BT
下载作为当前一种流行的下载方式,受到很多人的喜欢。但是在公司网络环境中,
BT
下载却经常让网络管理员头痛。下面我从
ISA2004
的角度谈论一下限制
bt
的方法。
首要原则:尽量只在 ISA 上开放需要的端口。这样可以限制客户端(在不使用外网代理的情况下)进行 bt 下载。
具体讨论如下:
(1) 限制种子文件的下载
这大概是大家最先能想到的。方法也比较简单,在设置好的策略中的 HTTP 中限制一下即可,如下图所示: <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
首要原则:尽量只在 ISA 上开放需要的端口。这样可以限制客户端(在不使用外网代理的情况下)进行 bt 下载。
具体讨论如下:
(1) 限制种子文件的下载
这大概是大家最先能想到的。方法也比较简单,在设置好的策略中的 HTTP 中限制一下即可,如下图所示: <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
当然这种方法只要下载者有一点计算机常识就知道,改个扩展名就可以继续下载。不过做为最简单的一种方法,我还是在这里提出来了。
另外提醒一句,如果某网站提供下载 Torrent 文件的端口不是标准的 80 端口,此方法也会失效,除非你在这个端口上加载 Web Filter 。
(2) 限制浏览 BT 网站
也许你会说, BT 网站那么多,怎么限制的过来?其实可以考虑一下 BT 下载的特点:下载的人数越多,速度越快; Seed 越多,速度越快。只有比较热门 BT 网站的 Torrent 文件下载的人才会比较多,一般的 BT 网站去的人就比较少,下载的人数也少,除非他能忍受每秒几 K 的速度。
那么我们所要做的是找出比较热门的 BT 网站,然后禁止对它们的访问即可。
下面是我查找的一些热门 BT 网站的 URL ,大家可以补充
(1)BT@China 联盟镜像
http://bt.btchina.net/
http://bt2.btchina.net/
http://bt1.btchina.net/
http://bt3.btchina.net/
(2)IT 论坛 BT 发布页
http://bt.itbbs.net/bt/
( 3 )满分 bt 发布区
http://www.manfen.net/forum/btsubsystem.php
( 4 ) tlf 发布页
http://bt1.eastgame.net/index.php
http://bt2.eastgame.net/index.php
http://bt3.eastgame.net/index.php
http://www.eastgame.net/ (论坛形式)
( 5 ) gamesir 发布页
http://bt.gamesir.com/
( 6 ) E 游网 bt 发布区,
http://www.egame365.com/bt/
( 7 )雷傲论坛 bt 下载区。
http://bbs.leoboard.com/cgi-bin/forums.cgi?forum=73
( 8 )蚂蚁论坛 bt 下载区
http://www.antcn.com/bbs/index.php
( 9 )星空动漫下载区
http://xkcomic.net/index.php
( 10 )三夫之家下载区
http://teky.8866.org/bbs/index.asp
( 11 )影视前线发布索引页
http://61.133.84.149/bt/index.asp
( 12 )贪婪大陆
http://bt.greedland.net/index.php
http://bt1.greedland.net/index.php
( 13 )伊美姬 BT 下载
http://www.p_w_picpathgarden.net/bt/
( 14 )伊甸园论坛 BT 下载区
http://bt.ydy.com/
( 15 )极影 BT 发布索引
http://bt.ktxp.com/
( 16 )影音休闲中心
http://bt.zingking.com/
( 17 ) 5Q 教育网 BT
http://bt.5qzone.net
http://bt2.5qzone.net/
http://bt3.5qzone.net/
http://bt4.5qzone.net/
http://bt5.5qzone.net/
http://bt.neupioneer.com/
( 18 ) bt 守望者
http://www.bitower.com/
(19) 影视帝国论坛
http://bbs.cnxp.com/
(20)BT 之家
http://bbs.btbbt.com/
( 21 )简约论坛
http://www.bt800.com/bbs/
( 22 )丽影论坛
http://www.cn5566.com/
http://bt3.cn5566.com/
( 23 )春秋影视论坛
http://www.cqbbs.net/
( 24 )百看娱乐网
http://www.100kan.com
几个 bt 搜索引擎
http://www.52bt.net/
http://www.hjbt.net/sort/
对限制以上网站(或域名)的访问,对 Torrent 文件的下载可以起到一定的限制作用。
(3) 禁止访问 Tracker 服务器
tracker 是指运行于服务器上的一个程序 , 这个程序能够追踪到底有多少人同时在下载同一个文件 . 客户端连上 tracker 服务器 , 就会获得一个下载人员得名单 , 根据这个 ,BT 会自动连上别人的机器进行下载。一般对 tracker 服务器的访问以 http 的形式进行。
知道了这个原理,我们可以从限制对 Tracker 服务器的访问来限制 bt 。
下面我以 snat 方式(为了试验需要,开放所有出站协议)进行一次简单试验,所用 BT 客户端软件为 BitSpirit 。
下图是正常下载时的一张图片
另外提醒一句,如果某网站提供下载 Torrent 文件的端口不是标准的 80 端口,此方法也会失效,除非你在这个端口上加载 Web Filter 。
(2) 限制浏览 BT 网站
也许你会说, BT 网站那么多,怎么限制的过来?其实可以考虑一下 BT 下载的特点:下载的人数越多,速度越快; Seed 越多,速度越快。只有比较热门 BT 网站的 Torrent 文件下载的人才会比较多,一般的 BT 网站去的人就比较少,下载的人数也少,除非他能忍受每秒几 K 的速度。
那么我们所要做的是找出比较热门的 BT 网站,然后禁止对它们的访问即可。
下面是我查找的一些热门 BT 网站的 URL ,大家可以补充
(1)BT@China 联盟镜像
http://bt.btchina.net/
http://bt2.btchina.net/
http://bt1.btchina.net/
http://bt3.btchina.net/
(2)IT 论坛 BT 发布页
http://bt.itbbs.net/bt/
( 3 )满分 bt 发布区
http://www.manfen.net/forum/btsubsystem.php
( 4 ) tlf 发布页
http://bt1.eastgame.net/index.php
http://bt2.eastgame.net/index.php
http://bt3.eastgame.net/index.php
http://www.eastgame.net/ (论坛形式)
( 5 ) gamesir 发布页
http://bt.gamesir.com/
( 6 ) E 游网 bt 发布区,
http://www.egame365.com/bt/
( 7 )雷傲论坛 bt 下载区。
http://bbs.leoboard.com/cgi-bin/forums.cgi?forum=73
( 8 )蚂蚁论坛 bt 下载区
http://www.antcn.com/bbs/index.php
( 9 )星空动漫下载区
http://xkcomic.net/index.php
( 10 )三夫之家下载区
http://teky.8866.org/bbs/index.asp
( 11 )影视前线发布索引页
http://61.133.84.149/bt/index.asp
( 12 )贪婪大陆
http://bt.greedland.net/index.php
http://bt1.greedland.net/index.php
( 13 )伊美姬 BT 下载
http://www.p_w_picpathgarden.net/bt/
( 14 )伊甸园论坛 BT 下载区
http://bt.ydy.com/
( 15 )极影 BT 发布索引
http://bt.ktxp.com/
( 16 )影音休闲中心
http://bt.zingking.com/
( 17 ) 5Q 教育网 BT
http://bt.5qzone.net
http://bt2.5qzone.net/
http://bt3.5qzone.net/
http://bt4.5qzone.net/
http://bt5.5qzone.net/
http://bt.neupioneer.com/
( 18 ) bt 守望者
http://www.bitower.com/
(19) 影视帝国论坛
http://bbs.cnxp.com/
(20)BT 之家
http://bbs.btbbt.com/
( 21 )简约论坛
http://www.bt800.com/bbs/
( 22 )丽影论坛
http://www.cn5566.com/
http://bt3.cn5566.com/
( 23 )春秋影视论坛
http://www.cqbbs.net/
( 24 )百看娱乐网
http://www.100kan.com
几个 bt 搜索引擎
http://www.52bt.net/
http://www.hjbt.net/sort/
对限制以上网站(或域名)的访问,对 Torrent 文件的下载可以起到一定的限制作用。
(3) 禁止访问 Tracker 服务器
tracker 是指运行于服务器上的一个程序 , 这个程序能够追踪到底有多少人同时在下载同一个文件 . 客户端连上 tracker 服务器 , 就会获得一个下载人员得名单 , 根据这个 ,BT 会自动连上别人的机器进行下载。一般对 tracker 服务器的访问以 http 的形式进行。
知道了这个原理,我们可以从限制对 Tracker 服务器的访问来限制 bt 。
下面我以 snat 方式(为了试验需要,开放所有出站协议)进行一次简单试验,所用 BT 客户端软件为 BitSpirit 。
下图是正常下载时的一张图片
从中看出,这个
Tracker
服务器的为
btfans.3322.org:8000
我在 ISA 上新建一个计算机集,加入此 Tracker 服务器,并设置一条访问规则,禁止内网对其的访问。
我在 ISA 上新建一个计算机集,加入此 Tracker 服务器,并设置一条访问规则,禁止内网对其的访问。
此时再下载时,将发现无法连接
Tracker
服务器的错误了。
注意:这里我没有使用域名集的原因是在试验过程中,我发现 BT 客户端在连 Tracker 服务器时直接使用 IP 地址。
实际上,由于获得 Tracker 服务器的地址费劲,实用性不是很强。提出这种方法是让大家有一个新的思路。当然, Tracker 服务器的数量应该远少于热门 BT 网站的数量,很多网站都是转的其他网站的 Torrent ,如果可以找出这些 Tracker 服务器的地址,这也不失为一种有效方法。
( 4 )过滤 HTTP 签名
ISA2004 一个新特征就是可以对应用层协议进行过滤,对 HTTP 的过滤显得尤为有效。
下面我通过一个试验来分析一下 BT 客户端软件在使用外网 HTTP 代理时的一些特性。使用的方式仍然为 SNAT (开放 HTTP 、 HTTPS 、 DNS 协议), BT 客户端软件为 BitSpirit 。
首先,我在 BitSprint 中设置外网的 http 代理,如下图
注意:这里我没有使用域名集的原因是在试验过程中,我发现 BT 客户端在连 Tracker 服务器时直接使用 IP 地址。
实际上,由于获得 Tracker 服务器的地址费劲,实用性不是很强。提出这种方法是让大家有一个新的思路。当然, Tracker 服务器的数量应该远少于热门 BT 网站的数量,很多网站都是转的其他网站的 Torrent ,如果可以找出这些 Tracker 服务器的地址,这也不失为一种有效方法。
( 4 )过滤 HTTP 签名
ISA2004 一个新特征就是可以对应用层协议进行过滤,对 HTTP 的过滤显得尤为有效。
下面我通过一个试验来分析一下 BT 客户端软件在使用外网 HTTP 代理时的一些特性。使用的方式仍然为 SNAT (开放 HTTP 、 HTTPS 、 DNS 协议), BT 客户端软件为 BitSpirit 。
首先,我在 BitSprint 中设置外网的 http 代理,如下图
此时,
bt
可以正常下载
我们对访问策略的
http
进行签名过滤
此时
BT
下载显示为:
好像不是被签名过滤了,是内部服务器错误,一直没弄明白是为什么,呵呵,不过达到效果了
( 5 )客户端使用 Socks2Http
这几乎是最恶毒的方法了,使用的人还不在少数。由于时间问题,我只以最常用的 Socks2Http 为例,简单说明一下这种方法。
实验环境还是客户端为 SNAT 方式, ISA 开放 HTTP 、 DNS 出站协议。安装并设置 Socks2http 软件,如下图所示:
( 5 )客户端使用 Socks2Http
这几乎是最恶毒的方法了,使用的人还不在少数。由于时间问题,我只以最常用的 Socks2Http 为例,简单说明一下这种方法。
实验环境还是客户端为 SNAT 方式, ISA 开放 HTTP 、 DNS 出站协议。安装并设置 Socks2http 软件,如下图所示:
用
netstat –an
查看本机
1080
端口是否打开。
用 QQ 测试一下 Socks 登录是否成功。
用 QQ 测试一下 Socks 登录是否成功。
测试成功,并且
QQ
可以登录。
同样在 BitSpirit 中设置
同样在 BitSpirit 中设置
测试不成功(但这个测试不一定准确,因为我在使用
HTTP
代理时测试也不成功,但照样能下载),不管它,点击确定,然后下载。
看来此软件不支持
BitSpirit
。我又更换了
BitComet
做测试,还是不成功。
由于没有时间继续测试其他 Socks2Http 软件,无法知晓结果。但是可以肯定,如果 BitSpirit 可以使用此方法,则数据包一定会有它的特征。这个留给大家自己测试了。
( 6 )其他
限制(不是禁止) bt 的方法还有很多,论坛里面也谈起过,如限制并发数,限制连接数目等等,具体的设置可以根据你的实际情况制定了。对于局域网内使用二级代理然后进行 BT 下载的情况, ISA 也可以使用限制连接数进行一定的控制。
另外,如果你公司是域环境,其中有 Windows2003 作为域控制器,组策略在上面实施,且客户机的 OS 为 XP 或者 2003 ,那么可以利用 Windows2003 中新的软件限制组策略对 BT 客户端的使用加以限制。这些已经超过了今天我要讨论的范围,有兴趣的朋友自己查看 M$ 相关的文章。
由于没有时间继续测试其他 Socks2Http 软件,无法知晓结果。但是可以肯定,如果 BitSpirit 可以使用此方法,则数据包一定会有它的特征。这个留给大家自己测试了。
( 6 )其他
限制(不是禁止) bt 的方法还有很多,论坛里面也谈起过,如限制并发数,限制连接数目等等,具体的设置可以根据你的实际情况制定了。对于局域网内使用二级代理然后进行 BT 下载的情况, ISA 也可以使用限制连接数进行一定的控制。
另外,如果你公司是域环境,其中有 Windows2003 作为域控制器,组策略在上面实施,且客户机的 OS 为 XP 或者 2003 ,那么可以利用 Windows2003 中新的软件限制组策略对 BT 客户端的使用加以限制。这些已经超过了今天我要讨论的范围,有兴趣的朋友自己查看 M$ 相关的文章。
转载于:https://blog.51cto.com/freebirdli/210853
扫一扫
5178
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
