将BT下载对抗到底

将BT下载对抗到底

     随着互联网业务的多元化，各种P2P应用也越来越多，在企业中多数流量都会被类似于BT的下载所占用，BT之所以会危害到局域网，是因为它占用了大量网络带宽。网络管理员可以通过一些管理软件或者网络硬件配置，针对应用流进行较细粒度的速率限制，例如将BT用户下载的优先级限制为5（0最高，7最低），带宽限制为64Kbps。这样可以确保BT软件使用的同时不会影响其他业务的开展。比如Mcafee的IPS可以对BT进行封锁（不完全基于软件），Packeteer 9500可以对各种七层应用进行流量限制，优先保障HTTP（不完全基于BT软件）。H3C的UTM防火墙支持限制BT，华为的NE20路由器支持限制BT。

限制BT的方式

现在这种对抗BT的应用已经要求业务将安全防范定位在了应用层设备，对于部分中小企业实际可以利用已有的设备例如路由、交换对其加以控制。

一、NBAR网络应用识别

在Cisco 网站上下载一个叫做Bittorrent.dplm的文件，通过TFTP或SSH上传到路由器上

1. 定义BT协议

 

ip nbar pdlm bittorrent.pdlm

2. 定义Class-map和policy-map

 

class-map mathc-all bittorent
match protocol bittorrent
polic-map bittorrent-policy
class bittorrent
drop

3. 应用到接口上

 

interface fastethernet 0/0
service-policy input bittorrent-policy
service-policy output bittorrent-policy

PDLM是为了扩展NBAR对网络协议和应用的识别能力而设置的通过一些预订好的PDLM模块，Cisco路由器就能够识别出相应的协议和应用而不需升级IOS。如何获得更多的PDLM的下载？http://www.cisco.com/cgi-bin/tablebuild.pl/pdlm 不过需要CCO账号，而且需要路由器IOS和相关模块的支持。

二、封BT网站和端口

我们可以对比较热门的BT网站进行过滤，在安全网关上配置URL过滤规则，之后，在出接口上启用过滤HTTP_Filter功能，禁止对它们的访问即可。解决BT对局域网的危害，最彻底的方法是不允许进行BT下载。BT一般使用TCP的6881-6889端口，网络管理员可以根据网络流量的变化进行判断，在网关中将特定的种子发布站点和端口封掉，在BT下载软件的Track中可以获得这些信息。但是现在大多数BT软件可以修改端口号，因此网管可以根据实际情况，在不影响正常业务的情况下尽可能将封闭的端口范围扩大，把一些特定的种子发布站点和端口进行封闭。

常用BT端口（包括TCP和UDP）：1881-1889；4661，4662，4665，4672，4711；6881-6999；77771-7999；8881-8999；16881-16999；18881-18999，有待继续增加。

三、限制用户总带宽

现在有些交换机支持端口限速，这样可以把用户总的带宽限制，也可以达到目的，但对用户的正常应用难以保障。

四、限制最大连接数量

在使用BT软件时，下载者会周期性地向Tracker登记，使得Tracker能了解它们的进度，下载者之间通过直接连接进行数据的上传和下载。这种连接使用的是BitTorrent对等协议，它基于TGP。因此，网络管理员可以针对这些特点，对TGP最大连接数进行控制，从而达到控制BT对网络带宽的占用。

五、其他方法

如果是小型局域网，有的代理软件支持限制BT，如网络岗、BT终结者等。另外，微软的ISA也支持限制P2P应用，当然可以在设备上启用QoS也是可以的。

 

 

本文出自 “李晨光原创技术博客” 博客，谢绝转载！