Cómo prevenir eficazmente las descargas de BT en LAN

Este es un artículo escrito por mi profesor no sé si te será útil

4 formas de bloquear/restringir descargas de BT en CISCO

--- --------------------------------------------- ----- --------------------------

Método 1: Bloquear el puerto BT

Todo el mundo lo sabe. Si desea restringir un determinado servicio, debe configurar una ACL (Lista de control de acceso) en el enrutador para bloquear el puerto utilizado por el servicio, impidiendo así el funcionamiento normal del servicio. Para el software BT. Puede intentar bloquear su puerto. En general,

El software BT usa los puertos 6880-6890. Xiaojin usa el siguiente comando en el enrutador central de la empresa para bloquear todos los puertos 6880-6890. lista de acceso 101 denegar tcp cualquier rango 6880 6890

lista de acceso 101 denegar tcp cualquier rango 6880 6890 cualquiera

lista de acceso 101 permitir ip cualquiera

Luego ingrese el puerto correspondiente, ingrese ip access-group 101 out para que la lista de control de acceso surta efecto. Después de la configuración, el ancho de banda de la red se liberará inmediatamente y se mejorará la velocidad de la red. , a los pocos días, la velocidad de la red volvió a disminuir. El puerto del software BT obviamente está bloqueado. ¿Qué software todavía ocupa mucho ancho de banda? ¿Se detecta que el tráfico de datos de varios puertos poco comunes es muy grande? Resulta que muchas personas utilizan software BT de terceros (como BitGenie, BITCOMET) para descargar este software. Después de cambiarlo a un puerto desbloqueado, puede descargar BT. >

(Nota: Desventaja: debido a los grandes cambios en los puertos BT, el uso del bloqueo de puertos ACL tiene poco efecto y es difícil de ejecutar si la cantidad de configuraciones es grande. Además, una gran cantidad de ACL también ocupan los recursos de CPU del enrutador, lo que afecta otros servicios

Ventajas: Comparación del uso de la lista de control de acceso ACL para bloquear BT Es fácil de administrar, fácil de configurar y relativamente flexible de usar. Puede bloquear efectivamente el. software oficial de BT a través de ACL)

Método 2: Bloquear el servidor BT

Ya que no es efectivo Si desea bloquear el puerto local, debe comenzar desde la dirección del Objetivo remoto Al descargar BT, la máquina primero debe conectarse al servidor BT remoto, descargar la lista de semillas del servidor y luego conectarse a la semilla correspondiente, así que descárguela de los principales foros de BT Descargue BT seeds para obtener la dirección del servidor BT. Después de iniciar BITCOMET, seleccione la lista de servidores. Puede ver la dirección del servidor BT en el servidor TRACKER, como (bt.ydy.com), y luego usar el comando NUSLOOKUP o PING.

El. La dirección del servidor que puede obtener es 202.103.X.X

Después de obtener la dirección del servidor, puede ir al servidor central para bloquear la dirección. El comando específico es: access-list 102 deny tcp any 202.103.9.83 0.0. .0.0

Finalmente, Xiaojin ejecutó el comando ip access-group 102 out en el puerto de salida de la red para que la lista de control de acceso sea efectiva, de modo que los usuarios de la red no puedan acceder al servidor BT y a todas las semillas BT. proporcionada por el servidor Ninguno de ellos se puede utilizar. A continuación, reciba más direcciones IP de los servidores BT y agréguelas una por una a la lista de control 102. Después de que el empleado inicie el software BT de terceros, el número de semillas de conexión es 0. y la velocidad de descarga es 0.

Cuando la temperatura también era 0, finalmente suspiré aliviado.

No mucho después, la empresa volvió a tener el problema del funcionamiento lento de la red. Xiaojin descubrió a través del sistema de monitoreo que alguien estaba descargando películas a través de BITCOMET nuevamente. Aunque la velocidad no era tan buena como antes, todavía ocupaba. una cantidad considerable de ancho de banda. ¿Cuál fue el motivo? Los usuarios pueden conectarse al servidor BT nuevamente. Resulta que la dirección IP utilizada en la lista de acceso se filtra una vez que la dirección IP del servidor BT cambia. La dirección es inútil.

(Desventajas: hay muchos servidores BT. Es muy problemático encontrar la dirección IP de cada servidor y luego bloquearla, y también es fácil pasar por alto algunos servidores. La lista de control de acceso solo puede bloquear la dirección IP pero no el nombre de dominio. Para los servidores BT cuyas direcciones IP cambian con frecuencia, el bloqueo es más problemático.

Ventajas: este método puede bloquear eficazmente una gran cantidad de servidores BT. y prohibir el software BT simplemente administrando la dirección IP del servidor. El uso del software BT tiene un efecto de bloqueo muy efectivo en los puertos personalizados)

Método 3: Cargue el módulo PDLM

Usando el. El módulo PDLM producido por CISCO puede ahorrarnos la configuración. La estrategia de enrutamiento funciona y el efecto de bloqueo es muy bueno. Los dos métodos presentados anteriormente son bloquear el puerto utilizado por el paquete de datos y el otro es bloquear la dirección de destino. Aunque es efectivo dentro de un cierto rango, no puede Para prohibir completamente BT, bloquear BT mediante el método PDLM N BAR no tendrá este problema.

CISCO proporciona tres módulos PDLM en su sitio web oficial. es decir, KAZAA2.pdlm y bittorrent.

Cree un sitio TFTP y copie bittorrent.pdlm. al sitio y ejecútelo en el enrutador central. Utilice el comando ip nbar pdlm tftp://TFTP IP/bittorrent.pdlm para cargar el módulo bittorrent.pdlm.

A continuación, configure la política del enrutador. El comando específico es el siguiente:

class-map match-any bit

//Crea un CLASS_MAP llamado BIT

protocolo de coincidencia bittorrent

//¡Requerido para cumplir con los estándares del módulo bittorrent

Policy-map limit-bit

//Crea un POLICY-MAP llamado LIMIT-BIT

class bit

//Requerido para cumplir con el CLASS-MAP recién definido llamado BIT

drop

//Si coincide, ¡descarte el paquete

interfaz gigabitEthernet0/2

//Ingrese la interfaz de salida de la red

entrada de política de servicio bit límite

//Habilite el LÍMITE -Política de enrutamiento de BIT cuando ingresa un paquete de datos

servicio-política de límite de salida de bit

//Habilitar la política de enrutamiento LIMIT-BIT cuando los paquetes de datos salen

Si no desea cargar bittorrent manualmente en TFTP cada vez que inicia el enrutador pdlm, puede cargar este archivo PDLM en el FLASH del enrutador y luego seleccionar la dirección IP del servidor TFTP. o EDONKEY, reemplace el bittorrent después de "protocolo de coincidencia" con KAZAA2 o EDONKEY en la configuración del enrutador. Sin embargo, otras configuraciones son iguales a bloquear BT

Después de bloquear el software BT cargando el módulo PDLM a través de NBAR. , el uso de BT dentro de la empresa se ha cortado por completo. Todos los empleados pueden trabajar con tranquilidad y la velocidad de la red ha vuelto al valor estable.

(Desventaja: este método se configura.

Es relativamente problemático comenzar, hay muchas instrucciones y el archivo PDLM debe volver a especificarse cada vez que se inicia el enrutador. Si el archivo PDLM se carga en la memoria FLASH del enrutador, ocupará mucho espacio. El software BT a través de la política de enrutamiento también ocupará el enrutador. Una gran cantidad de recursos de CPU y memoria afectarán la velocidad de transmisión de los paquetes de datos. Ventajas: Este método puede bloquear completamente las descargas BT)

Método 4: Limitar la velocidad.

También podemos utilizar el NBAR exclusivo del router CISCO para controlar BT. NBAR (reconocimiento de aplicaciones basado en red) significa reconocimiento de aplicaciones de red. NBAR es una tecnología que puede buscar dinámicamente protocolos en las capas cuatro a siete. Es más poderosa que ACL. No solo puede controlar los números de puerto de protocolos de aplicación de red simples y estáticos TCP/UDP como puede hacerlo ACL en general. , las ACL no pueden controlar protocolos que usan puertos dinámicos y BT usa puertos dinámicos.

Para controlar el tráfico BT, es necesario implementar soporte para PDLM (Módulo de lenguaje de descripción de paquetes) en los enrutadores CISCO. PDLM significa Módulo de lenguaje de descripción de paquetes. Es una descripción de la capa de protocolo de aplicaciones de red de alto nivel, como el tipo de protocolo, el número de puerto de servicio, etc. Permite que NBAR se adapte a muchas aplicaciones de red existentes. Al mismo tiempo, también se puede definir para permitir que NBAR admita muchas aplicaciones de red emergentes, y PDLM se puede utilizar para limitar el tráfico malicioso en algunas redes. PDLM se puede descargar desde el sitio web de Cisco. Después de la descarga, bittorrent.pdlm se puede copiar al enrutador a través del servidor TFTP.

1. Definir protocolo bt:

ip nbar pdlm bittorrent.pdlm

2 Definir mapa de clases y mapa de políticas

bit de coincidencia de mapa de clases

protocolo de coincidencia bittorrent

bit de límite de mapa de políticas

bit de clase

police cir 240000

transmisión de acción conforme

caída de acción excedente

cir policial 8000

transmisión de acción conforme

exceso -action drop

5) Aplicar a la interfaz para implementar el límite de velocidad:

interfaz fastethernet 0/1

bit límite de entrada de política de servicio (descargar)

bit límite de salida de política de servicio (carga)

ip nat exterior

interfaz fastethernet 0/0

ip nat interior

ip nat exterior

interfaz fastethernet 0/0

ip nat interior

p>

ip nat interior lista 1 pool nbar -pool sobrecarga

access-list 1 permite cualquier

ip nat pool nbar-pool

de los cuales 8000 lt

80000; 4k 5k, 5k 5k

160000 lt;=80Klt;100K