Как можно заблокировать или сильно замедлить BitTorrent и аналогичные одноранговые (P2P) сервисы в сети небольшого офиса?
При поиске Server Fault мне не удалось найти вопрос, который послужил сплотом для лучших. технический идеи по этому поводу. Все существующие вопросы касаются конкретных ситуаций, и преобладающие ответы носят социальный / правовой характер. Это допустимые подходы, но я подозреваю, что чисто техническое обсуждение было бы полезно для многих. Предположим, у вас нет доступа к машинам в сети.
С ростом использования шифрования в P2P-трафике кажется, что проверка пакетов с отслеживанием состояния становится менее работоспособным решением. Одна идея, которая кажется мне разумной, заключается в простом ограничении количества активных пользователей по IP, независимо от того, что они отправляют или получают, но в настоящее время не многие маршрутизаторы поддерживают эту функцию.
Как можно ограничить трафик P2P / BitTorrent?
Я думаю, что большинство подходов, которые спрашивают «Как мне заблокировать X», просто ошибочны. Это перечисление зла.
Теперь опустите меня, но я думаю, что вам следует (как вы делаете с «обычными» межсетевыми экранами) просто разрешить трафик, который соответствует заведомо исправному трафику. Но теперь у вас есть проблема, HTTP-трафик с шифрованием SSL разрешить не так просто. Существуют решения, которые фактически представляют собой атаку человека посередине, поэтому, если у вас нет полного контроля над клиентами и подписанных контрактов, в которых люди соглашаются, что за вами следят, вам могут быть предъявлены судебные обвинения (в некоторых странах это полностью запрещено законом. , некоторые страны допускают такие условия в контрактах).
Для меня единственный разумный уровень, на котором вы хотите различать P2P и обычный трафик, - это брандмауэр приложений. У брандмауэра на IP или транспортном уровне нет возможности разумно принимать решения о том, является ли фактическая полезная нагрузка допустимым запросом или нет.
Был там, пробовал. Просто не сработает. В среде SOHO, например, там, где я работаю, невозможно определить, что такое P2P, а что такое «законный» трафик, поскольку оборудование, которое у нас есть, просто не такое сложное. Я обнаружил, что единственный способ, который чего-то стоит, - это более «ручной» способ.
Моя система мониторинга (Nagios) предупреждает меня, когда трафик на внешнем интерфейсе брандмауэра остается выше заданной точки в течение более двух последовательных периодов проверки с интервалом в 5 минут. Когда это происходит, я смотрю на отображение трафика в реальном времени в интерфейсе управления брандмауэром (Smoothwall), и если я вижу конкретную машину с довольно непрерывным потоком трафика в или из Интернета, я удаленно смотрю, что работает на этой машине. . Если я увижу что-то, что, как я знаю, является клиентом P2P, я навещу этого пользователя.
Это довольно грубо, но, и это довольно важный момент, это лучшее, что я могу сделать из того, что у меня есть.
Я предпочитаю настроить клиент на сам себя. Кажется, это самый простой и эффективный метод. Практически каждый клиент его поддерживает; Я использую древний ctorrent клиент, и даже он поддерживает динамически настраиваемое регулирование через CTCS расширение.
Если клиент или управляющий пользователь отказывается это делать, а социальная инженерия терпит неудачу, я сразу бегу к QFQ или WF2Q. Большинство маршрутизаторов SOHO за 50 долларов не поддерживают его, это техническая и сложная операция, ты получаешь то, за что платишь. Я строю свой Аликс или Soekris маршрутизаторы с питанием (обычно стоят около 100 долларов за каждый с использованными деталями на eBay), поэтому я могу запустить m0n0-стена, pfSense, или прямо FreeBSD (выбранная мной ОС, хотя нет причин, по которым Linux нельзя использовать). В последнее время я изучал RouterStation как более дешевая альтернатива этим SBC.
Умным людям из ResTek на моем старом работодателе, которые управляли большой сетью университетских общежитий, приходилось много работать с этим. В итоге они получили формирователь пакетов, который снизил приоритет трафика BT по сравнению с обычным трафиком HTTP. Пакеты все еще проходили, и обмен все еще происходил, но на это потребовался возраст собаки1. По их словам, это действительно хорошо сработало.
Даже с зашифрованными данными трафик BT узнаваем по его форме; множество постоянных соединений с множеством других узлов. Его все еще можно обойти, поэтому он не идеален.
1: Так что они сделали? Schlep на кампус WLAN к вещам BT. Поэтому, когда пришло уведомление DMCA, захватывающий портал уже записал их логин и IP-информацию, поэтому мы знали, с кем поговорить.
В среде SOHO?