论文部分内容阅读
最近公司“严打”,凡发现在上班时间BT下载,每人次罚款n元。以前公司对BT,讲究的是“无为而治”,结果网速有如龟爬,叫骂声此起彼伏——“谁又在BT?拖出去斩了!”
这天,公司新来了一个网管,网名叫“杀无赦”,据说是个科班出身,很有来头。新官上任三把火,这第一把火就烧向了BT——连一个小小的BT都治不了,这简直是对网管的侮辱。“杀无赦”跟BOSS说,取消那个罚款的规定吧,都什么年代了,还搞这种没技术含量的规定,一切交给我来办。
宝剑出鞘,谁与争锋,一场针对局域网内部的“亮剑”行动展开了……
讲述网管自己的故事
我叫朱永,之前看了那么多网管的故事,觉得大家在技术上都有自己的心得,我就不来搀合了。我讲个“做网管,拣个老婆”的故事:这天,某网吧的网管正在百无聊赖,忽然发现网吧里坐着一个美女。网管祈祷着美女坐的那台电脑出点什么问题,好有机会接近她,搭搭讪。
一小时过去了,一切正常。网管心里急啊,正在一筹莫展之即,他灵机一动,下载了一个小软件,很快就查到了那美女的QQ号码。一个月之后,他们闪电结婚了。
那个小软件名叫“QQ第六感”,而那个拣了老婆的,正是在下。
分析——发生在局域网内的“传销”
BT全名为BitTorrent,与传统FTP、HTTP等下载方式不同,使用BT的人数越多,速度越快。它采用的是一种类似“传销”的方式来达到共享,在下载的同时,也在为其他用户提供上传,所以不会随着用户数的增加而降低下载速度。使用非常方便,其特点简单地说就是:下载的人越多,速度越快。(见图1)
现在我们的目的是封杀BT,那么先来分析一下,完成一整次BT下载行为,究竟有哪些步骤:获得BT种子→BT客户端开始连接BT种子的Tracker服务器→依靠局域网端口进行内外连接→下载和上传文件→完成传输。
明白了BT下载的原理和流程,我们就能对症下药,从各个环节着手对其进行封杀了。分析到这里,“杀无赦”心里有谱了,他准备进行多方封堵,宁可错杀一千,绝不放过一个。
封杀实战——七种方法封BT
正式封杀开始了,“杀无赦”为了保证万无一失,决定从各个层面一起发力。下面就是他想出的几个办法。
亮剑行动一:禁止访问BT种子站点
操作难度:★★
封杀效果:★
BT种子的下载网站很多,但考虑到BT下载的特点:下载的人数越多,速度越快。种子越多,速度越快。因此只有比较热门的BT网站的种子文件下载的人才会比较多,一般的BT网站去的人就比较少,下载的人数也少,除非他能忍受每秒几KB的速度。
因此可以针对比较热门的BT网站,在安全网关上配置URL过滤规则,之后,在出接口上启用过滤Http_Filter功能,禁止对它们的访问即可。
小提示:
目前比较热门的BT网站有:http://www.btchina.net/、http://www.ttbt.cn/、http://bt.ydy.com/、http://www.bitower.com/等,具体可以参考hao123收集的网站:http://www.hao123.com/bt.htm。
亮剑行动二:封杀Tracker服务器
操作难度:★★★
封杀效果:★★
Tracker是指运行于服务器上的一个程序,这个程序能追踪到底有多少人同时在下载同一个文件。客户端连上Tracker服务器,就会获得一个下载人员的名单,据此BT会自动连上别人的机器进行下载。一般对Tracker服务器的访问以HTTP的形式进行。 (见图2)
如果企业网络的网关具有图形管理日志,则可以查询到关于HTTP信息的所有记录,如果有BT下载,则在日志中发现相应的HTTP报文,根据报文内容可以得到Tracker服务器信息,然后可以在设备中配置规则,禁止内部用户访问该服务器。
Tracker服务器的数量应该远少于热门BT网站的数量,很多网站都是转的其他网站的Torrent,如果可以找出这些Tracker服务器的地址,这是一种非常有效的方法。
小提示:
有网友已经整理了常见的Tracker服务器列表,大家不必辛苦地监测了,直接封杀掉就ok了:http://zoujx.blogdriver.com/zoujx/424496.html。
亮剑行动三:封杀BT端口
操作难度:★★★
封杀效果:★★
大家都知道如果要限制某项服务,就要在路由器上设置ACL(访问控制列表)将该服务所用的端口封掉,从而阻止该服务的正常运行。对BT软件,我们可以尝试封它的端口。一般情况下,BT软件使用的是6880~6890端口,我们可以在公司的核心路由器上使用以下命令将6880~6890端口全部封锁:
access-list 101 deny tcp any any range 6880 6890
access-list 101 deny tcp any range 6880 6890 any
access-list 101 permit ip any any
接着进入相应端口,输入“ip access-group 101 out”命令来使访问控制列表生效。
亮剑行动四:限制上下行速率
操作难度:★★
封杀效果:★★★
进入路由器管理页,依次点击左边菜单栏里的“高级设置→LAN/IP控制”进入管理页面,勾选“使用下列中出现的规则”,设置好起始IP和终止IP,并设置好“下载速率”和“上传速率”并单击“添加”按钮即可。(见图3)
这是从限制上、下载速率的角度来封杀BT,至少可以让下载者的速度慢如龟爬,也不至于占用大量局域网带宽。当然,这一方法的缺点就是可能对其他的网络应用也会造成一定影响,所以建议大家在设置下载速率和上传速率时留有余地。
亮剑行动五:使用HTTP代理对应用层协议进行过滤
操作难度:★★★
封杀效果:★★★
当BT客户端下载时,必须进行Tracker查询,Tracker通过HTTP的GET命令的参数来接收信息,而响应给对方的是Bencoded编码的消息。在HTTP请求报文中,携带了BT的特征值(User-Agent):BitTorrent。
实际上我们在《办公室里的“猫鼠大战”——网管封杀聊天软件攻防实例》一文中已经介绍了利用类似方法来封杀聊天软件的方法,这里封杀BT的方法也类似,以ISA Server 2004为例,具体操作如下:
第1步 打开ISA Server 2004服务器的控制台窗口,右键单击“允许用户访问外部网络”规则,在弹出菜单中选择“配置HTTP”选项。接着在“为规则配置HTTP策略”对话框中,切换到“签名”标签页,现在就可以利用签名功能,禁用HTTP代理。
第2步 切换到“签名”标签,点击“添加”按钮,弹出签名配置对话框,在“名称”栏中输入“BT”,然后在“查找范围”下拉列表框中选择“请求头”选项,在“HTTP头”栏中输入“User-Agent:”,然后还要在“签名”栏中输入“BitTorrent”,最后连续两次点击“确定”按钮即可完成设置。(见图4)
亮剑行动七:通过防火墙设置
操作难度:★★★
封杀效果:★★
我们可以在服务器上装一些专业防火墙来屏蔽BT下载端口。下面我以“瑞星个人防火墙2006”为例进行讲解,其他的防火墙也可以参照此设置。
第1步 打开瑞星防火墙主界面,点击“选项→规则设置”,打开“瑞星个人防火墙规则设置”窗口。在列表中点右键,从弹出的窗口中选择“添加”,则会弹出“添加规则”窗口。
第2步 其中,“名称”为该规则的名称,可随意填;“类别”选为“应用程序”;“操作”选为“禁止”,表示该规则是用来禁止某些操作;“方向”选为“发送”;“数据链”选为“全部”;“协议”为“TCP或UDP”;再往下我们可以看到几个选项卡,选中“端口号”选项卡,在“目的端口设置”中选中“端口范围”这一项,并在“起始端口号”和“终止端口号”中分别填入6881和6889,该范围内的端口就是BT软件使用的端口。
第3步 选项设置好后,点击“添加”。这样,在“自定义IP规则”页中就增加了一个新的规则,该规则会在服务器下一次启动的时候生效。
这天,公司新来了一个网管,网名叫“杀无赦”,据说是个科班出身,很有来头。新官上任三把火,这第一把火就烧向了BT——连一个小小的BT都治不了,这简直是对网管的侮辱。“杀无赦”跟BOSS说,取消那个罚款的规定吧,都什么年代了,还搞这种没技术含量的规定,一切交给我来办。
宝剑出鞘,谁与争锋,一场针对局域网内部的“亮剑”行动展开了……
讲述网管自己的故事
我叫朱永,之前看了那么多网管的故事,觉得大家在技术上都有自己的心得,我就不来搀合了。我讲个“做网管,拣个老婆”的故事:这天,某网吧的网管正在百无聊赖,忽然发现网吧里坐着一个美女。网管祈祷着美女坐的那台电脑出点什么问题,好有机会接近她,搭搭讪。
一小时过去了,一切正常。网管心里急啊,正在一筹莫展之即,他灵机一动,下载了一个小软件,很快就查到了那美女的QQ号码。一个月之后,他们闪电结婚了。
那个小软件名叫“QQ第六感”,而那个拣了老婆的,正是在下。
分析——发生在局域网内的“传销”
BT全名为BitTorrent,与传统FTP、HTTP等下载方式不同,使用BT的人数越多,速度越快。它采用的是一种类似“传销”的方式来达到共享,在下载的同时,也在为其他用户提供上传,所以不会随着用户数的增加而降低下载速度。使用非常方便,其特点简单地说就是:下载的人越多,速度越快。(见图1)
现在我们的目的是封杀BT,那么先来分析一下,完成一整次BT下载行为,究竟有哪些步骤:获得BT种子→BT客户端开始连接BT种子的Tracker服务器→依靠局域网端口进行内外连接→下载和上传文件→完成传输。
明白了BT下载的原理和流程,我们就能对症下药,从各个环节着手对其进行封杀了。分析到这里,“杀无赦”心里有谱了,他准备进行多方封堵,宁可错杀一千,绝不放过一个。
封杀实战——七种方法封BT
正式封杀开始了,“杀无赦”为了保证万无一失,决定从各个层面一起发力。下面就是他想出的几个办法。
亮剑行动一:禁止访问BT种子站点
操作难度:★★
封杀效果:★
BT种子的下载网站很多,但考虑到BT下载的特点:下载的人数越多,速度越快。种子越多,速度越快。因此只有比较热门的BT网站的种子文件下载的人才会比较多,一般的BT网站去的人就比较少,下载的人数也少,除非他能忍受每秒几KB的速度。
因此可以针对比较热门的BT网站,在安全网关上配置URL过滤规则,之后,在出接口上启用过滤Http_Filter功能,禁止对它们的访问即可。
小提示:
目前比较热门的BT网站有:http://www.btchina.net/、http://www.ttbt.cn/、http://bt.ydy.com/、http://www.bitower.com/等,具体可以参考hao123收集的网站:http://www.hao123.com/bt.htm。
亮剑行动二:封杀Tracker服务器
操作难度:★★★
封杀效果:★★
Tracker是指运行于服务器上的一个程序,这个程序能追踪到底有多少人同时在下载同一个文件。客户端连上Tracker服务器,就会获得一个下载人员的名单,据此BT会自动连上别人的机器进行下载。一般对Tracker服务器的访问以HTTP的形式进行。 (见图2)
如果企业网络的网关具有图形管理日志,则可以查询到关于HTTP信息的所有记录,如果有BT下载,则在日志中发现相应的HTTP报文,根据报文内容可以得到Tracker服务器信息,然后可以在设备中配置规则,禁止内部用户访问该服务器。
Tracker服务器的数量应该远少于热门BT网站的数量,很多网站都是转的其他网站的Torrent,如果可以找出这些Tracker服务器的地址,这是一种非常有效的方法。
小提示:
有网友已经整理了常见的Tracker服务器列表,大家不必辛苦地监测了,直接封杀掉就ok了:http://zoujx.blogdriver.com/zoujx/424496.html。
亮剑行动三:封杀BT端口
操作难度:★★★
封杀效果:★★
大家都知道如果要限制某项服务,就要在路由器上设置ACL(访问控制列表)将该服务所用的端口封掉,从而阻止该服务的正常运行。对BT软件,我们可以尝试封它的端口。一般情况下,BT软件使用的是6880~6890端口,我们可以在公司的核心路由器上使用以下命令将6880~6890端口全部封锁:
access-list 101 deny tcp any any range 6880 6890
access-list 101 deny tcp any range 6880 6890 any
access-list 101 permit ip any any
接着进入相应端口,输入“ip access-group 101 out”命令来使访问控制列表生效。
亮剑行动四:限制上下行速率
操作难度:★★
封杀效果:★★★
进入路由器管理页,依次点击左边菜单栏里的“高级设置→LAN/IP控制”进入管理页面,勾选“使用下列中出现的规则”,设置好起始IP和终止IP,并设置好“下载速率”和“上传速率”并单击“添加”按钮即可。(见图3)
这是从限制上、下载速率的角度来封杀BT,至少可以让下载者的速度慢如龟爬,也不至于占用大量局域网带宽。当然,这一方法的缺点就是可能对其他的网络应用也会造成一定影响,所以建议大家在设置下载速率和上传速率时留有余地。
亮剑行动五:使用HTTP代理对应用层协议进行过滤
操作难度:★★★
封杀效果:★★★
当BT客户端下载时,必须进行Tracker查询,Tracker通过HTTP的GET命令的参数来接收信息,而响应给对方的是Bencoded编码的消息。在HTTP请求报文中,携带了BT的特征值(User-Agent):BitTorrent。
实际上我们在《办公室里的“猫鼠大战”——网管封杀聊天软件攻防实例》一文中已经介绍了利用类似方法来封杀聊天软件的方法,这里封杀BT的方法也类似,以ISA Server 2004为例,具体操作如下:
第1步 打开ISA Server 2004服务器的控制台窗口,右键单击“允许用户访问外部网络”规则,在弹出菜单中选择“配置HTTP”选项。接着在“为规则配置HTTP策略”对话框中,切换到“签名”标签页,现在就可以利用签名功能,禁用HTTP代理。
第2步 切换到“签名”标签,点击“添加”按钮,弹出签名配置对话框,在“名称”栏中输入“BT”,然后在“查找范围”下拉列表框中选择“请求头”选项,在“HTTP头”栏中输入“User-Agent:”,然后还要在“签名”栏中输入“BitTorrent”,最后连续两次点击“确定”按钮即可完成设置。(见图4)
亮剑行动七:通过防火墙设置
操作难度:★★★
封杀效果:★★
我们可以在服务器上装一些专业防火墙来屏蔽BT下载端口。下面我以“瑞星个人防火墙2006”为例进行讲解,其他的防火墙也可以参照此设置。
第1步 打开瑞星防火墙主界面,点击“选项→规则设置”,打开“瑞星个人防火墙规则设置”窗口。在列表中点右键,从弹出的窗口中选择“添加”,则会弹出“添加规则”窗口。
第2步 其中,“名称”为该规则的名称,可随意填;“类别”选为“应用程序”;“操作”选为“禁止”,表示该规则是用来禁止某些操作;“方向”选为“发送”;“数据链”选为“全部”;“协议”为“TCP或UDP”;再往下我们可以看到几个选项卡,选中“端口号”选项卡,在“目的端口设置”中选中“端口范围”这一项,并在“起始端口号”和“终止端口号”中分别填入6881和6889,该范围内的端口就是BT软件使用的端口。
第3步 选项设置好后,点击“添加”。这样,在“自定义IP规则”页中就增加了一个新的规则,该规则会在服务器下一次启动的时候生效。