将BT下载对抗到底
随着互联网业务的多元化,各种P2P应用也越来越多,在企业中多数流量都会被类似于BT的下载所占用,BT之所以会危害到局域网,是因为它占用了大量网络带宽。网络管理员可以通过一些管理软件或者网络硬件配置,针对应用流进行较细粒度的速率限制,例如将BT用户下载的优先级限制为5(0最高,7最低),带宽限制为64Kbps。这样可以确保BT软件使用的同时不会影响其他业务的开展。比如Mcafee的IPS可以对BT进行封锁(不完全基于软件),Packeteer 9500可以对各种七层应用进行流量限制,优先保障HTTP(不完全基于BT软件)。H3C的UTM防火墙支持限制BT,华为的NE20路由器支持限制BT。
限制BT的方式
现在这种对抗BT的应用已经要求业务将安全防范定位在了应用层设备,对于部分中小企业实际可以利用已有的设备例如路由、交换对其加以控制。
一、NBAR网络应用识别
在Cisco 网站上下载一个叫做Bittorrent.dplm的文件,通过TFTP或SSH上传到路由器上
1. 定义BT协议
- ip nbar pdlm bittorrent.pdlm
2. 定义Class-map和policy-map
- class-map mathc-all bittorent
- match protocol bittorrent
- polic-map bittorrent-policy
- class bittorrent
- drop
3. 应用到接口上
- interface fastethernet 0/0
- service-policy input bittorrent-policy
- service-policy output bittorrent-policy
PDLM是为了扩展NBAR对网络协议和应用的识别能力而设置的通过一些预订好的PDLM模块,Cisco路由器就能够识别出相应的协议和应用而不需升级IOS。如何获得更多的PDLM的下载?http://www.cisco.com/cgi-bin/tablebuild.pl/pdlm 不过需要CCO账号,而且需要路由器IOS和相关模块的支持。
二、封BT网站和端口
我们可以对比较热门的BT网站进行过滤,在安全网关上配置URL过滤规则,之后,在出接口上启用过滤HTTP_Filter功能,禁止对它们的访问即可。解决BT对局域网的危害,最彻底的方法是不允许进行BT下载。BT一般使用TCP的6881-6889端口,网络管理员可以根据网络流量的变化进行判断,在网关中将特定的种子发布站点和端口封掉,在BT下载软件的Track中可以获得这些信息。但是现在大多数BT软件可以修改端口号,因此网管可以根据实际情况,在不影响正常业务的情况下尽可能将封闭的端口范围扩大,把一些特定的种子发布站点和端口进行封闭。
常用BT端口(包括TCP和UDP):1881-1889;4661,4662,4665,4672,4711;6881-6999;77771-7999;8881-8999;16881-16999;18881-18999,有待继续增加。
三、限制用户总带宽
现在有些交换机支持端口限速,这样可以把用户总的带宽限制,也可以达到目的,但对用户的正常应用难以保障。
四、限制最大连接数量
在使用BT软件时,下载者会周期性地向Tracker登记,使得Tracker能了解它们的进度,下载者之间通过直接连接进行数据的上传和下载。这种连接使用的是BitTorrent对等协议,它基于TGP。因此,网络管理员可以针对这些特点,对TGP最大连接数进行控制,从而达到控制BT对网络带宽的占用。
五、其他方法
如果是小型局域网,有的代理软件支持限制BT,如网络岗、BT终结者等。另外,微软的ISA也支持限制P2P应用,当然可以在设备上启用QoS也是可以的。
本文出自 “李晨光原创技术博客” 博客,谢绝转载!