Bloqueando BitTorrent

Como é possível bloquear ou desacelerar gravemente o BitTorrent e serviços ponto a ponto semelhantes (P2P) na rede de um pequeno escritório?

Ao pesquisar a falha do servidor, não consegui encontrar uma pergunta que servisse de ponto de partida para as melhores idéias técnicas sobre isso. As perguntas existentes são sobre situações específicas e as respostas dominantes são de natureza social / legal. Essas são abordagens válidas, mas uma discussão puramente técnica seria útil para muitas pessoas, eu suspeito. Vamos supor que você não tenha acesso às máquinas na rede.

Com o uso crescente de criptografia no tráfego P2P, parece que a inspeção de pacotes com estado está se tornando uma solução menos viável. Uma idéia que parece fazer sentido para mim é simplesmente limitar os usuários pesados ​​por IP, independentemente do que eles estejam enviando ou recebendo - mas não parece que muitos roteadores suportem essa funcionalidade no momento.

Como você pode controlar o tráfego P2P / BitTorrent?

Eu acho que a maioria das abordagens que perguntam "Como bloqueio o X" está completamente errada. É enumeração de maldade.

Agora, diminua o voto para mim, mas acho que você deve (como faz com os firewalls "normais") permitir o tráfego que corresponde ao tráfego conhecido. Mas agora você tem um problema, o tráfego HTTP criptografado SSL não é tão fácil de permitir. Existem soluções para ele que são efetivamente um homem no meio do ataque; portanto, se você não tiver controle total sobre os clientes e contratos assinados em que as pessoas aceitam ser espionado, você poderá enfrentar acusações legais (em alguns países, que é totalmente proibido por lei) , alguns países permitem esses termos nos contratos).

Para mim, o único nível sensato em que você deseja diferenciar entre P2P e tráfego normal é um firewall de aplicativo. Não há como um firewall na camada de IP ou transporte tomar decisões com segurança, independentemente de a carga útil ser uma solicitação válida ou não.

Estive lá, tentei isso. Só não vai funcionar. Em um ambiente SOHO, como onde eu trabalho, não há como saber o que é P2P e o que é tráfego "legítimo", pois o equipamento que temos simplesmente não é tão sofisticado. A única maneira que eu descobri que vale alguma coisa é uma maneira mais "manual".

Meu sistema de monitoramento (Nagios) me avisa quando o tráfego na interface externa do firewall permanece acima de um ponto predefinido por mais de dois períodos de verificação consecutivos, separados por 5 minutos. Quando isso acontece, dou uma olhada na exibição de tráfego ao vivo na interface de gerenciamento do firewall (Smoothwall) e se vejo uma máquina específica com um fluxo de tráfego bastante contínuo de ou para a Internet, tenho uma visão remota para ver o que está em execução nessa máquina . Se eu vir algo que sei ser um cliente P2P, visitarei esse usuário.

Isso é bastante bruto, mas, e esse é um ponto muito importante, é o melhor que posso fazer com o que tenho disponível .

Meu método preferido é configurar o cliente para se controlar. Este parece ser o método mais simples e eficaz. Quase todo cliente suporta; Eu uso o cliente ctorrent antigo e até ele suporta regulagem dinamicamente configurável através da extensão CTCS .

Se o cliente ou usuário gerenciador se recusar a fazê-lo, e a engenharia social falhar, eu corro direto para o QFQ ou WF2Q . Nem todos os roteadores SOHO de US $ 50 não o suportam; esta é uma operação técnica e complicada, você obtém o que paga . Eu construo meus próprios roteadores alimentados por Alix ou Soekris (o custo geralmente é de cerca de US $ 100 cada um com peças usadas no eBay) para que eu possa rodar o m0n0-wall , o pfSense ou o FreeBSD direto (meu sistema operacional de escolha, embora o Linux não possa ser usado) ) Ultimamente, tenho procurado o RouterStation como uma alternativa mais barata a esses SBCs .

As pessoas inteligentes da ResTek do meu antigo empregador, que estavam gerenciando uma grande rede de dormitórios universitários, tiveram que lidar muito com isso. Eles acabaram com um modelador de pacotes que priorizou o tráfego BT em relação ao tráfego HTTP normal. Os pacotes ainda chegaram e o compartilhamento ainda aconteceu, mas os cães levaram ^{1 ano de} idade . Segundo eles, funcionou muito bem.

Mesmo com cargas úteis criptografadas, o tráfego BT é reconhecível por sua forma; muitas conexões um tanto persistentes com muitos outros nós. Ainda é contornável, então não é perfeito.

1: Então, o que eles fizeram? Schlep para o WLAN do campus para coisas BT. Então, quando os avisos da DMCA chegaram, o portal cativo já havia registrado suas informações de login e IP, então sabíamos exatamente com quem falar.

Em um ambiente SOHO?

• O filtro l7 é uma extensão das tabelas de ip do Linux que permite que as regras do firewall correspondam aos dados da camada de aplicativo nos pacotes. Adicione isso a um firewall existente do iptables ...
• Remova os clientes BitTorrent das máquinas dos usuários.