Memblokir BitTorrent

8

Bagaimana seseorang dapat memblokir, atau sangat memperlambat, BitTorrent dan layanan peer-to-peer (P2P) serupa di jaringan kantor kecil seseorang?

Dalam mencari Kesalahan Server saya tidak dapat menemukan pertanyaan yang berfungsi sebagai titik temu untuk ide-ide teknis terbaik tentang ini. Semua pertanyaan yang ada adalah tentang situasi spesifik, dan jawaban yang dominan bersifat sosial / hukum. Itu adalah pendekatan yang valid, tetapi diskusi teknis murni akan bermanfaat bagi banyak orang, saya kira. Mari kita asumsikan bahwa Anda tidak memiliki akses ke mesin di jaringan.

Dengan meningkatnya penggunaan enkripsi dalam lalu lintas P2P, sepertinya pemeriksaan paket stateful menjadi solusi yang kurang bisa diterapkan. Satu ide yang tampaknya masuk akal bagi saya adalah dengan membatasi pengguna berat dengan IP, terlepas dari apa yang mereka kirim atau terima - tetapi tampaknya tidak banyak router mendukung fungsi itu saat ini.

Bagaimana Anda dapat membatasi lalu lintas P2P / BitTorrent?

duozmo
sumber
Sebagai ide abstrak (saya tidak bisa merekomendasikan secara teknis bagaimana Anda akan melakukan hal ini, ya saya bisa, tidak cukup detail untuk menjadi jawaban yang valid), Anda bisa DPI untuk paket yang permintaan untuk pelacak karena mereka biasanya permintaan HTTP . Anda bisa menghapus ini hanya menyisakan hal-hal seperti DHT dan PEX, yang lebih mudah dikenali, dan pada gilirannya, filter thouse.
jwbensley

Jawaban:

10

Saya pikir sebagian besar pendekatan yang bertanya "Bagaimana cara mengunci X" jelas salah. Ini penghitungan kejahatan.

Sekarang turunkan voting saya, tetapi saya pikir Anda harus (seperti yang Anda lakukan dengan firewall "normal") hanya mengizinkan lalu lintas yang cocok dengan lalu lintas yang dikenal baik. Tetapi sekarang Anda memiliki masalah, lalu lintas HTTP terenkripsi SSL tidak semudah itu dibolehkan. Ada solusi untuk itu yang secara efektif adalah seorang pria dalam serangan tengah jadi jika Anda tidak memiliki kendali penuh atas klien dan menandatangani kontrak di mana orang menerima pengintaian Anda mungkin menghadapi tuntutan hukum (di beberapa negara yang benar-benar dilarang oleh hukum) , beberapa negara mengizinkan ketentuan tersebut dalam kontrak).

Bagi saya satu-satunya tingkat waras di mana Anda ingin membedakan antara P2P dan lalu lintas normal adalah firewall aplikasi. Tidak ada cara untuk firewall di IP atau lapisan transport untuk secara waras membuat keputusan apakah muatan yang sebenarnya adalah permintaan yang valid atau tidak.

Martin M.
sumber
+1 Ini berlaku khususnya untuk jaringan SOHO, yang tidak memiliki atau tidak dapat membenarkan peralatan yang mungkin dapat mengidentifikasi lalu lintas P2P.
John Gardeniers
9

Pernah ke sana, mencobanya. Tidak akan berhasil. Dalam lingkungan SOHO, seperti tempat saya bekerja, tidak ada cara untuk mengetahui apa itu P2P dan apa yang "sah" lalu lintas, karena peralatan yang kami miliki tidak secanggih itu. Satu-satunya cara saya menemukan apa pun yang bernilai sama sekali adalah cara yang lebih "manual".

Sistem pemantauan saya (Nagios) memberi tahu saya ketika lalu lintas pada antarmuka eksternal firewall tetap di atas titik yang telah ditentukan selama lebih dari dua periode pemeriksaan berturut-turut, yang berjarak 5 menit. Ketika ini terjadi, saya melihat tampilan lalu lintas langsung pada antarmuka manajemen firewall (Smoothwall) dan jika saya melihat mesin tertentu dengan aliran lalu lintas yang cukup berkesinambungan ke atau dari Internet, saya memiliki tampilan jarak jauh untuk melihat apa yang berjalan pada mesin itu. . Jika saya melihat sesuatu yang saya tahu adalah klien P2P saya akan mengunjungi pengguna itu.

Ini sangat kasar tetapi, dan ini adalah poin yang cukup penting, itu yang terbaik yang bisa saya lakukan dengan apa yang saya miliki .

John Gardeniers
sumber
3

Metode pilihan saya adalah mengonfigurasi klien untuk melambatkan diri. Ini tampaknya menjadi metode yang paling sederhana dan efektif. Hampir setiap klien mendukungnya; Saya menggunakan klien ctorrent kuno dan bahkan mendukung pelambatan yang dapat dikonfigurasi secara dinamis melalui ekstensi CTCS .

Jika klien atau mengelola pengguna menolak untuk melakukannya, dan rekayasa sosial gagal, saya menjalankan langsung untuk QFQ atau WF2Q . Tidak ada router SOHO $ 50 paling tidak mendukungnya, ini adalah operasi teknis dan rumit, Anda mendapatkan apa yang Anda bayar . Saya membangun router bertenaga Alix atau Soekris saya sendiri (biayanya sekitar $ 100 masing-masing dengan suku cadang bekas dari eBay) sehingga saya dapat menjalankan m0n0-wall , pfSense , atau FreeBSD lurus (OS pilihan saya, meskipun tidak ada alasan Linux tidak dapat digunakan) ). Akhir-akhir ini saya telah melihat RouterStation sebagai alternatif yang lebih murah untuk SBC ini .

Chris S
sumber
1
+1. pada jaringan kecil, Anda tidak akan memiliki kotak $$$ DPI untuk memeriksa lalu lintas P2P. Akan lebih mudah untuk memeriksa semua komputer jika perangkat lunak p2p diinstal atau tidak.
petrus
1

Orang-orang pintar di ResTek di perusahaan lama saya, yang mengelola jaringan Asrama Universitas yang besar, harus sering berurusan dengan ini. Mereka berakhir dengan paket-pembentuk yang de-prioritas lalu lintas BT relatif terhadap lalu lintas HTTP normal. Paket masih melewati dan berbagi masih terjadi, tetapi butuh anjing umur 1 . Menurut mereka, itu bekerja dengan sangat baik.

Bahkan dengan payload terenkripsi, lalu lintas BT dapat dikenali dari bentuknya; banyak koneksi yang agak persisten ke banyak node lainnya. Itu masih bisa diatasi, jadi tidak sempurna.


1: Jadi apa yang mereka lakukan? Schlep ke WLAN kampus untuk hal-hal BT. Jadi ketika pemberitahuan DMCA masuk, portal captive telah mencatat informasi login dan IP mereka sehingga kami tahu siapa yang harus diajak bicara.

sysadmin1138
sumber
0

Di lingkungan SOHO?

  • l7-filter adalah ekstensi untuk iptables Linux yang memungkinkan aturan firewall untuk mencocokkan pada data lapisan aplikasi dalam paket. Tambahkan ini ke firewall iptables yang ada ...
  • Hapus klien BitTorrent dari mesin pengguna.
Michael Hampton
sumber