'Filesharer zonder blocklist wordt haast altijd betrapt'

Drie onderzoekers van de universiteit in het Californische Riverside hebben vastgesteld dat wie een p2p-programma draait zonder blocklist, vroeg of laat te maken krijgt met een bedrijf dat filesharers opspoort.

Anirban Banerjee, Michalis Faloutsos en Laxmi Bhuyan onderzochten hoe groot de kans is dat iemand die een p2p-programma draaide, door de contentproviders betrapt zou worden. Hiervoor maakten zij tussen januari en maart 2006 met een gemodificeerde client contact met diverse p2p-netwerken en verzamelden hiermee meer dan 100GB aan TCP-headers. Hun conclusie is dat de kans dat een p2p-client in die periode contact maakt met een verdacht adres, bijna honderd procent is.

Gnutella Logo / P2P De blocklist werd door de onderzoekers samengesteld door diverse lijsten die op internet werden aangeboden, en die het resultaat zijn van jarenlang speurwerk door voorstanders van filesharing, te combineren. De onderzoekers ontdekten dat het vrij eenvoudig is om niet betrapt te worden: wie alleen de vijf meestgenoemde adressen blokkeerde, bracht zijn kans op ontdekking terug naar ongeveer een procent.

Er kwam verder aan het licht dat circa vijftien procent van de ip-adressen op de filesharingnetwerken op de gecombineerde blocklist voorkwam, wat een verklaring is voor de hoge kans dat iemand contact met een dergelijk adres maakt. Het onderzoek heeft één zwak punt: de wetenschappers namen aan dat alle adressen op de blocklist ook werkelijk toebehoren aan instellingen die erop uit zijn filesharers te betrappen, en dat adressen die er niet op staan, 'veilig' zijn. Ondanks het jarenlange zoekwerk van de sympathisanten van filesharing is dat allesbehalve zeker.

IT-banen

Reacties (88)

Destralak 11 oktober 2007 09:37

Het (m.i.) beste programma met de grootste blocklist, is nog altijd PeerGuardian 2.
Er zijn namelijk, behalve opspoorders, ook fake filesharers, adware dealers, trojan verspreiders etc. die worden geblokkeerd.

Je kunt makkelijk nog extra (belangrijke!) lists downloaden (denk aan: porno-site IP's, adware/spyware IPs) op het Bluetack forum. Deze lists kun je simpel openen in PeerGuardian.

Deem @Destralak • 11 oktober 2007 10:35

PeerGuardian 2 houdt ook de bloklijsten up to date door bijvoorbeeld dagelijks te kijken naar updates. Bij mij blokkeert Peergardian bijna 1000000000 adressen (geen grap). Om de 30 seconden word er wel een aanvraag geblokt. Ookal doe ik niets met p2p.

Alternatief is Protowall

[Reactie gewijzigd door Deem op 22 juli 2024 19:24]

YakuzA @Deem • 11 oktober 2007 10:54

"1000000000 adressen"

Hmmmm leuk aantal, dus dan word al een kwart van alle IPv4 adressen op internet geblocked?

(Nog niet eens de IPranges die niet gebruikt worden in acht genomen)

255*255*255*255 = 4228250625 theoretisch mogelijke adressen

Deem @YakuzA • 11 oktober 2007 10:58

Om presies te zijn: 942442132 adressen worden er bij mij geblockt. het kan zijn dat er bijvoorbeeld op verschillende lijsten dezelfde adressen staan.

[Reactie gewijzigd door Deem op 22 juli 2024 19:24]

Verwijderd @YakuzA • 11 oktober 2007 11:12

Eigelijk blokkeert die alle adressen die gebruikt worden door computers op het internet. Slechts 1/4 van alle IPadressen zijn werkelijk in gebruik

Volgens mij is er dus echt iets fout in z'n blocklist

Deem @Verwijderd • 11 oktober 2007 11:27

Heb effe een screentje gemaakt van de lijsten die ik gebruik: http://server5.pictiger.com/img/1437073/other/pg-2.jpg
Je mag me wel effe uitleggen wat ik verkeert doe

[Reactie gewijzigd door Deem op 22 juli 2024 19:24]

rick77 @Deem • 11 oktober 2007 11:46

spellen

Verwijderd @YakuzA • 11 oktober 2007 11:46

255*255*255*255 = 4228250625 theoretisch mogelijke adressen

Is niet helemaal waar, je vergeet subnetten. Het zijn er een stukje meer.

arjankoole

Internettoegang

@Verwijderd • 11 oktober 2007 13:13

subnetjes verdelen die ipspace alleen onder in hapklare brokken. In weze worden het er dus minder, omdat je in ieder subnet ook nog een netwerk en broadcast adres hebt.

met een /29 krijg je acht IP adressen, maar je kan er hier maar 6 van gebruiken.

Verwijderd @Verwijderd • 11 oktober 2007 15:08

Subnetten zijn alleen maar groepjes bestaande IPs.

Het zijn er zelfs juist minder, omdat een aantal ranges zoals 10.x.x.x en 192.168.x.x alleen voor binnen in een netwerk zijn.

ThE_ED @Deem • 11 oktober 2007 10:57

Kritiek op PeerGuardian is weer vaak dat ze ook hele IPranges schijnen te blocken, uit voorzorg omdat daar "bad" IP's in zaten/zitten, waardoor je aantal mogelijke peers onnodig verkleind wordt.

Deem @ThE_ED • 11 oktober 2007 11:02

Eerlijk gezegt merk ik nouwelijks verschil in downloadsnelheden of dat er minder peers zijn. Dus dit probmeem valt reuze mee.

mschol @ThE_ED • 11 oktober 2007 13:03

er worden in peergaurdian hele ranges geblokkeerd van EA.com e.d. instanties..

alleen heeft dat geen nut aangezien ze echt niet kijken vanuit hun eigen netwerk... (nogal naief dat mensen dat dat daadwerkelijk zo is)
ze leasen gewoon een aantal lijnen van een internet boer en voila zo gegevens te achterhalen..

DavidAxe @Deem • 11 oktober 2007 11:10

LOL, dat is bijna 25% van alle mogelijk IPv4 adressen!
Jij bent er zeker ook zoeen die klaagt dat programma's zo traag zijn

Oops, sommigen waren mij al lang voor ...

[Reactie gewijzigd door DavidAxe op 22 juli 2024 19:24]

Deem @DavidAxe • 11 oktober 2007 11:12

Neehoor, dowloaden gaat gewoon goed. verder nergens last van anders had ik het wel veranderd.

[Reactie gewijzigd door Deem op 22 juli 2024 19:24]

Verwijderd @Deem • 11 oktober 2007 12:39

Vind het niet zo gek dat 'om de 30 seconden een aanvraag geblockt wordt' als je 25% van alle IP-adressen blockt. Ziet er misschien leuk uit als zo'n aanvraag geblockt wordt, maar wie zegt dat die aanvraag van Stichting Brein was?

Verwijderd @Deem • 11 oktober 2007 15:27

als je er niets mee doet, waarom krijg je dan aanvragen?
Conclusie je doet er wel wat mee

leuk_he @Destralak • 11 oktober 2007 15:33

De blocks lists die gebruikt worden zijn niet altijd betrouwbaar. De jongens van bluetakc gokken ook maar wat. Als ik [url=http://www.slyck.com/story1593_MediaDefender_Leak_Offers_BlueTack_Users_a_Reality_Check[/url] dit bericht van slyck mag geloven dan is er in een bepaalde range maar 2% goed geblockt.

Aan de ander kant komen er veel valse positieven op de block list. Hele universiteiten die tegen p2p zijn staan erop, terwijl die op zijn hoogst het verkeer van eigen gebruikers monitoren, niet van ieder die met hen connect.

Ook worden toewijzingen van ip nummer blockken regelmatig veranderd, block lijsten lopen altijd iets / veel achter.

Dus ook al toont je peergaurdian/eMule log veel hits, dit wil niet zeggen dat je nu goed beschermd bent, en het wil ook niet zeggen dat all die hit zijn van clients die je willen monitoren.

Overigens mag niet iedereen zomaar bijhouden wat wie doet, daar zijn privacy regels voor.

barfieldmv @Destralak • 11 oktober 2007 09:52

Neee, niet mijn porno sites!

Serieus bedoel ik dat het blocken adh van een lijst niet altijd even slim is. Mischien zitter er wel enkele normale shares tussen die nu dus nooit meer wat kunnen downloaden. Dan is die porn uploader ook een van de grootste mp3 aanbieders.

Chillmeister @Destralak • 11 oktober 2007 09:55

bedankt voor de tip. Die ga ik vanavond meteen uit proberen

MaikelG @Destralak • 11 oktober 2007 11:49

bedankt voor de tip, heb het net geinstalleerd en doet zijn werk zo te zien goed.

Voor mensen die over traagheid klagen (niets van gemerkt trouwens): gewoon alleen Peerguardian draaien als je je P2P prog ook gestart hebt

Fean @Destralak • 12 oktober 2007 15:55

De pest met peerguardian is dat je database zo enorm groeit!

Laatst 11gb in de prullebak moeten dumpen!

Maar verders...ik heb nog steeds geen reactie van Brein gehad;-)

soepkip 11 oktober 2007 11:13

IP adres =! iemand die de overtreding begaat

Een aantal bezwaren die aan te voeren zijn

ip adres kan gespoofd worden.

Iemand kan via jouw wireless de overtreding hebben begaan

Er zijn meerdere individuen (1e graads familie, hoef je niet tegen te getuigen) in huis die toegang tot de PC hebben waar de overtreding is begaan

Downloaden in nederland mag, aanbieden niet, maar wat nou als je je niet "bewust" bent dat je aan het aanbieden bent

Vaak gebruikt men lijsten met namen van materiaal wat zou worden aangeboden, wie zegt dat het ook daadwerkelijk dat auteursrechtelijk materiaal betreft.

Al is het bewezen dat het bepaald auteursrechtelijk materiaal betreft, bij veel p2p netwerken doenload je niet alles bij een client.... wat bij jouw is weggehaald betreft een aantal losse bestandjes waaruit je geen auteursrechtelijk materiaal uit kan terughalen

enz enz enz ik denk dat de tweakers zo nog een 10 tal bezwaren kunnen aanvoeren waarom de bewijslast in een CIVIELE zaak tekortschiet (in een civile zaak kan de bewijslast echt niet zomaar omgedraait worden)

GrooV @soepkip • 11 oktober 2007 13:01

IP adressen kunnen niet gespoofded worden over het internet om te downloaden, anders kan je namelijk niks ontvangen omdat de packets naar het gespoofde IP gestuurd worden.

IP Spoofing werkt alleen bij DDOS aanvallen zodat je servers tegen elkaar op kan zetten en elkaar dus plat DDOS'en

En zowieso de eigenaar van de verbinding is verantwoordelijk, deze mag dan uitleggen wie dat gedaan heeft of er zelf voor opdraaien.

Sefyu 11 oktober 2007 13:13

Je kan Peerguardian instellen om HTTP verkeer door te laten en al het andere verkeer te controleren.
Draai eens Peerguardian en download een ep van een bekende serie als Heroes, Prison Break etc, honderen, soms duizenden hits met beschrijvingen als:

MediaDefender
SafeNet
Office Of The President Of Lithuania
Deutsche Telecom
Warner Bros
Sony
Spammer
P2P abuser

En ga zo maar door.
Daarom draai ik Peerguardian ten alle tijden(of is het ten allen tijde?)

mae-t.net @Sefyu • 11 oktober 2007 15:38

Te allen tijde, de oorspronkelijke naamvalsverbuigingen zijn in deze uitdrukking blijven bestaan.

http://www.onzetaal.nl/advies/teallen.php
http://taaladvies.net/taal/advies/vraag/783/
http://www.dbnl.org/tekst...l02/_taa001taal02_008.htm

[Reactie gewijzigd door mae-t.net op 22 juli 2024 19:24]

Verwijderd 11 oktober 2007 09:54

Alleen nog steeds jammer dat PeerGuardian niet onder vista werkt...

Deem @Verwijderd • 11 oktober 2007 10:29

Nog niet, wat ik begrepen heb van de website van PeerGuardian is dat ze intern bezig zijn met een versie die werkt voor Vista.

ernstblaauw @Deem • 11 oktober 2007 13:14

http://phrosty.phoenixlabs.org/pg2-rc1/

Verwijderd @Verwijderd • 11 oktober 2007 12:15

Ik gebruik Peerguardian toch onder Vista, dacht dat ze een maand of 2 geleden een versie klaar hadden met Vista support?

Jogai @Verwijderd • 11 oktober 2007 10:50

en onder linux. Moblock zou het moeten kunnen maar die zit niet in Gentoo portage.

Beun de Haas @Verwijderd • 11 oktober 2007 11:21

Dat zijn de gebruikers die volgens velen nu juist op linux over moeten stappen.
Vaak wordt gezegd dat linux net zo makkelijk is als windows, omdat "alles er al in zit". Uit jouw reactie en de reactie daarvoor blijkt dat als het een beetje anders dan normaal wordt je nog steeds allerlei trucs moet uithalen om de boel aan de praat te krijgen. Niet iedereen heeft daar tijd voor of zin in. Een commando van drie regels intypen is wel wat anders dan "dubbelklik Setup, ja, volgende, volgende, klaar".
Dat jij nu vind dat elke linux gebruiker dat dan maar even moet kunnen, wil niet zeggen dat iedereen dan maar een hele studie er van moet gaan maken.

iceheart @Beun de Haas • 11 oktober 2007 11:46

mwoah, mee eens maar wel gentoo (of all...) gebruiken en vervolgens moeilijk doen als je geen kant en klaar package hebt vind ik ook wel een beetje omgekeerd redeneren...

Brent @Verwijderd • 11 oktober 2007 12:34

Euh, ik ben er zoeen? Ik weet niet wat jij vind, maar even een pakketje aptgetten vind ik een stuk leuker dan zelf compileren.

alex3305 @Brent • 11 oktober 2007 13:51

Het is wel een stuk makkelijker, maar je moet niet echt zeuren als je package niet standaard in de tree zit en je hem zelf niet kunt compilen. Het is zo dat als je Linux gebruikt, dat je er toch meer tijd in moet steken dan wanneer je bijvoorbeeld Windows gebruikt naar mijn mening...

Brent @alex3305 • 11 oktober 2007 14:23

Het is mijn mening dat niets moet en alles mag. Waar slaat het op dat als ik een Linux-distro gebruik, ik opeens meer tijd en moeite moet investeren, niet omdat het (soms) nodig is, maar omdat het moet?

Nergens op dus. Ik wil lekker point-and-click, drag-n-drag, plug-n-play Linux, en in hoge mate is dat al zo met distros als Ubuntu.

Ramzzz 11 oktober 2007 09:36

Betrappen en er bang voor moeten zijn, hangt samen met een aantal ander factoren:

iemand moet je willen betrappen
daar de bevoegdheid voor hebben
er iets mee doen in de zin van juridische stappen
er moet in de wet iets over staan

Anders is het fijn, hoor, als ik betrapt zou worden...

[Reactie gewijzigd door Ramzzz op 22 juli 2024 19:24]

ThE_ED @Ramzzz • 11 oktober 2007 10:56

In Groningen wordt je gewoon voor een tijd van het studenten-netwerk geknald als ze een notice krijgen van die of gene "rechthebbende". Ik kan me niet voorstellen dat andere netwerken dat niet krijgen, maar volgens mij sturen de meeste providers in NL dat soort klachten richting /dev/null ofzo in plaats van actie te ondernemen.

Arne @ThE_ED • 11 oktober 2007 12:04

Nee hoor, die sturen een mailtje of je het niet meer wil doen.
edit: @home iig

[Reactie gewijzigd door Arne op 22 juli 2024 19:24]

Sibylle @ThE_ED • 11 oktober 2007 12:07

kan ik me niet voorstellen. Je hebt het over de universiteit gerelateerde sutdenten-netwerk?
Alle landelijke providers hebben gewoon fair-use policy, en het zal ze een worst zijn wat je download (of zelfs upload).

Universiteiten die maakt het over het algemeen nog minder uit, omdat die toch dikke kabels hebben liggen via SurfNET.

Stijn @Sibylle • 11 oktober 2007 12:58

Waarom krijgen wij hier (TU) dan een brief als ik een torrent down/upload? Het gaat niet om de bandbreedte, maar om het feit dat ik blijkbaar illegaal bezig was en de universiteit daar bericht over had gekregen.

[Reactie gewijzigd door Dirk op 22 juli 2024 19:24]

arjankoole

Internettoegang

@Stijn • 11 oktober 2007 13:10

Waarom krijgen wij hier (TU) dan een brief als ik een torrent down/upload? Het gaat niet om de bandbreedte, maar om het feit dat ik blijkbaar illegaal bezig was en de universiteit daar bericht over had gekregen.

Misschien zit daar iemand die zich heeft bang laten maken door Brein?

Brein zegt immers dat downloaden illigaal is, en er zijn genoeg mensen die daar in trappen.

Het kan natuurlijk ook zo zijn dat de TU een afwijkende policy heeft, en niet toestaat dat mensen hun netwerk gebruiken voor dergelijke doeleinden. Dat is in weze hun goed recht.

[Reactie gewijzigd door Dirk op 22 juli 2024 19:24]

ThE_ED @arjankoole • 11 oktober 2007 14:36

Het gaat ook om het upload gedeelte bij torrents.

In principe hun goed recht, maar ook wel een beetje boter op het hoofd; een dikke lijn leggen en dan zeggen dat je niets met torrents mag doen. (DC++ enzo mag natuurlijk weer wel omdat dat allemaal "gesloten" hubs zijn waardoor ze geen notice krijgen van rechthebbenden.)

Kevinp @arjankoole • 11 oktober 2007 14:38

echter kan het ook zijn, wat heel vaak gebeurd, dat programma's via torrents worden aangeboden.

Naast eigen servers hebben veel (ook gratis) programma's de mogelijkheid om de torrent te downloaden.

Een bekend voorbeeld (ok niet van toepassing op een bedrijsnetwerk) is de blizzard downloader. Dat is een torrent client.

ThE_ED @Sibylle • 11 oktober 2007 14:33

Dat dacht ik ook altijd, maar een bekende van me werd er (na 1 waarschuwing) toch vanaf gegooid voor een week. (Van het studentennetwerk in de flats (Flits, ofzo) wat dus idd gewoon aan SurfNET zit, als het goed is.)

Mar2zz 11 oktober 2007 10:13

Dat is voor alle P2P. Installeer Peerguardian 2 maar eens, en draai die naast het downloaden van een populair bestand. Je zult schrikken van alle enge adressen die geblocked worden. Diezelfde geblockte adressen hebben misschien wel je IP lopen loggen voordat je Peerguardian gebruikte. Usenet FTW! Ook wel leuk om via WHOIS.net die geblockte adressen nog even na te gaan voor wat extra griezelarij.

gassiepaart @Mar2zz • 11 oktober 2007 11:03

e zult schrikken van alle enge adressen die geblocked worden.

waarom is dat schrikken? het zegt niks over welke ip ranges nou daadwerkelijk loggen...

[Reactie gewijzigd door gassiepaart op 22 juli 2024 19:24]

pietje63 11 oktober 2007 10:44

Ligt er ook een beetje aan welke lijsten je van PG2 gebruikt he.. Als je bijv. de educational list blokkeert mis je ook heel wat mensen die via de uni hun 100bmit lijntje misbruiken (en er zitten volgens mij niet echt vervelende mensjes achter).

Verder scheelt het ook veel of je 'openbare' P2P (zoals Kazaa, Limiwire, Piratebay, Mininova) gebruikt of dat je gebruik maakt van privat-trackers zonder DHT. Vooral op de wat kleinere (maar daarom vaak niet minder goede) privat trackers zit je volgens mij wel veilig.

ThE_ED @pietje63 • 11 oktober 2007 11:00

De kleine private trackers zijn vaak goed omdat ze allemaal goede seeders hebben. Dat hele bittorent protocol is eigenlijk vrij onnodig op die manier; 1 seed en dan toch 3MB/s halen, enzo.

Verwijderd 11 oktober 2007 09:38

Ik zie wel aan de logs van PeerGuardian dat er heel veel geblockt wordt. En ook als ik eMule uitzet blijven sommigen het proberen.

Het wisselt wel: "vroeger" (jaartje geleden) kwam er een hele berg blocks als ik eMule opstartte en darana werd het iets rustiger, nu blijft het aantal blocks vrijwel gelijk tijdens opstarten en gewoon runnen.