BT 下载作为当前一种流行的下载方式,受到很多人的喜欢。但是在公司网络环境中, BT 下载却经常让网络管理员头痛。下面我从 ISA2004 的角度谈论一下限制 bt 的方法。

首要原则:尽量只在 ISA 上开放需要的端口。这样可以限制客户端(在不使用外网代理的情况下)进行 bt 下载。

具体讨论如下:

(1)
限制种子文件的下载
这大概是大家最先能想到的。方法也比较简单,在设置好的策略中的 HTTP 中限制一下即可,如下图所示: <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

 

当然这种方法只要下载者有一点计算机常识就知道,改个扩展名就可以继续下载。不过做为最简单的一种方法,我还是在这里提出来了。
另外提醒一句,如果某网站提供下载 Torrent 文件的端口不是标准的 80 端口,此方法也会失效,除非你在这个端口上加载 Web Filter

(2)
限制浏览 BT 网站
也许你会说, BT 网站那么多,怎么限制的过来?其实可以考虑一下 BT 下载的特点:下载的人数越多,速度越快; Seed 越多,速度越快。只有比较热门 BT 网站的 Torrent 文件下载的人才会比较多,一般的 BT 网站去的人就比较少,下载的人数也少,除非他能忍受每秒几 K 的速度。
那么我们所要做的是找出比较热门的 BT 网站,然后禁止对它们的访问即可。
下面是我查找的一些热门 BT 网站的 URL ,大家可以补充
(1)BT@China 联盟镜像
http://bt.btchina.net/
http://bt2.btchina.net/
http://bt1.btchina.net/
http://bt3.btchina.net/
(2)IT
论坛 BT 发布页
http://bt.itbbs.net/bt/

3 )满分 bt 发布区
http://www.manfen.net/forum/btsubsystem.php
4 tlf 发布页
http://bt1.eastgame.net/index.php
http://bt2.eastgame.net/index.php
http://bt3.eastgame.net/index.php
http://www.eastgame.net/ (论坛形式)
5 gamesir 发布页
http://bt.gamesir.com/
6 E 游网 bt 发布区,
http://www.egame365.com/bt/
7 )雷傲论坛 bt 下载区。
http://bbs.leoboard.com/cgi-bin/forums.cgi?forum=73
8 )蚂蚁论坛 bt 下载区
http://www.antcn.com/bbs/index.php
9 )星空动漫下载区
http://xkcomic.net/index.php
10 )三夫之家下载区
http://teky.8866.org/bbs/index.asp
11 )影视前线发布索引页
http://61.133.84.149/bt/index.asp
12 )贪婪大陆
http://bt.greedland.net/index.php
http://bt1.greedland.net/index.php
13 )伊美姬 BT 下载
http://www.p_w_picpathgarden.net/bt/
14 )伊甸园论坛 BT 下载区
http://bt.ydy.com/
15 )极影 BT 发布索引
http://bt.ktxp.com/
16 )影音休闲中心
http://bt.zingking.com/
17 5Q 教育网 BT
http://bt.5qzone.net
http://bt2.5qzone.net/
http://bt3.5qzone.net/
http://bt4.5qzone.net/
http://bt5.5qzone.net/
http://bt.neupioneer.com/
18 bt 守望者
http://www.bitower.com/
(19)
影视帝国论坛
http://bbs.cnxp.com/
(20)BT
之家
http://bbs.btbbt.com/
21 )简约论坛
http://www.bt800.com/bbs/
22 )丽影论坛
http://www.cn5566.com/
http://bt3.cn5566.com/
23 )春秋影视论坛
http://www.cqbbs.net/
24 )百看娱乐网
http://www.100kan.com

几个 bt 搜索引擎
http://www.52bt.net/
http://www.hjbt.net/sort/

对限制以上网站(或域名)的访问,对 Torrent 文件的下载可以起到一定的限制作用。

(3)
禁止访问 Tracker 服务器
tracker
是指运行于服务器上的一个程序 , 这个程序能够追踪到底有多少人同时在下载同一个文件 . 客户端连上 tracker 服务器 , 就会获得一个下载人员得名单 , 根据这个 ,BT 会自动连上别人的机器进行下载。一般对 tracker 服务器的访问以 http 的形式进行。
知道了这个原理,我们可以从限制对 Tracker 服务器的访问来限制 bt
下面我以 snat 方式(为了试验需要,开放所有出站协议)进行一次简单试验,所用 BT 客户端软件为 BitSpirit
下图是正常下载时的一张图片

从中看出,这个 Tracker 服务器的为 btfans.3322.org:8000
我在 ISA 上新建一个计算机集,加入此 Tracker 服务器,并设置一条访问规则,禁止内网对其的访问。

此时再下载时,将发现无法连接 Tracker 服务器的错误了。
注意:这里我没有使用域名集的原因是在试验过程中,我发现 BT 客户端在连 Tracker 服务器时直接使用 IP 地址。
实际上,由于获得 Tracker 服务器的地址费劲,实用性不是很强。提出这种方法是让大家有一个新的思路。当然, Tracker 服务器的数量应该远少于热门 BT 网站的数量,很多网站都是转的其他网站的 Torrent ,如果可以找出这些 Tracker 服务器的地址,这也不失为一种有效方法。

4 )过滤 HTTP 签名
ISA2004
一个新特征就是可以对应用层协议进行过滤,对 HTTP 的过滤显得尤为有效。
下面我通过一个试验来分析一下 BT 客户端软件在使用外网 HTTP 代理时的一些特性。使用的方式仍然为 SNAT (开放 HTTP HTTPS DNS 协议), BT 客户端软件为 BitSpirit
首先,我在 BitSprint 中设置外网的 http 代理,如下图

此时, bt 可以正常下载

我们对访问策略的 http 进行签名过滤

此时 BT 下载显示为:

好像不是被签名过滤了,是内部服务器错误,一直没弄明白是为什么,呵呵,不过达到效果了
5 )客户端使用 Socks2Http
这几乎是最恶毒的方法了,使用的人还不在少数。由于时间问题,我只以最常用的 Socks2Http 为例,简单说明一下这种方法。
实验环境还是客户端为 SNAT 方式, ISA 开放 HTTP DNS 出站协议。安装并设置 Socks2http 软件,如下图所示:

netstat –an 查看本机 1080 端口是否打开。
QQ 测试一下 Socks 登录是否成功。

测试成功,并且 QQ 可以登录。
同样在 BitSpirit 中设置
测试不成功(但这个测试不一定准确,因为我在使用 HTTP 代理时测试也不成功,但照样能下载),不管它,点击确定,然后下载。

看来此软件不支持 BitSpirit 。我又更换了 BitComet 做测试,还是不成功。
由于没有时间继续测试其他 Socks2Http 软件,无法知晓结果。但是可以肯定,如果 BitSpirit 可以使用此方法,则数据包一定会有它的特征。这个留给大家自己测试了。

6 )其他
限制(不是禁止) bt 的方法还有很多,论坛里面也谈起过,如限制并发数,限制连接数目等等,具体的设置可以根据你的实际情况制定了。对于局域网内使用二级代理然后进行 BT 下载的情况, ISA 也可以使用限制连接数进行一定的控制。
另外,如果你公司是域环境,其中有 Windows2003 作为域控制器,组策略在上面实施,且客户机的 OS XP 或者 2003 ,那么可以利用 Windows2003 中新的软件限制组策略对 BT 客户端的使用加以限制。这些已经超过了今天我要讨论的范围,有兴趣的朋友自己查看 M$ 相关的文章。