Сражение с битторрентом

Вот интересная проблема / сценарий, которой могут воспользоваться некоторые системные администраторы:

Владелец многоквартирного дома предоставляет бесплатный доступ в Интернет своим жильцам. В основном у него есть T1, идущий в здание, и в каждой квартире есть вилка CAT5 в стене. Доступ в интернет является «бесплатным» (включен в арендную плату или что-то еще) для арендаторов.

Проблема в том, что некоторые из арендаторов загружают нелегальные фильмы / музыку через bittorrent. В результате MPAA и RIAA отправляют «настиграм» владельцу интернет-соединения (то есть владельцу квартиры) в отношении нелегальных загрузок.

Владелец квартиры заблокировал списки торрент-сайтов, а также несколько расширений файлов на уровне маршрутизатора, но проблема сохраняется.

Я хотел бы знать, есть ли у кого-нибудь разумное / недорогое решение этой проблемы? QoS, очевидно, работает только до определенного момента, потому что bittorrent может использовать практически любой порт, который ему нужен. Проверка пакетов не работает на зашифрованных соединениях и т. Д.

Владелец квартиры сказал, что был бы счастлив, если бы он мог просто увидеть трафик загрузки / выгрузки (то есть потенциальных нарушителей) отдельных квартир.

Есть идеи?

ОБНОВЛЕНИЕ: не заинтересованы в обсуждении юридических / юридических / социальных вопросов, а также реальных технических решений (какими бы они ни были). Я хотел бы попросить вас проголосовать за ТЕХНИЧЕСКИЕ обсуждения по юридическим / социальным. Благодарность!

ОТВЕТ: Выбрал ответ Джастина Скотта как правильный ответ из-за его предложения использовать управляемые коммутаторы и MRTG. Хотя было бы лучше блокировать битторрент или, по крайней мере, сделать его чрезвычайно сложным, MRTG и управляемый коммутатор позволят нам легко идентифицировать нарушителя (ей).

Если у каждой квартиры есть собственный порт на управляемом коммутаторе где-то в здании, увидеть уровень их трафика должно быть довольно просто с чем-то вроде MRTG.

Тем не менее, это больше похоже на юридический вопрос, чем на технический вопрос. IANAL, но, пытаясь контролировать соединение, владелец фактически отказывается от любого вида статуса «общего перевозчика», который он мог иметь (если вообще имел). Если бы я был в таком положении, каждая квартира получала бы статический IP-адрес для выхода в Интернет. Если MPAA / RIAA постучат, я вежливо направлю их арендатору, который «владеет» соответствующим IP-адресом.

Имеет ли он разрешение своего интернет-провайдера сдавать в аренду T1 другим? Если так, то он фактически является обычным оператором связи (например, телефонной компанией) и не несет ответственности за использование услуги. Как только он начинает принимать меры для предотвращения определенного трафика, он берет на себя ответственность. Я бы связался с адвокатом, прежде чем делать что-либо вообще.

Если он не уполномочен своим провайдером сдавать в субаренду их T1, я бы даже не стал вмешиваться. "Вы на своем приятеле."

Лучшее социальное решение, которое я видел, - это передать письмо арендаторам, а после 3 уведомлений прекратить их интернет-обслуживание. Большинство комплексов, в которых я работал, имеют такую ​​политику, и она работает хорошо. После первой или второй буквы вы видите, что их пропускная способность значительно снизилась.

Иначе я бы не волновался об этом. Он не отключит соединение для получения массовых писем или писем «мы видели, как ты это скачивал». Вероятность того, что он попадет в суд, очень мала. Лично, если бы у меня был T1 (или что-то более быстрое ...), я бы попросил блок IP-адреса и дал бы каждой квартире свой публичный IP-адрес, тогда было бы тривиально отследить, кто что сделал, и переложить вину.

Все здесь уже говорили о проблемах законности с такой установкой, так что я больше не буду бить эту мертвую лошадь.

Если вам нужен хороший бесплатный инструмент для мониторинга интернет-трафика, вы можете попробовать IPAUDIT, поскольку он даст вам довольно хорошую информацию об использовании трафика вашего хоста. У меня есть сообщение со следующим вопросом ( IPAUDIT - это решение для мониторинга трафика на основе Linux): /server/8267/monitor-internet-bandwidth

Вы также можете найти несколько хороших ответов в этом вопросе: Мониторинг сетевого трафика.

Я собираюсь быть очень негативным по этому поводу ... Попытка бороться с Бит Торрентом с технической точки зрения приведет к большому количеству головных болей при почти нулевой эффективности. Бит Torrent может быть инкапсулирован в SSL на порту 443, что делает его ничем не отличающимся от просмотра веб-сайта HTTPS.

Единственное решение - поговорить с людьми и заставить их замедлиться или просто остановиться ...

Я бы посмотрел на график статистики использования полосы пропускания. Поскольку он использует проводное распределение, использование счетчиков SNMP (при условии, что коммутаторы распределения способны) является одним из отличных способов получения статистики (при условии, что клиенты не отправляют трафик никуда, кроме Интернета - то есть не одноранговые в локальной сети). ) об использовании пропускной способности. MRTG, Cacti и т. Д. Ваш друг для этого.

Если арендаторы работают в одноранговой сети, ему необходимо выполнить профилирование трафика на выходе в Интернет. Вы можете сделать это по дешевке с установкой Linux iptables и некоторыми правилами ведения журнала.

Владелец, вероятно, лучше обслужен, говоря об этом адвокату (хотя это будет стоить денег). Было бы неплохо, если бы он удостоверился, что не станет целью судебных разбирательств.

Он должен быть очень осторожным с его юридическим статусом, как упомянуто в других должностях. Поговорите с адвокатом.

Есть несколько технических средств, чтобы справиться с этим. Но я боюсь, что попытка чего-либо только углубит его. Адвокат может попытаться провести технический контроль в нескольких направлениях.

Ни одно доброе дело не остается безнаказанным.

(Или он мог просто установить peerguardian в качестве службы шлюза)

Единственный разумный способ обеспечить целостность вашей сети - по умолчанию ограничить весь доступ, кроме разрешенного вами. Все остальные методы, если вы все еще настаиваете на полном контроле над сетью, это просто игра в догонялки с новейшими самыми большими (и самыми старыми известными) протоколами, используемыми для отправки данных от a к b и наоборот.

Но если вас интересует безопасность работы и много административной работы, сделайте это.

Кстати, вы не сказали, из какой страны вы приехали, юрисдикция по этой теме во всем мире совершенно иная, но я предполагаю, что США, так как вы говорите о трубе T1.

Что-то, что, по-видимому, работает очень хорошо в штатах, переписывается с некоторым юридическим жаргоном, заявляющим, что они могут выбрать одно из двух объяснений:

• Владелец авторских прав дал неявное право на использование доступности этой работы
• Полученная работа не совпадает с работой, указанной в ваших утверждениях

Всегда заканчивайте свое письмо дружеским приветствием и возможностью дальнейшего обсуждения этого вопроса, указав свой консультативный тариф.

Я улучшу лучший ответ.

Вам следует купить устройство Smoothwall Firewall (или IPCop, MonoWall, LEAF или pfSense), потому что Smoothwall использует MRTG. Smoothwall предоставит вам все виды дополнительных функций.

Вы можете купить дешевое устройство с межсетевым экраном с двумя сетевыми картами всего за несколько сотен долларов.

или сделайте его самостоятельно, используя материнскую плату mini-ITX с двумя сетевыми платами, например, EPIA-M700 (257 долларов США), EPIA LT или EPIA PE.

Я бы сказал, чтобы установить соединение / разъединение / адрес пакета UDP и протоколирование DHCP на маршрутизаторе и включить номер порта маршрутизатора в журналы. Идея заключается в том, что в письме RIAA должна быть указана дата / время / ip нарушения. Исходя из этого, вы можете посмотреть, какой порт маршрутизатора (и, следовательно, какая квартира) совершает нарушение, и переслать письмо. Эти журналы будут большими, но поскольку они не содержат содержимого пакета, они не должны быть слишком большими. И если арендодатель NATting, входящий трафик UDP должен быть очень маленьким.

Это позволяет домовладельцу доказать (насколько он может), какая сторона несет ответственность, и соответствующим образом передать им неприятности. В любом судебном процессе домовладелец должен быть в состоянии успешно выбраться из всего, кроме ответа на некоторые повестки в суд для регистрации.