Chặn BitTorrent


8

Làm cách nào để chặn hoặc làm chậm nghiêm trọng BitTorrent và các dịch vụ ngang hàng (P2P) tương tự trên mạng văn phòng nhỏ của một người?

Khi tìm kiếm Server Fault, tôi không thể tìm thấy một câu hỏi đóng vai trò là điểm tập hợp cho những ý tưởng kỹ thuật tốt nhất về vấn đề này. Các câu hỏi hiện có là tất cả về các tình huống cụ thể và các câu trả lời chủ yếu mang tính chất xã hội / pháp lý. Đó là những cách tiếp cận hợp lệ, nhưng một cuộc thảo luận kỹ thuật thuần túy sẽ hữu ích cho nhiều người, tôi nghi ngờ. Giả sử rằng bạn không có quyền truy cập vào các máy trên mạng.

Với việc sử dụng mã hóa ngày càng tăng trong lưu lượng P2P, có vẻ như kiểm tra gói trạng thái đang trở thành một giải pháp ít khả thi hơn. Một ý tưởng có vẻ hợp lý với tôi chỉ đơn giản là hạ gục người dùng nặng bằng IP, bất kể họ đang gửi hay nhận gì - nhưng dường như không có nhiều bộ định tuyến hỗ trợ chức năng đó vào lúc này.

Làm thế nào bạn có thể điều tiết lưu lượng P2P / BitTorrent?


Là một ý tưởng trừu tượng (tôi không thể đề xuất về mặt kỹ thuật cách bạn sẽ thực hiện điều này, tôi cũng có thể, không đủ chi tiết để trở thành một câu trả lời hợp lệ), bạn có thể DPI cho các gói được yêu cầu theo dõi vì chúng thường là các yêu cầu HTTP . Bạn có thể bỏ những thứ này chỉ để lại những thứ như DHT và PEX, những thứ dễ phát hiện hơn, và đến lượt nó, lọc ra.
jwbensley

Câu trả lời:


10

Tôi nghĩ rằng hầu hết các cách tiếp cận hỏi "Làm thế nào để tôi khóa X" hoàn toàn sai. Đó là liệt kê tính xấu.

Bây giờ hãy tải xuống cho tôi nhưng tôi nghĩ rằng bạn nên (như bạn làm với tường lửa "bình thường") chỉ cho phép lưu lượng phù hợp với lưu lượng truy cập tốt. Nhưng bây giờ bạn có một vấn đề, lưu lượng HTTP được mã hóa SSL không dễ cho phép. Có nhiều giải pháp cho một người đàn ông trong cuộc tấn công trung gian một cách hiệu quả, vì vậy nếu bạn không có toàn quyền kiểm soát khách hàng và ký hợp đồng nơi mọi người chấp nhận bị rình mò bạn có thể phải đối mặt với các cáo buộc pháp lý (ở một số quốc gia bị pháp luật cấm hoàn toàn , một số quốc gia cho phép các điều khoản như vậy trong hợp đồng).

Đối với tôi, mức độ lành mạnh duy nhất mà bạn muốn phân biệt giữa P2P và lưu lượng truy cập bình thường là một tường lửa ứng dụng. Không có cách nào để tường lửa ở IP hoặc lớp vận chuyển hoàn toàn đưa ra quyết định về thời gian tải trọng thực tế có phải là một yêu cầu hợp lệ hay không.


+1 Điều này đặc biệt áp dụng cho các mạng SOHO, không có hoặc không thể chứng minh thiết bị có thể xác định lưu lượng P2P.
John Gardeniers

9

Đã ở đó, đã thử nó. Chỉ không làm việc. Trong môi trường SOHO, chẳng hạn như nơi tôi làm việc, không có cách nào để biết P2P là gì và lưu lượng truy cập "hợp pháp" là gì, vì thiết bị chúng ta không tinh vi đến thế. Cách duy nhất tôi thấy có giá trị gì cả là cách "thủ công" hơn.

Hệ thống giám sát của tôi (Nagios) thông báo cho tôi khi lưu lượng truy cập trên giao diện bên ngoài của tường lửa vẫn ở trên điểm đặt trước trong hơn hai giai đoạn kiểm tra liên tiếp, cách nhau 5 phút. Khi điều này xảy ra, tôi nhìn vào màn hình lưu lượng truy cập trực tiếp trên giao diện quản lý tường lửa (Smoothwall) và nếu tôi thấy một máy cụ thể có lưu lượng truy cập khá liên tục đến hoặc từ Internet, tôi có một cái nhìn từ xa để xem những gì đang chạy trên máy đó . Nếu tôi thấy một cái gì đó mà tôi biết là một khách hàng P2P, tôi sẽ trả cho người dùng đó một lượt truy cập.

Điều này khá thô thiển, nhưng, đây là một điểm khá quan trọng, đó là điều tốt nhất tôi có thể làm với những gì tôi có sẵn cho tôi .


3

Phương pháp ưa thích của tôi là cấu hình máy khách để điều tiết chính nó. Đây dường như là phương pháp đơn giản và hiệu quả nhất. Hầu như mọi khách hàng đều ủng hộ nó; Tôi sử dụng máy khách ctorrent cổ đại và thậm chí nó còn hỗ trợ điều chỉnh cấu hình động thông qua tiện ích mở rộng CTCS .

Nếu khách hàng hoặc người quản lý từ chối làm như vậy và kỹ thuật xã hội không thành công, tôi chạy thẳng đến QFQ hoặc WF2Q . Không có hầu hết các bộ định tuyến SOHO $ 50 không hỗ trợ nó, đây là một hoạt động kỹ thuật và phức tạp, bạn sẽ nhận được những gì bạn phải trả cho . Tôi xây dựng các bộ định tuyến hỗ trợ Alix hoặc Soekris của riêng mình (chi phí thường khoảng 100 đô la cho mỗi bộ phận đã sử dụng ngoài eBay) để tôi có thể chạy m0n0-wall , pfSense hoặc FreeBSD (hệ điều hành mà tôi chọn, mặc dù không có lý do nào mà Linux không thể sử dụng ). Gần đây tôi đã xem xét RouterStation như một sự thay thế rẻ hơn cho các SBC này .


1
+1. trên một mạng nhỏ, bạn sẽ không có các hộp $$$ DPI đó để kiểm tra lưu lượng p2p. Sẽ dễ dàng hơn để kiểm tra tất cả các máy tính nếu phần mềm p2p được cài đặt hay không.
petrus

1

Những người thông minh tại ResTek tại công ty cũ của tôi, người đang quản lý một mạng lưới Ký túc xá Đại học lớn, đã phải đối phó với vấn đề này rất nhiều. Họ đã kết thúc với một trình tạo mẫu gói giảm lưu lượng BT ưu tiên so với lưu lượng HTTP thông thường. Các gói vẫn có được thông qua và chia sẻ vẫn xảy ra, nhưng phải mất một con chó 1 tuổi . Theo họ, nó hoạt động thực sự tốt.

Ngay cả với tải trọng được mã hóa, lưu lượng BT có thể được nhận ra bởi hình dạng của nó; rất nhiều kết nối hơi liên tục đến nhiều nút khác. Nó vẫn có thể phá vỡ, vì vậy không hoàn hảo.


1: Vậy họ đã làm gì? Schlep qua trường WLAN để BT mọi thứ. Vì vậy, khi các thông báo DMCA xuất hiện, cổng bị khóa đã ghi lại thông tin đăng nhập và IP của họ để chúng tôi biết chỉ cần nói chuyện với ai.


0

Trong môi trường SOHO?

  • Bộ lọc l7 là một phần mở rộng cho iptables Linux, cho phép các quy tắc tường lửa khớp với dữ liệu của lớp ứng dụng trong các gói. Thêm phần này vào tường lửa iptables hiện có ...
  • Xóa ứng dụng khách BitTorrent khỏi máy của người dùng.
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.