BT下載作爲當前一種流行的下載方式,受到很多人的喜歡。但是在公司網絡環境中,BT下載卻經常讓網絡管理員頭痛。下面我從ISA2004的角度談論一下限制bt的方法。
首要原則:儘量只在ISA上開放需要的端口。這樣可以限制客戶端(在不使用外網代理的情況下)進行bt下載。
具體討論如下:
(1)限制種子文件的下載
這大概是大家最先能想到的。方法也比較簡單,在設置好的策略中的HTTP中限制一下即可,如下圖所示:
首要原則:儘量只在ISA上開放需要的端口。這樣可以限制客戶端(在不使用外網代理的情況下)進行bt下載。
具體討論如下:
(1)限制種子文件的下載
這大概是大家最先能想到的。方法也比較簡單,在設置好的策略中的HTTP中限制一下即可,如下圖所示:
當然這種方法只要下載者有一點計算機常識就知道,改個擴展名就可以繼續下載。不過做爲最簡單的一種方法,我還是在這裏提出來了。
另外提醒一句,如果某網站提供下載Torrent文件的端口不是標準的80端口,此方法也會失效,除非你在這個端口上加載Web Filter。
(2)限制瀏覽BT網站
也許你會說,BT網站那麼多,怎麼限制的過來?其實可以考慮一下BT下載的特點:下載的人數越多,速度越快;Seed越多,速度越快。只有比較熱門BT網站的Torrent文件下載的人才會比較多,一般的BT網站去的人就比較少,下載的人數也少,除非他能忍受每秒幾K的速度。
那麼我們所要做的是找出比較熱門的BT網站,然後禁止對它們的訪問即可。
下面是我查找的一些熱門BT網站的URL,大家可以補充
(1)BT@China 聯盟鏡像
http://bt.btchina.net/
http://bt2.btchina.net/
http://bt1.btchina.net/
http://bt3.btchina.net/
(2)IT論壇BT發佈頁
http://bt.itbbs.net/bt/
(3)滿分bt發佈區
http://www.manfen.net/forum/btsubsystem.php
(4)tlf發佈頁
http://bt1.eastgame.net/index.php
http://bt2.eastgame.net/index.php
http://bt3.eastgame.net/index.php
http://www.eastgame.net/ (論壇形式)
(5)gamesir發佈頁
http://bt.gamesir.com/
(6)E遊網bt發佈區,
http://www.egame365.com/bt/
(7)雷傲論壇bt下載區。
http://bbs.leoboard.com/cgi-bin/forums.cgi?forum=73
(8)螞蟻論壇bt下載區
http://www.antcn.com/bbs/index.php
(9)星空動漫下載區
http://xkcomic.net/index.php
(10)三夫之家下載區
http://teky.8866.org/bbs/index.asp
(11)影視前線發佈索引頁
http://61.133.84.149/bt/index.asp
(12)貪婪大陸
http://bt.greedland.net/index.php
http://bt1.greedland.net/index.php
(13)伊美姬BT下載
http://www.imagegarden.net/bt/
(14)伊甸園論壇BT下載區
http://bt.ydy.com/
(15)極影BT發佈索引
http://bt.ktxp.com/
(16)影音休閒中心
http://bt.zingking.com/
(17)5Q 教育網BT
http://bt.5qzone.net
http://bt2.5qzone.net/
http://bt3.5qzone.net/
http://bt4.5qzone.net/
http://bt5.5qzone.net/
http://bt.neupioneer.com/
(18)bt守望者
http://www.bitower.com/
(19)影視帝國論壇
http://bbs.cnxp.com/
(20)BT之家
http://bbs.btbbt.com/
(21)簡約論壇
http://www.bt800.com/bbs/
(22)麗影論壇
http://www.cn5566.com/
http://bt3.cn5566.com/
(23)春秋影視論壇
http://www.cqbbs.net/
(24)百看娛樂網
http://www.100kan.com
幾個bt搜索引擎
http://www.52bt.net/
http://www.hjbt.net/sort/
對限制以上網站(或域名)的訪問,對Torrent文件的下載可以起到一定的限制作用。
(3)禁止訪問Tracker服務器
tracker是指運行於服務器上的一個程序,這個程序能夠追蹤到底有多少人同時在下載同一個文件. 客戶端連上 tracker服務器,就會獲得一個下載人員得名單,根據這個,BT會自動連上別人的機器進行下載。一般對tracker服務器的訪問以http的形式進行。
知道了這個原理,我們可以從限制對Tracker服務器的訪問來限制bt。
下面我以snat方式(爲了試驗需要,開放所有出站協議)進行一次簡單試驗,所用BT客戶端軟件爲BitSpirit。
下圖是正常下載時的一張圖片
另外提醒一句,如果某網站提供下載Torrent文件的端口不是標準的80端口,此方法也會失效,除非你在這個端口上加載Web Filter。
(2)限制瀏覽BT網站
也許你會說,BT網站那麼多,怎麼限制的過來?其實可以考慮一下BT下載的特點:下載的人數越多,速度越快;Seed越多,速度越快。只有比較熱門BT網站的Torrent文件下載的人才會比較多,一般的BT網站去的人就比較少,下載的人數也少,除非他能忍受每秒幾K的速度。
那麼我們所要做的是找出比較熱門的BT網站,然後禁止對它們的訪問即可。
下面是我查找的一些熱門BT網站的URL,大家可以補充
(1)BT@China 聯盟鏡像
http://bt.btchina.net/
http://bt2.btchina.net/
http://bt1.btchina.net/
http://bt3.btchina.net/
(2)IT論壇BT發佈頁
http://bt.itbbs.net/bt/
(3)滿分bt發佈區
http://www.manfen.net/forum/btsubsystem.php
(4)tlf發佈頁
http://bt1.eastgame.net/index.php
http://bt2.eastgame.net/index.php
http://bt3.eastgame.net/index.php
http://www.eastgame.net/ (論壇形式)
(5)gamesir發佈頁
http://bt.gamesir.com/
(6)E遊網bt發佈區,
http://www.egame365.com/bt/
(7)雷傲論壇bt下載區。
http://bbs.leoboard.com/cgi-bin/forums.cgi?forum=73
(8)螞蟻論壇bt下載區
http://www.antcn.com/bbs/index.php
(9)星空動漫下載區
http://xkcomic.net/index.php
(10)三夫之家下載區
http://teky.8866.org/bbs/index.asp
(11)影視前線發佈索引頁
http://61.133.84.149/bt/index.asp
(12)貪婪大陸
http://bt.greedland.net/index.php
http://bt1.greedland.net/index.php
(13)伊美姬BT下載
http://www.imagegarden.net/bt/
(14)伊甸園論壇BT下載區
http://bt.ydy.com/
(15)極影BT發佈索引
http://bt.ktxp.com/
(16)影音休閒中心
http://bt.zingking.com/
(17)5Q 教育網BT
http://bt.5qzone.net
http://bt2.5qzone.net/
http://bt3.5qzone.net/
http://bt4.5qzone.net/
http://bt5.5qzone.net/
http://bt.neupioneer.com/
(18)bt守望者
http://www.bitower.com/
(19)影視帝國論壇
http://bbs.cnxp.com/
(20)BT之家
http://bbs.btbbt.com/
(21)簡約論壇
http://www.bt800.com/bbs/
(22)麗影論壇
http://www.cn5566.com/
http://bt3.cn5566.com/
(23)春秋影視論壇
http://www.cqbbs.net/
(24)百看娛樂網
http://www.100kan.com
幾個bt搜索引擎
http://www.52bt.net/
http://www.hjbt.net/sort/
對限制以上網站(或域名)的訪問,對Torrent文件的下載可以起到一定的限制作用。
(3)禁止訪問Tracker服務器
tracker是指運行於服務器上的一個程序,這個程序能夠追蹤到底有多少人同時在下載同一個文件. 客戶端連上 tracker服務器,就會獲得一個下載人員得名單,根據這個,BT會自動連上別人的機器進行下載。一般對tracker服務器的訪問以http的形式進行。
知道了這個原理,我們可以從限制對Tracker服務器的訪問來限制bt。
下面我以snat方式(爲了試驗需要,開放所有出站協議)進行一次簡單試驗,所用BT客戶端軟件爲BitSpirit。
下圖是正常下載時的一張圖片
從中看出,這個Tracker服務器的爲btfans.3322.org:8000
我在ISA上新建一個計算機集,加入此Tracker服務器,並設置一條訪問規則,禁止內網對其的訪問。
我在ISA上新建一個計算機集,加入此Tracker服務器,並設置一條訪問規則,禁止內網對其的訪問。
此時再下載時,將發現無法連接Tracker服務器的錯誤了。
注意:這裏我沒有使用域名集的原因是在試驗過程中,我發現BT客戶端在連Tracker服務器時直接使用IP地址。
實際上,由於獲得Tracker服務器的地址費勁,實用性不是很強。提出這種方法是讓大家有一個新的思路。當然,Tracker服務器的數量應該遠少於熱門BT網站的數量,很多網站都是轉的其他網站的Torrent,如果可以找出這些Tracker服務器的地址,這也不失爲一種有效方法。
(4)過濾HTTP簽名
ISA2004一個新特徵就是可以對應用層協議進行過濾,對HTTP的過濾顯得尤爲有效。
下面我通過一個試驗來分析一下BT客戶端軟件在使用外網HTTP代理時的一些特性。使用的方式仍然爲SNAT(開放HTTP、HTTPS、DNS協議),BT客戶端軟件爲BitSpirit。
首先,我在BitSprint中設置外網的http代理,如下圖
注意:這裏我沒有使用域名集的原因是在試驗過程中,我發現BT客戶端在連Tracker服務器時直接使用IP地址。
實際上,由於獲得Tracker服務器的地址費勁,實用性不是很強。提出這種方法是讓大家有一個新的思路。當然,Tracker服務器的數量應該遠少於熱門BT網站的數量,很多網站都是轉的其他網站的Torrent,如果可以找出這些Tracker服務器的地址,這也不失爲一種有效方法。
(4)過濾HTTP簽名
ISA2004一個新特徵就是可以對應用層協議進行過濾,對HTTP的過濾顯得尤爲有效。
下面我通過一個試驗來分析一下BT客戶端軟件在使用外網HTTP代理時的一些特性。使用的方式仍然爲SNAT(開放HTTP、HTTPS、DNS協議),BT客戶端軟件爲BitSpirit。
首先,我在BitSprint中設置外網的http代理,如下圖
此時,bt可以正常下載
我們對訪問策略的http進行簽名過濾
此時BT下載顯示爲:
好像不是被簽名過濾了,是內部服務器錯誤,一直沒弄明白是爲什麼,呵呵,不過達到效果了
(5)客戶端使用Socks2Http
這幾乎是最惡毒的方法了,使用的人還不在少數。由於時間問題,我只以最常用的Socks2Http爲例,簡單說明一下這種方法。
實驗環境還是客戶端爲SNAT方式,ISA開放HTTP、DNS出站協議。安裝並設置Socks2http軟件,如下圖所示:
(5)客戶端使用Socks2Http
這幾乎是最惡毒的方法了,使用的人還不在少數。由於時間問題,我只以最常用的Socks2Http爲例,簡單說明一下這種方法。
實驗環境還是客戶端爲SNAT方式,ISA開放HTTP、DNS出站協議。安裝並設置Socks2http軟件,如下圖所示:
用netstat –an查看本機1080端口是否打開。
用QQ測試一下Socks登錄是否成功。
用QQ測試一下Socks登錄是否成功。
測試成功,並且QQ可以登錄。
同樣在BitSpirit中設置
同樣在BitSpirit中設置
測試不成功(但這個測試不一定準確,因爲我在使用HTTP代理時測試也不成功,但照樣能下載),不管它,點擊確定,然後下載。
看來此軟件不支持BitSpirit。我又更換了BitComet做測試,還是不成功。
由於沒有時間繼續測試其他Socks2Http軟件,無法知曉結果。但是可以肯定,如果BitSpirit可以使用此方法,則數據包一定會有它的特徵。這個留給大家自己測試了。
(6)其他
限制(不是禁止)bt的方法還有很多,論壇裏面也談起過,如限制併發數,限制連接數目等等,具體的設置可以根據你的實際情況制定了。對於局域網內使用二級代理然後進行BT下載的情況,ISA也可以使用限制連接數進行一定的控制。
另外,如果你公司是域環境,其中有Windows2003作爲域控制器,組策略在上面實施,且客戶機的OS爲XP或者2003,那麼可以利用Windows2003中新的軟件限制組策略對BT客戶端的使用加以限制。這些已經超過了今天我要討論的範圍,有興趣的朋友自己查看M$相關的文章。
由於沒有時間繼續測試其他Socks2Http軟件,無法知曉結果。但是可以肯定,如果BitSpirit可以使用此方法,則數據包一定會有它的特徵。這個留給大家自己測試了。
(6)其他
限制(不是禁止)bt的方法還有很多,論壇裏面也談起過,如限制併發數,限制連接數目等等,具體的設置可以根據你的實際情況制定了。對於局域網內使用二級代理然後進行BT下載的情況,ISA也可以使用限制連接數進行一定的控制。
另外,如果你公司是域環境,其中有Windows2003作爲域控制器,組策略在上面實施,且客戶機的OS爲XP或者2003,那麼可以利用Windows2003中新的軟件限制組策略對BT客戶端的使用加以限制。這些已經超過了今天我要討論的範圍,有興趣的朋友自己查看M$相關的文章。