BitTorrent blockieren

Wie kann man BitTorrent und ähnliche Peer-to-Peer-Dienste (P2P) in einem kleinen Büronetzwerk blockieren oder stark verlangsamen?

Bei der Suche nach Server Fault konnte ich keine Frage finden, die als Sammelpunkt für die besten technischen Ideen dazu diente. Die vorhandenen Fragen beziehen sich ausschließlich auf bestimmte Situationen, und die vorherrschenden Antworten sind sozialer / rechtlicher Natur. Das sind gültige Ansätze, aber eine rein technische Diskussion wäre für viele Menschen nützlich, vermute ich. Nehmen wir an, Sie haben keinen Zugriff auf die Computer im Netzwerk.

Angesichts der zunehmenden Verwendung von Verschlüsselung im P2P-Verkehr scheint die Stateful Packet Inspection eine weniger praktikable Lösung zu sein. Eine Idee, die mir sinnvoll erscheint, besteht darin, starke Benutzer einfach durch IP zu drosseln, unabhängig davon, was sie senden oder empfangen - aber es scheint, dass derzeit nicht viele Router diese Funktionalität unterstützen.

Wie können Sie den P2P / BitTorrent-Verkehr drosseln?

Ich denke, die meisten Ansätze, bei denen gefragt wird, wie ich X sperren soll, sind einfach falsch. Es ist schlechte Aufzählung.

Stimmen Sie mich jetzt ab, aber ich denke, Sie sollten (wie bei "normalen" Firewalls) nur den Verkehr zulassen, der dem bekannten guten Verkehr entspricht. Aber jetzt haben Sie ein Problem, SSL-verschlüsselter HTTP-Verkehr ist nicht so einfach zuzulassen. Es gibt Lösungen dafür, bei denen es sich tatsächlich um einen Mann im mittleren Angriff handelt. Wenn Sie also nicht die vollständige Kontrolle über die Kunden haben und Verträge unterzeichnet haben, in denen die Leute akzeptieren, dass Sie beschnüffelt werden, werden Sie möglicherweise angeklagt (in einigen Ländern, die gesetzlich völlig verboten sind) Einige Länder erlauben solche Bedingungen in Verträgen.

Für mich ist die einzige vernünftige Ebene, auf der Sie zwischen P2P und normalem Datenverkehr unterscheiden möchten, eine Anwendungsfirewall. Es gibt keine Möglichkeit für eine Firewall auf IP- oder Transportebene, vernünftig zu entscheiden, ob die tatsächliche Nutzlast eine gültige Anforderung ist oder nicht.

Ich war dort und habe es versucht. Funktioniert einfach nicht. In einer SOHO-Umgebung, beispielsweise dort, wo ich arbeite, kann man nicht sagen, was P2P und was "legitimer" Verkehr ist, da die Ausrüstung, die wir haben, einfach nicht so hoch entwickelt ist. Der einzige Weg, den ich gefunden habe, der überhaupt etwas wert ist, ist ein "manueller" Weg.

Mein Überwachungssystem (Nagios) warnt mich, wenn der Datenverkehr auf der externen Schnittstelle der Firewall länger als zwei aufeinanderfolgende Überprüfungszeiträume, die 5 Minuten voneinander entfernt sind, über einem voreingestellten Punkt bleibt. In diesem Fall sehe ich mir die Live-Verkehrsanzeige auf der Firewall-Verwaltungsoberfläche (Smoothwall) an. Wenn ich einen bestimmten Computer mit einem ziemlich kontinuierlichen Verkehrsfluss zum oder vom Internet sehe, sehe ich aus der Ferne, was auf diesem Computer ausgeführt wird . Wenn ich sehe, dass es sich bei einem mir bekannten P2P-Client um einen P2P-Client handelt, werde ich diesem Benutzer einen Besuch abstatten.

Das ist ziemlich grob, aber und das ist ein ziemlich wichtiger Punkt, es ist das Beste, was ich mit dem machen kann, was mir zur Verfügung steht .

Meine bevorzugte Methode ist es, den Client so zu konfigurieren, dass er sich selbst drosselt. Dies scheint die einfachste und effektivste Methode zu sein. Fast jeder Kunde unterstützt es; Ich verwende den alten ctorrent- Client und sogar er unterstützt dynamisch konfigurierbare Drosselung über die CTCS- Erweiterung.

Wenn der Client oder der verwaltende Benutzer dies ablehnt und Social Engineering fehlschlägt, renne ich direkt zu QFQ oder WF2Q . Nein, die meisten SOHO-Router im Wert von 50 US-Dollar unterstützen dies nicht. Dies ist eine technische und komplizierte Operation. Sie erhalten das, wofür Sie bezahlen . Ich baue meine eigene Alix oder Soekris betriebenen Router (Kosten ist in der Regel rund 100 $ je mit gebrauchten Teilen off eBay) , damit ich laufen kann m0n0-Wand , pfSense oder gerade FreeBSD (mein Betriebssystem der Wahl, obwohl kein Grund Linux konnte nicht verwendet werden ). In letzter Zeit habe ich mir die RouterStation als billigere Alternative zu diesen SBCs angesehen .

Die klugen Leute bei ResTek bei meinem alten Arbeitgeber, die ein großes Netzwerk von Studentenwohnheimen leiteten, mussten sich viel damit auseinandersetzen. Am Ende hatten sie einen Packet-Shaper, der den BT-Verkehr im Vergleich zum normalen HTTP-Verkehr de-priorisierte. Pakete kamen immer noch durch und das Teilen geschah immer noch, aber es dauerte einen Hund im Alter von ^{1 Jahren} . Ihnen zufolge hat es wirklich gut funktioniert.

Selbst bei verschlüsselten Nutzdaten ist der BT-Verkehr an seiner Form erkennbar. viele etwas beständige Verbindungen zu vielen anderen Knoten. Es ist immer noch umgehbar, also nicht perfekt.

1: Also, was haben sie gemacht? Schlep rüber zum Campus WLAN zu BT Sachen. Als die DMCA-Benachrichtigungen eingingen, hatte das Captive-Portal bereits ihre Anmelde- und IP-Informationen aufgezeichnet, sodass wir genau wussten, mit wem wir sprechen sollten.

In einer SOHO-Umgebung?

• l7-filter ist eine Erweiterung von Linux iptables, mit der Firewall-Regeln auf Daten der Anwendungsschicht in den Paketen übereinstimmen können. Fügen Sie dies zu einer vorhandenen iptables-Firewall hinzu ...
• Entfernen Sie die BitTorrent-Clients von den Computern der Benutzer.