소규모 사무실 네트워크에서 BitTorrent 및 유사한 P2P (P2P) 서비스를 어떻게 차단하거나 심각하게 늦출 수 있습니까?
Server Fault를 검색 할 때 이것에 대한 최고의 기술 아이디어에 대한 집결지 역할을하는 질문을 찾을 수 없었습니다 . 기존의 질문은 모두 특정 상황에 관한 것이며 지배적 인 답변은 본질적으로 사회적 / 법적입니다. 이것들은 유효한 접근법이지만 순수한 기술 토론은 많은 사람들에게 유용 할 것입니다. 네트워크상의 머신에 액세스 할 수 없다고 가정 해 봅시다.
P2P 트래픽에서 암호화 사용이 증가함에 따라 상태 저장 패킷 검사가 덜 실행 가능한 솔루션이되는 것 같습니다. 나에게 의미가있는 것으로 보이는 한 가지 아이디어는 송신 또는 수신하는 대상에 관계없이 IP로 무거운 사용자를 제한하는 것입니다. 그러나 현재 많은 라우터가 해당 기능을 지원하지 않는 것 같습니다.
P2P / BitTorrent 트래픽을 어떻게 조절할 수 있습니까?
답변
“X를 잠 그려면 어떻게해야합니까?” 나쁜 열거입니다.
이제 저에게 하향 투표를하되 “일반”방화벽과 마찬가지로 알려진 정상적인 트래픽과 일치하는 트래픽 만 허용해야한다고 생각합니다. 그러나 이제는 SSL 암호화 HTTP 트래픽이 허용하기 쉽지 않은 문제가 있습니다. 중간 공격에 효과적으로 대응할 수있는 솔루션이 있으므로 고객을 완전히 통제 할 수없고 사람들이 스누핑을 수락하는 서명 된 계약에 서명하면 법적 고발을받을 수 있습니다 (일부 국가에서는 법으로 금지되어 있음) , 일부 국가에서는 계약에서 이러한 조건을 허용합니다.
P2P와 일반 트래픽을 구분하려는 유일한 제정신 수준은 응용 프로그램 방화벽입니다. 실제 페이로드가 유효한 요청인지 여부에 따라 IP 또는 전송 계층의 방화벽이 제대로 결정을 내릴 방법이 없습니다.
답변
거기에 있었고, 시도했습니다. 그냥 작동하지 않습니다. 내가 일하는 곳과 같은 SOHO 환경에서는 P2P가 무엇인지, “합법적 인”트래픽이 무엇인지 알 수있는 방법이 없습니다. 내가 찾은 유일한 방법은 더 “수동적 인”방법입니다.
내 모니터링 시스템 (Nagios)은 방화벽 외부 인터페이스의 트래픽이 5 분 간격으로 연속 2 회 이상 점검 기간 동안 사전 설정 지점 이상으로 유지되면 경고합니다. 이런 일이 발생하면 방화벽 (Smoothwall) 관리 인터페이스의 실시간 트래픽 표시를 살펴보고 인터넷과주고받는 트래픽이 상당히 일정한 특정 시스템을 보면 해당 시스템에서 실행중인 항목을 원격으로 확인할 수 있습니다. . 내가 아는 것이 P2P 클라이언트라는 것을 알면 해당 사용자에게 방문 비용을 지불합니다.
이것은 매우 조잡하지만 이것은 매우 중요한 요점이며, 내가 사용할 수있는 일을 할 수있는 최선 입니다.
답변
내가 선호하는 방법은 클라이언트가 자체를 조절하도록 구성하는 것입니다. 이것은 가장 간단하고 효과적인 방법 인 것 같습니다. 거의 모든 클라이언트가이를 지원합니다. 나는 고대 ctorrent 클라이언트를 사용하고 심지어 CTCS 확장을 통해 동적으로 구성 가능한 조절을 지원 합니다.
고객 또는 관리 사용자가 거부하고 사회 공학에 실패하면 QFQ 또는 WF2Q로 바로 갑니다. 최대 $ 50의 SOHO 라우터는이를 지원하지 않습니다. 이것은 기술적이고 복잡한 작업이므로 비용을 지불합니다 . 난 내 자신의 건설 로 Alix 또는 Soekris 전원 라우터를 내가 실행할 수 있도록 (비용은 이베이 오프 중고 부품으로 일반적으로 약 $ 각 100입니다) m0n0 벽을 , pfSense을 , 또는 직선 FreeBSD의 리눅스를 사용할 수없는 이유없이 (비록 선택의 내 OS, ). 최근 에 이러한 SBC에 대한 저렴한 대안으로 RouterStation 을 살펴 보았습니다 .
답변
대규모의 대학 기숙사 네트워크를 관리하던 나의 오래된 고용주에있는 ResTek의 현명한 사람들은이 문제를 많이 처리해야했습니다. 결국 일반 HTTP 트래픽에 비해 BT 트래픽의 우선 순위를 정한 패킷 셰이퍼로 끝났습니다. 패킷은 여전히 통과되어 공유가 발생했지만 1 세의 개가 필요했습니다 . 그들에 따르면, 그것은 정말 잘 작동했습니다.
암호화 된 페이로드에서도 BT 트래픽은 그 모양에 의해 인식 될 수 있습니다. 많은 다른 노드에 대한 다소 지속적인 연결. 여전히 우회 할 수 있으므로 완벽하지는 않습니다.
1 : 그래서 그들은 무엇을 했습니까? 캠퍼스 WLAN으로 이동하여 BT를 수행하십시오. 따라서 DMCA 통지가 들어 왔을 때, 포로 포털은 이미 로그인 및 IP 정보를 기록 했으므로 우리는 누구와 대화해야하는지 알 수있었습니다.
답변
SOHO 환경에서?
- l7-filter 는 Linux iptables의 확장으로 방화벽 규칙이 패킷의 응용 프로그램 계층 데이터와 일치 할 수 있습니다. 기존 iptables 방화벽에 추가하십시오 …
- 사용자 컴퓨터에서 BitTorrent 클라이언트를 제거하십시오.