您如何使用Cisco ASA阻止torrent流量？

我已经参考了一篇有关如何阻止Bit torrent流量在线参考的旧的外部Cisco文章，此处

我发现此过程仅在50％的时间内有效。

我发现阻止了特定于torrent的特定端口，并且进行了正则表达式可以正常工作，但它并没有捕获所有流量。

object-group service bit-torrent-services tcp-udp
port-object eq 6969
port-object range 6881 6999

和

regex bit-torrent-tracker ".*[Ii][Nn][Ff][Oo]_[Hh][Aa][Ss][Hh]=.*"

有谁拥有更多最新的正则表达式来查找点种子流量？还是这是ASA目前的限制？

<joke>拔掉它</ joke>

Bittorrent客户端可以（并且确实）使用随机端口。阻塞公共端口只会鼓励用户转移到其他端口。而且，客户端间通信已经支持加密已有多年了（最初是作为限制ISP干扰的一种手段），从而使得实际的ptp通信无法识别。

在客户端-跟踪器通信中寻找“ info_hash”虽然有些有效，但也很容易被击败。（tor，ssl，vpn等）。它也无济于事，可以停止无跟踪器群（DHT），对等交换（PEX），UDP跟踪器协议...

如果您成功杀死了50％，算上自己是幸运的。这是一场无法赢得胜利的mol鼠游戏。

为所有受支持的应用程序协议以透明代理模式配置它，并且仅允许代理连接。包括BitTorrent在内的任何未知协议都将失败。用于BitTorrent的SSL隧道是不可行的，因此HTTPS并不是一个很大的漏洞。基本上让任何未经L7批准的路由连接都可以通过BitTorrent进行。

解决此问题的方法之一是通过制作一组特定的“控制”列表来对洪流流量进行速率分级。源端口和目标IP（您的IP池）。

排除常见服务的端口，例如RDP（远程桌面3389），VNC，HTTP 8080（替换为80）