阻止BitTorrent

如何在小型办公室网络上阻止或严重减慢BitTorrent和类似的对等（P2P）服务？

在搜索服务器故障时，我找不到一个可以作为最佳技术思路的集合点的问题。现有的问题都是关于特定情况的，而主要的回答本质上是社会/法律上的。这些是有效的方法，但是我怀疑，纯粹的技术性讨论对许多人都将是有用的。假设您无权访问网络上的计算机。

随着P2P流量中加密使用的增加，似乎有状态数据包检查正变得不太可行。对我来说似乎很有意义的一个想法就是通过IP限制重度用户，而不管他们发送或接收的是什么，但是目前看来，没有多少路由器支持该功能。

您如何限制P2P / BitTorrent流量？

我认为大多数询问“如何锁定X”的方法都是错误的。这是不良枚举。

现在，请拒绝我，但我认为您应该（如使用“常规”防火墙一样）只允许与已知正常流量匹配的流量。但是现在您遇到了一个问题，SSL加密的HTTP流量不那么容易被允许。有一些解决方案可以有效地使人处于中间攻击状态，因此，如果您无法完全控制客户并签署合同，而人们可能会因此受到法律指控（在某些国家，这是完全被法律禁止的） ，某些国家/地区在合同中允许此类条款）。

对我而言，您想要区分P2P和正常流量的唯一明智的选择是应用程序防火墙。IP或传输层的防火墙无法明智地决定是否实际有效负载是有效请求。

去过那里，尝试过。只是行不通。在SOHO环境中（例如在我工作的地方），无法分辨什么是P2P和什么是“合法”流量，因为我们拥有的设备并不那么复杂。我发现唯一有价值的方法是“手动”方法。

我的监视系统（Nagios）在防火墙外部接口上的流量在两个连续的检查周期（相隔5分钟）内保持在预设点之上时发出警报。发生这种情况时，我查看了防火墙（Smoothwall）管理界面上的实时流量显示，如果我看到一台特定的计算机具有相当连续的进出Internet流量，则可以远程查看该计算机上正在运行什么。如果我发现我所知道的是P2P客户，我将对该用户进行访问。

这是很粗糙的，但这是非常重要的一点，这是我所能提供的一切，我能做到的最好。

我的首选方法是将客户端配置为限制自身。这似乎是最简单有效的方法。几乎每个客户都支持它。我使用的是古老的ctorrent客户端，甚至它还通过CTCS扩展支持可动态配置的节流。

如果客户端或管理用户拒绝这样做，并且社交工程失败，那么我会直接使用QFQ或WF2Q。没有大多数50美元的SOHO路由器不支持它，这是技术性和复杂性的操作，您需要付费。我构建了自己的Alix或Soekris供电的路由器（每个零件的成本通常约为100美元，而eBay上没有用过的零件），因此我可以运行m0n0-wall，pfSense或直接的FreeBSD（我选择的操作系统，尽管没有理由不能使用Linux） ）。最近，我一直在研究RouterStation，作为这些SBC的廉价替代品。

在我以前的老板处，ResTek的聪明人管理着一个大型大学宿舍网络，不得不处理很多工作。他们最终得到了一个数据包整形器，该数据整形器取消了BT流量相对于普通HTTP流量的优先级。数据包仍然通过，共享仍然发生，但是花了¹岁的狗。根据他们的说法，它确实运行良好。

即使使用有效载荷加密，BT流量也可以通过其形状来识别。与许多其他节点的许多持久连接。它仍然可以规避，因此并不完美。

1：那他们做了什么？将Schlep转移到园区WLAN来进行BT处理。因此，当数字千年版权法案（DMCA）通知进来时，专属门户网站已经记录了他们的登录名和IP信息，因此我们只知道与谁交谈。

在SOHO环境中？

• l7-filter是Linux iptables的扩展，它允许防火墙规则在数据包中的应用程序层数据上进行匹配。将此添加到现有的iptables防火墙...
• 从用户的计算机上删除BitTorrent客户端。