Bloqueio de BitTorrent

Eu acho que a maioria das abordagens que perguntam "Como bloquear o X" são simplesmente erradas. É enumeração de maldade.

Agora vá downvote-me, mas eu acho que você deve (como você faz com firewalls "normais") apenas permitir o tráfego que corresponde ao tráfego bom conhecido. Mas agora você tem um problema, o tráfego HTTP criptografado por SSL não é tão fácil de permitir. Existem soluções para ele que são efetivamente um homem no meio ataque, então se você não tem controle total sobre os clientes e contratos assinados onde as pessoas aceitam ser bisbilhotadas, você pode enfrentar acusações legais (em alguns países isso é totalmente proibido por lei). , alguns países permitem tais termos em contratos).

Para mim, o único nível sensato em que você deseja diferenciar entre o P2P e o tráfego normal é o firewall de um aplicativo. Não há como um firewall na camada de IP ou de transporte tomar decisões sobre se a carga útil é ou não válida.

Estive lá, tentei isso. Apenas não vai funcionar. Em um ambiente SOHO, como onde eu trabalho, não há como dizer o que é P2P e o que é tráfego "legítimo", já que o equipamento que temos não é tão sofisticado. A única maneira que eu encontrei que vale a pena é uma maneira mais "manual".

Meu sistema de monitoramento (Nagios) me alerta quando o tráfego na interface externa do firewall fica acima de um ponto pré-definido por mais de dois períodos de verificação consecutivos, que são separados por 5 minutos. Quando isso acontece, vejo a exibição de tráfego ao vivo na interface de gerenciamento do firewall (Smoothwall) e, se vir uma determinada máquina com um fluxo de tráfego bastante contínuo para ou da Internet, tenho uma visão remota para ver o que está sendo executado nessa máquina . Se eu vejo algo que eu sei que é um cliente P2P eu vou pagar uma visita ao usuário.

Isso é bem cru, mas, e esse é um ponto muito importante, é o melhor que posso fazer com o que tenho disponível para mim .

Meu método preferido é configurar o cliente para limitar a si mesmo. Este parece ser o método mais simples e eficaz. Quase todo cliente suporta isso; Eu uso o antigo cliente ctorrent e até mesmo ele suporta otimização dinamicamente configurável através do extensão CTCS .

Se o cliente ou usuário administrador se recusar a fazê-lo, e a engenharia social falhar, eu corro direto para QFQ ou WF2Q . Não há mais roteadores SOHO de US $ 50 que não suportam, essa é uma operação técnica e complicada, você recebe o que paga por . Eu construo meus próprios roteadores com motor Alix ou Soekris o custo é tipicamente em torno de US $ 100 cada, com partes usadas fora do eBay) para que eu possa executar m0n0-wall , pfSense , ou direto FreeBSD (meu sistema operacional escolhido, apesar de não haver razão para o Linux não poder ser usado). Ultimamente eu tenho procurado na RouterStation como uma alternativa mais barata para estes SBCs .

As pessoas inteligentes da ResTek no meu antigo empregador, que administravam uma grande rede de dormitórios universitários, tinham que lidar muito com isso. Eles acabaram com um shaper de pacotes que priorizava o tráfego BT em relação ao tráfego HTTP normal. Os pacotes ainda conseguiram e o compartilhamento ainda aconteceu, mas levou uma idade de cães ¹ . Segundo eles, funcionou muito bem.

Mesmo com cargas criptografadas, o tráfego da BT é reconhecido por sua forma; muitas conexões persistentes com muitos outros nós. Ainda é contornar, então não é perfeito.

1: Então, o que eles fizeram? Schlep para o campus WLAN para BT coisas. Então, quando os avisos do DMCA chegaram, o portal cativo já havia registrado suas informações de login e IP, para que soubéssemos com quem falar.

Em um ambiente SOHO?

• l7-filter é uma extensão do Linux iptables que permite que as regras de firewall correspondam aos dados da camada de aplicação nos pacotes. Adicione isto a um firewall existente do iptables ...
• Remova os clientes BitTorrent das máquinas dos usuários.