Skype

Alexander Gretencord arutha at gmx.de
Sun Nov 15 16:48:11 CET 2009 

On November 15, 2009 08:51:38 connectnet at web.de wrote:
> Habe heute im Firewall-Protokoll meines IPCop gesehen, dass Skype versucht
> beim Start über den UDP Port 14774 Daten an die folgenden IPs zu versenden:

Und das wird nicht der einzige Port sein, den dein Skype probiert und auch 
nicht die einzigen IPs.

> 79.219.93.115 = DTAG-DIAL24 Deutsche Telekom AG DEUTSCHLAND

Dialin, also ein user wie du und ich.

> 188.16.124.26 = Dynamic distribution IP's for broadband services Russian
> Federation RUSSIA

Dialin. Ob du es glaubst oder nicht, die Russen haben auch ISPs und ganz 
normale Menschen, die online gehen :)

> 65.184.19.101 = Road Runner HoldCo LLC USA

Road Runner ist ein US ISP

> 188.34.13.66 = ASRETELECOM IRAN

Eine dialup IP im Iran. Hier gilt dasselbe wie bei Russland.

> ist das für mich unschädlich. 

Im Gegenteil. Fuer Skype ist es erst einmal schaedlich, dass du alle Ports 
sperrst, denn Skype hat keine festen Ports. Skype verwendet aber ein paar 
Methoden, um trotz deiner Sperren zu komunizieren, wie es ihm beliebt.

> Mich interessiert allerdings, warum Skype Daten nach Russland und in den
> Iran versenden will?

Das liegt daran, wie Skype funktioniert. Skype nutzt ein Peer-To-Peer 
Protokoll. Das heisst es gibt keinen festen Server, ueber den alles versendet 
wird, wie etwa bei ICQ, MSN oder AIM etc. Google einfach mal nach Peer to Peer 
Netzwerken und Protokollen, dann wirst du verstehen, wieso Skype "Daten nach 
Russland und in den Iran versenden will".

In kurz gleich hier, vielleicht hilft das ja schon zum Verstaendnis:

Bei einem P2P-Netzwerk kommuniziert jeder mit jedem. Willst du mit mir 
telefonieren oder chatten ueber Skype, schicken wir nicht beide eine Nachricht 
an den Server, und der Server schickt es an mich und dich weiter, sondern wir 
schicken einfach direkt Nachrichten zwischen uns hin und her. 

Es gibt zwei Moeglichkeiten, wieso da jemand nach Russland und in den Iran 
(und in die USA und nach Deutschland) sendet.

Ein solches Netzwerk hat natuerlich Probleme zu wissen, wer denn alles online 
ist und welcher Skype-Name sich hinter welcher IP versteckt usw. Wuerde dein 
Skype einfach an alle IPs im Internet eine Anfrage stellen, ob denn da 
eventuell dein Freund hinter steckt, mit dem du chatten willst, wuerdest du 
nie fertig. Daher muss es natuerlich immer noch so etwas wie einen Server 
geben. Das sind die sogenannten Super-Nodes. Diese uebernehmen ein paar mehr 
Aufgaben, als nur zu chatten und zu reden. Mit diesen Super-Nodes wollen 
natuerlich nun alle andere Skype Clients reden, um Informationen zu erhalten. 
Die Super Nodes koennen natuerlich auch offline gehen, daher sind Super Nodes 
nicht fest, sondern jeder Skype Client kann im Prinzip zur Super-Node werden. 
Natuerlich waehlt Skype das nach Kriterien, wie verfuegbarer Kapazitaet der 
Rechners und der Netzwerkverbindung geschickt aus.

Es kann also zum Beispiel sein, dass diese IPs alle zu Rechnern gehoeren, die 
Super-Nodes waren, als du offline gegangen bist.

Nun macht Skype aber noch etwas anderes, um sich gegen solche Leute wie dich 
zu wehren, die einfach alle Ports sperren. Haetten alle Leute alle Ports 
gesperrt, koennte Skype natuerlich nicht mehr funktionieren. Daher kann es 
alle deine Kommunikation einfach ueber Umwege umleiten. Nehmen wir mal an, du 
und ich wollen reden, aber wir haben beide alle eingehenden Ports gesperrt und 
du hast auch noch alle ausgehenden Ports gesperrt.

Skype hat jetzt keine Chance von dir aus zu mir direkt zu verbinden, um die 
Chat-Nachricht abzuliefern. Aber halt! Natuerlich hast du nicht alle Ports 
gesperrt! Du erlaubst es natuerlich, Anfragen auf zum Beispiel Port 80 zu 
verschicken, denn du willst ja surfen. Oder auf Port 25, denn du willst ja 
EMails verschicken. etc. Skype sucht sich jetzt also einen Port heraus, auf 
dem es durch deine Firewall versenden kann, sagen wir einmal Port 80. 
Natuerlich ist auf meiner Seite Port 80 eingehend gesperrt, bzw. knallt auf 
meinen Router. Wir koennen also immer noch nicht reden. Stattdessen schickt 
Skype die Nachricht jetzt einfach von dir aus zu irgendeinem anderen Skype, 
zum Beispiel im Iran oder in Russland auf Port 80, denn irgendwo gibt es 
sicher jemanden, der auf Port 80 Skype Nachrichten annehmen kann. Der wiederum 
hat mit einer Super-Node Verbindung, ich habe mit einer Super-Node Verbindung 
und auf diesem Wege kann die Nachricht weitergeleitet werden. Das ist alles 
total ineffizient, aber dafuer kommt die Nachricht durch, selbst wenn unsere 
beiden Firewalls fast komplett dicht sind. Port 80 war natuerlich nur ein 
Beispiel. Skype nimmt was auch immer du ihm anbietest und irgendwas musst du 
ihm anbieten, denn du willst ja selber mit der Welt kommunizieren.

Du siehst also, du hast keine Chance mit deiner Firewall Skype zu verbieten, 
das zu tun, was es will.


Alex

More information about the Linux mailing list