请问怎么找出反P2P软件的机器？

分类: 电脑/网络 >> 互联网
问题描述:

公司内部出现好多人在使用电驴、BT等，严重拖慢网速。使用了P2P终结者之后，一段时间网络较为稳定，但这段时间应该是有人使用了反P2P软件，总是出现IP冲突什么的之类。怎样才能找出是哪台机子使用了反P2P软件呢，还有，应该怎样去防止这种软件呢，或是怎样才能直接禁止电驴、BT等，谢谢

解析:

封锁BT端口

大家都知道如果要限制某项服务,就要在路由器上设置ACL(访问控制列表)将该服务所用的端口封掉,从而阻止该服务的正常运行。对BT软件,我们可以尝试封它的端口一般情况下,BT软件使用的是6880-6890端口,在公司的核心路由器上使用以下命令将6880-6890端口全部封锁。

access-list 101 deny tcp any any range 6880 6890
access-list 101 deny tcp any range 6880 6890 any

access-list 101 permit ip any any

接着进入相应的端口,输入ip access-group 101 out 使访问控制列表生效配置之后,网络带宽就会马上释放出来,网络速度得到提升

但是,没过几天网络速度又减慢了,BT软件的端口明明被封了,什么软件还在占用大量的带宽呢,使用SNIFFER检测到几个不常用的端口的数据流量非常大,原来很多人使用第三方的BT软件(如比特精灵,BITCOMET)进行下载,这些软件可以自定义传输数据的端口,修改为没有被封的端口后又可以进行BT下载了。

(注:缺点,由于BT端口变化较大,所以用ACL封端口收效甚微,而且配置条数多执行起来比较费劲,另外大量的ACL也占用了路由器的CPU资源,影响了其它服务。

优点:利用访问控制列表ACL封锁BT比较好管理,配置起来也很容易,使用相对而言比较灵活通过ACL可以有效非常有效封锁官方BT软件)。

方法2:封锁BT服务器

既然无法有效的从本地端口进行封锁, 那么只好从远程目标的地址入手在进行BT下载时,本机首先要连接远端的BT服务器,从服务器下载种子列表再连接相应的种子,所以从各大BT论坛下载BT 种子,以便获得BT服务器的地址。启动BITCOMET后选择服务器列表,在TRACKER服务器处可以看到BT服务器的地址,如(btydy)接着通过NUSLOOKUP或者PING命令可以得到服务器地址为202103XX。

获得服务器地址后就可以到核心服务器上对该地址进行封锁。具体命令为:access-list 102 deny tcp any 202103983 0000

最后在网络出口端口上运行ip access-group 102 out 命令后,使该访问控制列表生效,这样网内用户就不能访问这个BT服务器了,同时该服务器提供的所有BT种子都无法使用,接下来,收信更多的的BT服务器的 IP地址,将它们一一添加到控制列表102里,看着员工启动第三方的BT软件后连接种子数为0,下载速 度也为0的时候,终于松了一口气

没过多久,公司再次出现网络运行缓慢的问题,通过监控系统发现又有人通过BITCOMET下载,虽然速度不如从前,但仍占用了相当大的带宽,是什么原因使用户又可以连接BT服务器呢,原来,在访问列表中使用的IP地址进行过滤,而一旦BT服务器的 IP地址发生了变化,针对IP地址的封锁就没有用了。

(缺点:BT服务器很多,要找到每个服务器的IP地址然后进行封锁非常麻烦,而且也容易漏掉某些服务器,访问控制列表只能封锁IP地址不能封锁域名,对于IP地址经常变化的BT服务器来说,封锁是比较烦的。

优点:该方法能有效的封锁大批的BT服务器,网管通过简单的管理服务器IP地址就能封锁禁止BT软件的使用,对于自定义端口的BT软件起到了非常有效的封锁作用)。

方法3:加载PDLM模块

使用CISCO公司出品的PDLM模块可以省去我们配置路由策略的工作,封锁效果非常好。上文介绍的两种方法一个是对数据包使用的端口进行封锁,一个是对数据包的目的地址进行封锁,虽然在一定范围内有效,但不能起到全面禁止BT的作用,通过PDLM+N BAR的方法来封锁BT就存在这个问题了。

CISCO在其官方网站提供了三个PDLM模块,分别为KAZAA2pdlm,bittorrentpdlmemonkeypdlm可以用来封锁KAZAA,BT,电驴,在此我们就封锁BT下载为例,

建立一个TFTP站点,将bittorrentpdlm复制到该站点,在核心路由器中使用ip nbar pdlm tftpTFTP站点的IP/bittorrentpdlm命令加载bittorrentpdlm模块

接下来设置路器策略,具体命令如下:

class-map match-any bit

创建一个CLASS_MAP名为BIT

match protocol bittorrent

要求符合模块bittorrent的标准!

policy-map limit-bit

创建一个POLICY-MAP名为LIMIT-BIT

class bit

要求符合刚才定义的名为BIT的CLASS-MAP

drop

如果符合则丢数据包!

interface gigabitEther0/2

进入网络出口那个接口

service-policy input limit-bit

当有数据包进入时启用LIMIT-BIT路由策略

service-policy output limit-bit

当有数据包出的时候启用LIMIT-BIT路由策略

如果不想每次启动路由器的都要手工加载TFTP上的bittorrentpdlm,可以把这个PDLM文件上传到路由器的FLASH中,然后选择TFTP服务器的IP地址即可提示:封锁KAZAA或者是EDONKEY时,在路由器配置中将"match protocol后的bittorrent替换为KAZAA2或者EDONKEY即可,其它配置和封锁BT一样,

通过NBAR加载PDLM模块法封锁BT软件后,已经完全断绝了公司内部的BT使用,所有员工都能安心工作,网络速度也恢复到以前的稳定值了,

(缺点:该方法配置起来相对麻烦,指令非常多,而且路由器每次启动都要重新指定PDLM文件,如果将PDLM文件上传到路由器的FLASH中又会占用不少空间,通过路由策略进行封锁BT软件的同时也会占用路由器大量的CPU与内存的资源,影响了数据包的传 输速度

优点:通过该方法可以彻底封锁BT下载

NBAR是一种动态能在四到七层协议特征码的技术,它不但能做到普通ACL能做到那样控制静态的TCP UDP的报,也能做到控制一般ACLs不能做到动态的端口的那些协议(如BT)之类

An external Packet Description Language Module (PDLM)的文件用来扩展NBAR识别的协议。

到cisco/pcgi-bin/tablebuildpl/pdlm'>[url=cisco/pcgi-bin/tablebuildpl/pdlm]cisco/pcgi-bin/tablebuildpl/pdlm 下载bittorrentpdlm和eDonkeypdlm，TFTP上传到FLASH中

加载pdlm模块（针对BT和电驴）

ip nbar pdlm bittorrentpdlm

ip nbar pdlm eDonkeypdlm

建立BT特征码相关的class-map "denybt"

class-map match-any denybt

match protocol bittorrent

match protocol edonkey

定义符合bittorrent特征的数据包处理方式policy，这里是drop

policy-map bittorrent-policy

class denybt

drop

然后在你的路由器内网端口配置中添加service-policy

interface fa0/1

ip address 192168100254 2552552550

ip nat inside

service-policy input bittorrent-policy \\定义对进入的数据包执行策略检查

service-policy output bittorrent-policy \\定义对外出的数据包执行策略检查

duplex full

封bt最有效的是在IOS第七层封，就是根据行为来封bt，封锁端口是没有意义的。

如果是在第七层封，基本上是没有办法破解的。

ISP（Internet Service Provider） 网络服务提供商
如：装ADSL的电信部门
ICP（Internet Content Provider） 网络内容提供商
如：各类网站
FTP（File Transfer Protocol） 文件传输协议
如：你建好一个网站，上传到服务器。这个过程就遵循
文件传输协议（规则）
CGI（Common Gateway Interface） 通用网关接口
CGI就象一座桥，把网页和web服务器中的执行程序连接起来；CGI就象个邮差，把HTML接收的指令传递给服务器，再把服务器执行的结果返还给HTML页。
仅供参考

CGI是什么？
什么是CGI。Common Gate Intergace听起来让人有些专业,
我们就管它叫CGI好了。在物理上，CGI是一段程序，它运行在Server上，提供同客户段 Html页
面的接口。这样说大概还不好理解。那么我们看一个实际例子： 现在的个人主页上大部分都有
一个留言本。留言本的工作是这样的：先由用户在客户段输入一些信息，如名字之类的东西。接
着用户按一下“留言”（到目前为止工作都在客户端），浏览器把这些信息传送到服务器的CGI
目录下特定的cgi程序中，于是cgi程序在服务器上按照预定的方法进行处理。在本例中就是把
用户提交的信息存入指定的文件中。然后cgi程序给客户端发送一个信息，表示请求的任务已经
结束。此时用户在浏览器里将看到“留言结束”的字样。整个过程结束。

---