問題描述:
公司裏很多人都在用電驢,BT等。,嚴重拖慢網速。用了P2P終結者之後,網絡相對穩定了壹段時間,但是這段時間應該有人用了反P2P軟件,總有IP沖突什麽的。如何才能發現哪臺機器使用了反P2P軟件,以及如何防範這類軟件,或者如何直接封禁電驢、BT等。謝謝妳。
分析:
阻止BT端口
大家都知道,如果要限制壹個服務,就必須在路由器上設置ACL(訪問控制列表)來屏蔽該服務使用的端口,從而阻止該服務的正常運行。對於BT軟件,我們可以嘗試屏蔽它的端口。BT軟件壹般使用6880-6890端口。使用以下命令阻塞公司核心路由器上的所有端口6880-6890。
訪問列表101拒絕tcp任何任何範圍6880 6890
訪問列表101拒絕tcp任何範圍6880 6890任何
訪問列表101允許ip any any
然後輸入相應的端口,輸入IP access-group 101 out,使訪問控制列表生效。配置後,網絡帶寬會立即釋放,網速會得到提升。
但是過了幾天,網速又慢了下來,BT軟件的端口明顯堵塞。什麽軟件仍然占用大量帶寬?SNIFFER用於檢測幾個不常用端口的數據流量非常大。原來很多人都是用第三方BT軟件(比如bitspirit,BITCOMET)下載的。這些軟件可以自定義數據傳輸的端口,修改成未密封的端口後就可以下載BT了。
(註:缺點:由於BT端口變化很大,用ACL封端口效果不大,很難配置大量的ACL。此外,大量的ACL還會占用路由器的CPU資源,影響其他業務。
優點:用ACL屏蔽BT,更容易管理,容易配置,使用起來相對靈活。官方BT軟件可以通過ACL有效屏蔽)。
方法二:屏蔽BT服務器。
由於不可能有效地阻塞本地端口,我們必須從遠程目標的地址開始。本機在下載BT時,必須先連接遠程BT服務器,從服務器下載種子列表再連接相應的種子,所以從各大BT論壇下載BT種子,獲取BT服務器的地址。啟動BITCOMET後,選擇服務器列表,可以在TRACKER服務器上看到BT服務器的地址,比如(bt.ydy)。然後就可以得到服務器地址202.103。通過NUSLOOKUP或PING命令。
取得伺服器位址後,您可以封鎖核心伺服器上的位址。具體命令有:Access-List 102 Deny TCP any 202.103 . 9 . 83 0 . 0 . 0。
最後,在網絡出口端口運行ip access-group 102 out命令後,訪問控制列表就會生效,使得網絡中的用戶無法訪問這臺BT服務器,這臺服務器提供的所有BT種子都無法使用。接下來接收更多BT服務器的IP地址,逐壹添加到控制列表102中,並在員工啟動第三方BT軟件後觀看連接的種子數量為0,下載。
沒過多久,公司又出現了網絡運行緩慢的問題。通過監控系統,發現有人通過BITCOMET下載電影。雖然速度不如以前,但還是占用了相當大的帶寬。是什麽原因導致用戶再次連接BT服務器?本來訪問列表中使用的IP地址是過濾的,壹旦BT服務器的IP地址發生變化,屏蔽IP地址也沒用。
(缺點:BT服務器多。找到每個服務器的IP地址然後屏蔽是很麻煩的,而且很容易漏掉壹些服務器。訪問控制列表只能阻止IP地址,不能阻止域名。對於IP地址變化比較頻繁的BT服務器來說,屏蔽比較煩人。
優點:這種方法可以有效的屏蔽大量的BT服務器,網管只需要簡單的管理服務器的IP地址就可以屏蔽和禁止BT軟件的使用,對於屏蔽自定義端口的BT軟件起到了非常有效的作用。
方法3:加載PDLM模塊
使用CISCO公司生產的PDLM模塊可以省去我們配置路由策略的工作,阻斷效果非常好。上面說的兩種方法,壹種是屏蔽數據包使用的端口,另壹種是屏蔽數據包的目的地址。雖然在壹定範圍內有效,但不能完全禁止BT。這個問題存在於用PDLM+N吧阻擋BT的時候。
思科在其官網上提供了三個PDLM模塊,即KAZAA2。PDLM,比特洪流。PDLM.EMONKEY.PDLM,可以用來屏蔽KAZAA,BT,電驢。這裏,我們以屏蔽BT下載為例。
建立壹個TFTP站點,復制bittorrent.pdlm到站點,使用IPNBAR PDLM TFTP站點的IP/bittorrent.pdlm命令加載核心路由器中的bittorrent.pdlm模塊。
接下來,設置路由器策略。具體命令如下:
類別映射匹配-任何位
創建壹個名為BIT的CLASS_MAP。
匹配協議bittorrent
要求符合模塊bittorrent的標準!
策略映射限制位
創建壹個名為LIMIT-BIT的策略映射。
類別位
它需要符合剛剛定義的名為BIT的類別映射。
滴
如果匹配,丟棄數據包!
接口千兆以太網0/2
進入網絡出口的接口。
服務策略輸入限制位
當數據包進入時,啟用限制位路由策略。
服務策略輸出限制位
當有數據包傳出時,啟用有限位路由策略。
如果不希望每次啟動路由器時都要手動加載TFTP上的bittorrent.pdlm,可以將這個pdlm文件上傳到路由器的閃存中,然後選擇TFTP服務器的IP地址。提示:屏蔽KAZAA或EDONKEY時,在路由器配置中將“匹配協議”後的bittorrent替換為KAZAA2或EDONKEY。其他配置同屏蔽BT。
通過NBAR加載PDLM模塊屏蔽BT軟件後,公司內BT的使用已經完全斷絕,所有員工都可以安心工作,網速也恢復到了之前的穩定值。
(缺點:這種方式配置相對麻煩,指令多。此外,路由器每次啟動時都必須重新指定PDLM文件。如果將PDLM文件上傳到路由器的閃存中,會占用大量空間。通過路由策略屏蔽BT軟件也會占用路由器大量的CPU和內存資源,影響數據包的傳輸速度。
優點:通過這種方法,可以完全阻止BT下載。
NBAR是壹種可以動態表征四至七層協議的技術。它不僅可以像普通ACL壹樣控制靜態的TCP UDP報告,還可以動態地控制普通ACL做不到的那些協議(比如BT)。
外部分組描述語言模塊(pdlm)的文件用於擴展由NBAR識別的協議。
到思科/PCGI-bin/tablebuild.pl/pdlm ' >[URL =思科/PCGI-bin/tablebuild.pl/pdlm]思科/PCGI-bin/table build . pl/pdlm下載bittorrent.pdlm和eDonkey.pdlm,通過TFTP上傳到FLASH。
加載pdlm模塊(用於BT和電驢)
ip nbar pdlm bittorrent.pdlm
ip nbar pdlm eDonkey.pdlm
建立與bt簽名相關的類別映射“denybt”。
類別映射匹配-任意拒絕
匹配協議bittorrent
匹配協議edonkey
定義符合bittorrent特征的包處理策略,這裏是drop。
策略-映射BitTorrent-策略
denybt類
滴
然後將服務策略添加到路由器內部網的端口配置中。
接口fa0/1
ip地址192.168.100.254 255 . 255 . 255 . 0
內部ip nat
服務策略輸入BitTorrent-Policy \ \定義對傳入數據包執行策略檢查。
服務策略輸出BitTorrent-Policy \ \定義對傳出數據包執行策略檢查。
全雙工
最有效的屏蔽bt的方法是在IOS的第七層,即根據行為屏蔽bt。封鎖端口是沒有意義的。
如果是封在七樓,基本沒辦法破解。