за какво да четеш .... гледай и чети за conflicker и си мисли за skype

идеята е същата - application level filtering 

[VladSun]

Не съм много съгласен, че е L7 филтрирането, защото работиш с отделни TCP пакети, но както и да е...
Подозирам, че и iptables l7 patch-a е същата работа.

Нека отново кажа какво се случва - match-вам 0x17030100 (както и 0x16030100) в iptables ...
DROP-я ги - WireShark не ги намира.
Изчиствам iptables правилата - WireShark ги намира.

Следователно ? Match-ването е ОК. DROP-енето е ОК. Но Skype-а пак се логва, провеждат се разговори, чати се - т.е. изобщо не му преча !!!

Интересно е да се отбележи, че ако в OUTPUT (или клиент->сервер при тебе) се DROP-не 0x16030100 пакета, то 0x17030100 пакета изобщо не пристига на INPUT (или сървер->клиент при тебе). Т.е. последователността е:

 0x16030100 client -> server
 0x17030100 client <- server

Snort-a match-ва пакетите - ОК, и аз ги match-вам. Просто, според мен, DROP-енето на тези пакети не помага (вече?) срещу Skype (v. 2.1.0.47).