Блокировка BitTorrent

Я думаю, что большинство подходов, которые спрашивают "Как заблокировать X", просто неверны. Это перечисление дурности.

А теперь опустите меня, но я думаю, что вы должны (как и в случае с "обычными" брандмауэрами) просто разрешить трафик, который соответствует известному хорошему трафику. Но теперь у вас есть проблема, HTTP-шифрованный трафик не так просто разрешить. Есть решения для этого, которые по сути являются человеком, находящимся в центре атаки, поэтому, если у вас нет полного контроля над клиентами и подписаны контракты, когда люди соглашаются на слежку, вы можете столкнуться с судебными обвинениями (в некоторых странах это полностью запрещено законом). некоторые страны допускают такие условия в контрактах).

Для меня единственный нормальный уровень, где вы хотите различать P2P и обычный трафик, это брандмауэр приложений. Брандмауэр на уровне IP или на транспортном уровне не может разумно принимать решения о том, является ли действительная полезная нагрузка действительным запросом или нет.

Был там, попробовал это. Просто не сработает. В среде SOHO, например, там, где я работаю, невозможно определить, что такое P2P и что такое "законный" трафик, поскольку имеющееся у нас оборудование не так уж сложно. Единственный способ, который я нашел, который вообще чего-то стоит, - это более "ручной" способ.

Моя система мониторинга (Nagios) предупреждает меня, когда трафик на внешнем интерфейсе брандмауэра остается выше заданной точки в течение более двух последовательных периодов проверки, которые разнесены на 5 минут. Когда это происходит, я смотрю на отображение живого трафика на интерфейсе управления брандмауэром (Smoothwall) и, если я вижу конкретную машину с довольно непрерывным потоком трафика в Интернет или из Интернета, я удаленно смотрю, что работает на этой машине., Если я увижу что-то, что, как я знаю, является P2P-клиентом, я нанесу этому пользователю визит.

Это довольно грубо, но, и это довольно важный момент, это лучшее, что я могу сделать с тем, что у меня есть.

Мой предпочтительный метод состоит в том, чтобы настроить клиента на газ. Это кажется самым простым и эффективным методом. Почти каждый клиент поддерживает это; Я использую древний клиент ctorrent и даже он поддерживает динамически настраиваемое регулирование через расширение CTCS.

Если клиент или управляющий пользователь отказывается это сделать, и социальная инженерия терпит неудачу, я бегу прямо к QFQ или WF2Q. Большинство SOHO-роутеров за $ 50 не поддерживают его, это сложная и техническая операция, вы получаете то, за что платите. Я создаю свои собственные маршрутизаторы на базе Alix или Soekris (стоимость обычно составляет около 100 долларов США с использованными частями вне eBay), чтобы я мог запустить m0n0-wall, pfSense или прямую FreeBSD (моя предпочтительная ОС, хотя Linux по какой-то причине не мог использоваться). В последнее время я рассматривал RouterStation как более дешевую альтернативу этим SBC.

Умные люди из ResTek у моего старого работодателя, которые управляли большой сетью общежитий университета, должны были много с этим справляться. В итоге они создали пакетный формирователь, который расставил приоритеты в BT-трафике по сравнению с обычным HTTP-трафиком. Пакеты все еще проходили, и обмен все еще происходил, но это заняло собак в возрасте^{1 года}. По их словам, это сработало очень хорошо.

Даже с зашифрованными данными, BT-трафик узнаваем по своей форме; много несколько постоянных соединений с множеством других узлов. Это все еще обходимо, поэтому не идеально.

1: Так что они сделали? Пройдите в кампус WLAN к вещам BT. Поэтому, когда пришли уведомления DMCA, портал авторизации уже записал их логин и информацию об IP, поэтому мы точно знали, с кем поговорить.

В среде SOHO?

• l7-фильтр является расширением для Linux iptables, которое позволяет правилам брандмауэра соответствовать данным уровня приложений в пакетах. Добавьте это в существующий брандмауэр iptables...
• Удалите клиенты BitTorrent с компьютеров пользователей.