Блокировка BitTorrent

Как можно заблокировать или сильно замедлить работу BitTorrent и аналогичных одноранговых (P2P) сервисов в сети небольшого офиса?

В поиске сбоя сервера я не смог найти вопрос, который послужил бы точкой сбора лучших технических идей по этому вопросу. Все существующие вопросы касаются конкретных ситуаций, а доминирующие ответы носят социальный / правовой характер. Это правильные подходы, но, я подозреваю, чисто техническая дискуссия будет полезна многим людям. Давайте предположим, что у вас нет доступа к машинам в сети.

С ростом использования шифрования в трафике P2P кажется, что проверка пакетов с отслеживанием состояния становится менее работоспособным решением. Одна идея, которая, кажется, имеет смысл для меня, заключается в простом подавлении активных пользователей по IP, независимо от того, что они отправляют или получают, но, похоже, в настоящее время многие маршрутизаторы не поддерживают эту функцию.

Как вы можете уменьшить трафик P2P / BitTorrent?

Я думаю, что большинство подходов, которые спрашивают «Как заблокировать X», просто неверны. Это перечисление дурности.

А теперь иди вниз, проголосуй за меня, но я думаю, что ты должен (как и в случае с «обычными» брандмауэрами) просто разрешить трафик, соответствующий известному хорошему трафику. Но теперь у вас есть проблема, HTTP-шифрованный трафик не так просто разрешить. Есть решения для этого, которые по сути являются человеком, находящимся в центре атаки, поэтому, если у вас нет полного контроля над клиентами и подписаны контракты, когда люди соглашаются на слежку, вы можете столкнуться с судебными обвинениями (в некоторых странах это полностью запрещено законом). некоторые страны допускают такие условия в контрактах).

Для меня единственный нормальный уровень, где вы хотите различать P2P и обычный трафик, это брандмауэр приложений. Брандмауэр на уровне IP или на транспортном уровне не может разумно принимать решения о том, является ли действительная полезная нагрузка действительным запросом или нет.

Был там, попробовал это. Просто не сработает. В среде SOHO, например, там, где я работаю, невозможно определить, что такое P2P и что такое «законный» трафик, поскольку имеющееся у нас оборудование не так уж сложно. Единственный способ, который я нашел, который вообще чего-то стоит, - это более «ручной» способ.

Моя система мониторинга (Nagios) предупреждает меня, когда трафик на внешнем интерфейсе брандмауэра остается выше заданной точки в течение более двух последовательных периодов проверки, которые разнесены на 5 минут. Когда это происходит, я смотрю на отображение живого трафика на интерфейсе управления брандмауэром (Smoothwall), и если я вижу конкретную машину с довольно непрерывным потоком трафика в Интернет или из Интернета, я удаленно смотрю, что работает на этой машине. , Если я увижу что-то, что, как я знаю, является P2P-клиентом, я нанесу этому пользователю визит.

Это довольно грубо, но, и это довольно важный момент, это лучшее, что я могу сделать с тем, что у меня есть .

Мой предпочтительный метод состоит в том, чтобы настроить клиента на газ. Это, кажется, самый простой и эффективный метод. Почти каждый клиент поддерживает это; Я использую древний клиент ctorrent и даже он поддерживает динамически настраиваемое регулирование через расширение CTCS .

Если клиент или управляющий пользователь отказывается это сделать, и социальная инженерия терпит неудачу, я бегу прямо к QFQ или WF2Q . Большинство SOHO-маршрутизаторов за 50 долларов не поддерживают его, это сложная и техническая операция, вы получаете то, за что платите . Я создаю свои собственные маршрутизаторы на базе Alix или Soekris (стоимость обычно составляет около 100 долларов США с использованными частями вне eBay), чтобы я мог запустить m0n0-wall , pfSense или прямую FreeBSD (моя предпочтительная ОС, хотя Linux по какой-то причине не мог использоваться ). В последнее время я рассматривал RouterStation как более дешевую альтернативу этим SBC .

Умные люди из ResTek у моего старого работодателя, которые управляли большой сетью общежитий университета, должны были много с этим справляться. В итоге они создали пакетный формирователь, который расставил приоритеты в BT-трафике по сравнению с обычным HTTP-трафиком. Пакеты все еще проходили, и обмен все еще происходил, но это заняло собак в возрасте ^{1 года} . По их словам, это сработало очень хорошо.

Даже с зашифрованными данными, BT-трафик узнаваем по своей форме; много несколько постоянных соединений с множеством других узлов. Это все еще обходимо, поэтому не идеально.

1: Так что они сделали? Пройдите в кампус WLAN к вещам BT. Поэтому, когда пришли уведомления DMCA, портал авторизации уже записал их логин и информацию об IP, поэтому мы точно знали, с кем поговорить.

В среде SOHO?

• l7-фильтр является расширением для Linux iptables, которое позволяет правилам брандмауэра соответствовать данным уровня приложений в пакетах. Добавьте это в существующий брандмауэр iptables ...
• Удалите клиенты BitTorrent с компьютеров пользователей.