為了不影響正常業務的進行,企業網絡的管理員需要想盡辦法封閉BT有可能經過的所有端口,將一些特定的種子發布站點阻擋在外,將企業內的BT嘗試整體封殺。
BT下載正給越來越多的企業辦公帶來危害,而公眾網、電信網中的BT下載,同樣也正在吞噬著運營網絡帶寬。一旦出現第一顆“種子”(下載源),大量的BT用戶就會跟進,形成大規模的BT下載網絡。與點到點不同的是,這種“群體生存”網絡,雖然體現了互聯網的自由,但是同樣也反映出互聯網的無序。而當這種無序性擴散到企業網和電信網中,則變成無法容忍的干擾。
BT全名為Bit Torrent,是一個P2P軟件,與傳統FTP、HTTP等下載方式不同,使用BT的人數越多,速度越快。傳統的FTP、HTTP、PUB是把文件由服務器端傳送到客戶端,這樣會出現一些問題:用戶數量的增多要求高帶寬和服務器的高性能,也會影響到服務器的穩定性,因此很多服務器都會有用戶人數的限制、下載速度的限制,這樣就給用戶造成了諸多的不便。而BT從根本上解決了這個問題,BT采用的是一種類似傳銷的方式來達到共享,在下載的同時,也在為其他用戶提供上傳,所以不會隨著用戶數的增加而降低下載速度。使用非常方便,其特點簡單地說就是:下載的人越多,速度越快。
常用的BT軟件有BitTorrent、PTC、Shareaza、BitTorrent++等。
● BitTorrent是一個多點下載的源碼公開的P2P軟件,使用非常方便,就像一個瀏覽器插件,很適合新發布的熱門下載。
● PTC(Personal Torrents Collector)是目前 BitTorrent下載用戶端里最好的軟件之一,PTC的多線程能力使用戶能夠批量更快地下載和上傳資源。
● Shareaza集合了eDonkey、Guntella和BT等流行P2P軟件的特點,并可以用于HTTP、FTP下載,具有優秀的界面、簡潔的操作以及極強的可制定性。
● BitTorrent++在功能上比BitTorrent有很大的改進,也更為人性化,彌補了BitTorrent過于簡單缺乏微調的缺陷,尤其是共享方面的功能。如果中途關閉了BitTorrent++,只要再次打開程序,就會繼續進行原來的下載,不用像BitTorrent的續傳那么麻煩。
這些BT下載軟件以其獨特的優勢受到廣大用戶的喜愛,不過,麻煩也隨之而來:如果多個用戶同時使用BT進行下載,會占用大量網絡帶寬,嚴重影響其他用戶的正常工作。在一些企業的局域網、學校的校園網、運營商的城域網中,都已經出現了BT濫用網絡資源的情況,影響到其他正常業務的開展。因此,在一些環境下完全有必要嚴格限制用戶的BT下載流量或完全禁止BT下載。總的來說,有以下七種最直接的方式可用。
限制瀏覽BT網站
BT網站很多,但考慮到BT下載的特點:下載的人數越多,速度越快;Seed越多,速度越快。只有比較熱門BT網站的Torrent文件下載的人才會比較多,一般的BT網站去的人就比較少,下載的人數也少,除非他能忍受每秒幾K的速度。 因此針對比較熱門的BT網站,在安全網關上配置URL過濾規則,之后,在出接口上啟用過濾Http_Filter功能,禁止對它們的訪問即可。
禁止訪問Tracker服務器
Tracker是指運行于服務器上的一個程序,這個程序能夠追蹤到底有多少人同時在下載同一個文件。客戶端連上Tracker服務器,就會獲得一個下載人員 的名單,據此BT會自動連上別人的機器進行下載。一般對tracker服務器的訪問以HTTP的形式進行。
如果企業網絡的網關具有圖形管理日志,則可以查詢到關于HTTP信息的所有記錄,如果有BT下載,則在日志中發現相應的HTTP報文,根據報文內容可以得到Tracker服務器信息,然后可以在設備中配置規則,禁止內部用戶訪問該服務器。
Tracker服務器的數量應該遠少于熱門BT網站的數量,很多網站都是轉的其他網站的Torrent,如果可以找出這些Tracker服務器的地址,這是一種非常有效的方法。利用天清漢馬多功能安全網關,根據查詢日志可以很容易找到Tracker服務器。
封閉BT下載端口
解決BT對局域網的危害,最徹底的方法是不允許進行BT下載,BT一般使用TCP的6881~6889的端口,網絡管理員可以根據網絡流量的變化進行判斷,在網關中將特定的種子發布站點和端口封掉,在BT下載軟件中的Track中可以獲得這些信息;但是現在大多數BT軟件可以修改端口號,因此網管可以根據實際情況,在不影響正常業務的情況下盡可能將封閉的端口范圍擴大,把一些特定的種子發布站點和端口進行封閉。
限制用戶帶寬
BT之所以會危害到局域網,是因為它占用了大量網絡帶寬。因此,限制每個用戶使用的網絡帶寬,可以明顯緩解BT對網絡的危害;同時對于一些運營性網絡,完全禁止BT使用是不合理的,限制每個BT的使用帶寬就成為一個比較好的選擇。網絡管理員可以通過一些管理軟件或者網絡硬件配置,針對應用流進行較細粒度的速率限制,例如將BT用戶下載的優先級限制為5(0最高,7最低),帶寬限制為64Kbps。這樣可以確保BT軟件使用的同時不會影響其他業務的開展。
限制最罅?
在使用BT軟件時,下載者會周期性地向tracker登記,使得tracker能了解它們的進度,下載者之間通過直接連接進行數據的上傳和下載,這種連接使用的是 BitTorrent 對等協議,它基于TCP。因此網絡管理員可以針對這些特點,對TCP最大連接數進行控制,從而達到控制BT對網絡帶寬的占用。
使用HTTP代理對應用層協議進行過濾
當BT客戶端下載時,必須進行Tracker查詢,Tracker通過HTTP的GET命令的參數來接收信息,而響應給對方(下載者)的是Bencoded編碼的消息。在HTTP請求報文中,攜帶了BT的特征值 User-Agent:BitTorrent。
網絡管理員針對該情況,可以通過一些安全管理設備以及流量管理設備,甚至網絡管理系統軟件,過濾特定的應用層數據包(如HTTP數據包),然后根據BT數據包中的關鍵字(BitTorrent),從HTTP數據包中過濾BT數據包(如圖1所示)。
 |
| 圖1 使用HTTP 代理方式過濾BT |
阻斷BT流
現在還有一些BT軟件不通過HTTP來獲取Peers列表,而是采用TCP/UDP協議,但其BT流中還是包含“BitTorrent”特征碼;如果網絡設備中具有能夠針對BT流中包含的“BitTorrent”特征碼進行識別的產品,則進行BT阻斷或限制其帶寬就容易得多了(如圖2所示)。
 |
| 圖2 特征碼流量識別BT |
