Vorsicht vor "falschen" Servern beim Download mit eMule

  • TIPP

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Vorsicht vor "falschen" Servern beim Download mit eMule

    Hi, Leute!

    Ich habe da einen interessanten Artikel aufgegabelt:

    Die Tauschbörse Emule/EDonkey läuft über zentrale Server. Jeder der mag, kann so einen Server für das Netz bereitstellen. Seit die Musik- und Filmindustrie Jagd auf Tauschbörsen-Nutzer macht, wird es immer schwieriger vertrauenswürdige Emule/EDonkey-Server zu finden. Und wer sich auf einem bösartigen Server einwählt, kann problemlos protokolliert und bei illegalen Aktionen geschnappt werden. Dieser Beitrag zeigt, wie bösartige EMule-Server aufgespürt und beseitigt werden.
    (Stand vom: 12.8.2005 )

    Die Serverbetreiber im Emule/EDonkey-Netz wissen bescheid. Sie können mühelos sämtliche Nutzer-IP-Adressen und sämtliche Übertragungsvorgänge protokollieren. Laut Gesetzgebung, sind Server-Betreiber verpflichtet, IP-Adressen und Nutzungsdaten herauszugeben, wenn Verdacht auf eine Straftat besteht. Das macht Tauschbörsen wie EMule/EDonkey zunehmend heikel. Bessere P2P-Systeme, die schwieriger verfolgbar sind, befinden sich derzeit in Entwicklung oder im Beta-Stadium, die Masser der Tauschbörsenteilnehmer nutzt allerdings nach wie vor alte Systeme wie Emule/EDonkey.

    Wer "Raubkopierer" aufspüren will, hat im Prinzip leichtes Spiel. Er hängt einfach einen eigenen Server ins Emule/EDonkey-Netz und macht den besonders attraktiv. Attraktiv heißt, auf dem Server müssen sich viele Benutzer gleichzeitig befinden und er muss schnell sein. Solche "stark besuchten" und schnellen Server sind bei Emule-Fans beliebt, denn sie sind am effektivsten. Anschließend muss der Server-Betreiber nur noch ordentlich protokollieren und weiß dann genau, wer wann welche Datei transportiert hat...
    Im Emule-System gibt es zwar sehr viele Server, aber generell nur wenige richtig fette - also viele Teilnehmer und schnell. Einer der seit geraumer Zeit "sehr fetten" ist Razorback. Razorback verbindet im Schnitt gut eine Million Emule-Teilnehmer. Danach kommen "kleinere" Server, auf denen zwischen 100.000 - 200.000 Benutzer verbunden sind. Das Schlusslicht bilden "tonnenweise" Serverchen, die kaum mehr als 10.000-20.000 Anwender versorgen.

    Im August 2005 rappelte es plötzlich enorm in der Emule-Serverliste, es tauchten zig neue Server auf:
    Emule-Einsteigern fällt so was nicht auf, Emule-Insider wissen allerdings, dass nur ZWEI Razorback-Server existieren - 2.0 und 2.1. Dass an den weiteren Razorbacks etwas faul sein muss, lässt sich auch an den IP-Adressen leicht feststellen. Die richtigen Razorback-Server haben die IP-Adressen 195.245.244.243 und 195.245.244.244. Die IP-Adressen der weiteren Razorbackserver haben damit keinerlei Gemeinsamkeit - sie beginnen mit 64.34.
    Typischerweise lässt sich anhand der ersten beiden Zahlenwerte einer IP-Adresse feststellen, von welchem Internetprovider diese IP-Adressen stammen. Ist bei IP-Adressen auch noch der dritte Zahlenwert identisch, kann sogar davon ausgehen, dass sich diese Server am gleichen Ort befinden.
    Wer regelmäßig einen Blick in seine Emule-Serverliste wirft und die IP-Adressen checkt, hat also schon mal eine gute Chance komische Server zu ermitteln. Anhand der IP-Adresse lässt sich schließlich recherchieren, was es mit einem komischen Server so auf sich hat.
    Zu welchem Internetanbieter in welchem Land gehört eine IP-Adresse? Wer ist ihr Inhaber, wer ist für den Serverbetrieb zuständig? Es gibt eine simple Methode das rauszukriegen:
    centralops.net/co/DomainDossier.aspx - über diese Seite lässt sich rauskriegen, wer tatsächlich hinter einer IP-Adresse steckt.
    Weitere Indizien für böswillige Server lassen in diesem Zusammenhang auch auf der Server-Seite von Emule sammeln, wenn die Liste nach IP-Adresse sortiert wird (oben auf IP-Spaltentitel klicken):
    Eine Sortierung nach der IP-Adresse zeigt, dass die gefälschten Razorback-Server sehr ähnliche IP-Adressen wie die durchnummerierten "Sonny Boy" Server haben.Die IPs der gefälschten Razorback-Server beginnen mit 64.34.161, die der Sonny Boy Server ebenfalls. Eine IP-Analyse über die zuvor gezeigte Internetseite ergibt schließlich:
    Sowohl die falschen Razorback-Server als auch die Sonny Boy Server befinden sich bei einem Unternehmen namens "ServerBeach" in San Antonio.Irgendwer betreibt da also fast 20 "grosse" Emule-Server, darunter getürkte Razorbacks. Wer bis eins zählen kann, weiss was jetzt zu tun ist: Raus mit allen falschen Razorbacks aus der Severliste und die ganzen "Sonny Boys" ebenfalls kicken!

    Gruß - wutzbaer
    Der Regenschirm von Antivir....ist nicht sehr dicht - das sag ich dir
  • Wirklich sehr interessant! Gottseidank benutze ich emule net.
    Wenn auch vielleicht ein bischen weit hergegriffen, denn warum sollten Leute die Leecher aufspühren wollen das SO offensichtlich machen.
    Trotzdem interessant.