Memblokir BitTorrent

Bagaimana seseorang dapat memblokir, atau sangat memperlambat, BitTorrent dan layanan peer-to-peer (P2P) serupa di jaringan kantor kecil seseorang?

Dalam mencari Kesalahan Server saya tidak dapat menemukan pertanyaan yang berfungsi sebagai titik temu untuk ide-ide teknis terbaik tentang ini. Semua pertanyaan yang ada adalah tentang situasi spesifik, dan jawaban yang dominan bersifat sosial / hukum. Itu adalah pendekatan yang valid, tetapi diskusi teknis murni akan bermanfaat bagi banyak orang, saya kira. Mari kita asumsikan bahwa Anda tidak memiliki akses ke mesin di jaringan.

Dengan meningkatnya penggunaan enkripsi dalam lalu lintas P2P, sepertinya pemeriksaan paket stateful menjadi solusi yang kurang bisa diterapkan. Satu ide yang tampaknya masuk akal bagi saya adalah dengan membatasi pengguna berat dengan IP, terlepas dari apa yang mereka kirim atau terima - tetapi tampaknya tidak banyak router mendukung fungsi itu saat ini.

Bagaimana Anda dapat membatasi lalu lintas P2P / BitTorrent?

Saya pikir sebagian besar pendekatan yang bertanya "Bagaimana cara mengunci X" jelas salah. Ini penghitungan kejahatan.

Sekarang turunkan voting saya, tetapi saya pikir Anda harus (seperti yang Anda lakukan dengan firewall "normal") hanya mengizinkan lalu lintas yang cocok dengan lalu lintas yang dikenal baik. Tetapi sekarang Anda memiliki masalah, lalu lintas HTTP terenkripsi SSL tidak semudah itu dibolehkan. Ada solusi untuk itu yang secara efektif adalah seorang pria dalam serangan tengah jadi jika Anda tidak memiliki kendali penuh atas klien dan menandatangani kontrak di mana orang menerima pengintaian Anda mungkin menghadapi tuntutan hukum (di beberapa negara yang benar-benar dilarang oleh hukum) , beberapa negara mengizinkan ketentuan tersebut dalam kontrak).

Bagi saya satu-satunya tingkat waras di mana Anda ingin membedakan antara P2P dan lalu lintas normal adalah firewall aplikasi. Tidak ada cara untuk firewall di IP atau lapisan transport untuk secara waras membuat keputusan apakah muatan yang sebenarnya adalah permintaan yang valid atau tidak.

Pernah ke sana, mencobanya. Tidak akan berhasil. Dalam lingkungan SOHO, seperti tempat saya bekerja, tidak ada cara untuk mengetahui apa itu P2P dan apa yang "sah" lalu lintas, karena peralatan yang kami miliki tidak secanggih itu. Satu-satunya cara saya menemukan apa pun yang bernilai sama sekali adalah cara yang lebih "manual".

Sistem pemantauan saya (Nagios) memberi tahu saya ketika lalu lintas pada antarmuka eksternal firewall tetap di atas titik yang telah ditentukan selama lebih dari dua periode pemeriksaan berturut-turut, yang berjarak 5 menit. Ketika ini terjadi, saya melihat tampilan lalu lintas langsung pada antarmuka manajemen firewall (Smoothwall) dan jika saya melihat mesin tertentu dengan aliran lalu lintas yang cukup berkesinambungan ke atau dari Internet, saya memiliki tampilan jarak jauh untuk melihat apa yang berjalan pada mesin itu. . Jika saya melihat sesuatu yang saya tahu adalah klien P2P saya akan mengunjungi pengguna itu.

Ini sangat kasar tetapi, dan ini adalah poin yang cukup penting, itu yang terbaik yang bisa saya lakukan dengan apa yang saya miliki .

Metode pilihan saya adalah mengonfigurasi klien untuk melambatkan diri. Ini tampaknya menjadi metode yang paling sederhana dan efektif. Hampir setiap klien mendukungnya; Saya menggunakan klien ctorrent kuno dan bahkan mendukung pelambatan yang dapat dikonfigurasi secara dinamis melalui ekstensi CTCS .

Jika klien atau mengelola pengguna menolak untuk melakukannya, dan rekayasa sosial gagal, saya menjalankan langsung untuk QFQ atau WF2Q . Tidak ada router SOHO $ 50 paling tidak mendukungnya, ini adalah operasi teknis dan rumit, Anda mendapatkan apa yang Anda bayar . Saya membangun router bertenaga Alix atau Soekris saya sendiri (biayanya sekitar $ 100 masing-masing dengan suku cadang bekas dari eBay) sehingga saya dapat menjalankan m0n0-wall , pfSense , atau FreeBSD lurus (OS pilihan saya, meskipun tidak ada alasan Linux tidak dapat digunakan) ). Akhir-akhir ini saya telah melihat RouterStation sebagai alternatif yang lebih murah untuk SBC ini .

Orang-orang pintar di ResTek di perusahaan lama saya, yang mengelola jaringan Asrama Universitas yang besar, harus sering berurusan dengan ini. Mereka berakhir dengan paket-pembentuk yang de-prioritas lalu lintas BT relatif terhadap lalu lintas HTTP normal. Paket masih melewati dan berbagi masih terjadi, tetapi butuh anjing umur ¹ . Menurut mereka, itu bekerja dengan sangat baik.

Bahkan dengan payload terenkripsi, lalu lintas BT dapat dikenali dari bentuknya; banyak koneksi yang agak persisten ke banyak node lainnya. Itu masih bisa diatasi, jadi tidak sempurna.

1: Jadi apa yang mereka lakukan? Schlep ke WLAN kampus untuk hal-hal BT. Jadi ketika pemberitahuan DMCA masuk, portal captive telah mencatat informasi login dan IP mereka sehingga kami tahu siapa yang harus diajak bicara.

Di lingkungan SOHO?

• l7-filter adalah ekstensi untuk iptables Linux yang memungkinkan aturan firewall untuk mencocokkan pada data lapisan aplikasi dalam paket. Tambahkan ini ke firewall iptables yang ada ...
• Hapus klien BitTorrent dari mesin pengguna.