BitTorrentのブロック

1つの小規模オフィスネットワークでBitTorrentおよび類似のピアツーピア（P2P）サービスをどのようにブロックするか、大幅に遅くすることができますか？

Server Faultを検索したところ、これに関する最良の技術的アイデアの結集点として機能する質問を見つけることができませんでした。既存の質問はすべて特定の状況に関するものであり、支配的な回答は本質的に社交的/法的です。これらは有効なアプローチですが、純粋に技術的な議論は多くの人に役立つと思います。ネットワーク上のマシンにアクセスできないとします。

P2Pトラフィックでの暗号化の使用が増加しているため、ステートフルパケットインスペクションはあまり機能しないソリューションになりつつあるようです。私にとって理にかなっていると思われるアイデアの1つは、ヘビーユーザーを送信または受信しているものに関係なく、単にIPでスロットルすることです。しかし、現時点では、多くのルーターがその機能をサポートしていないようです。

P2P / BitTorrentトラフィックをどのように抑制できますか？

「Xをどのようにロックダウンするか」を尋ねるほとんどのアプローチは、明らかに間違っていると思います。それは悪の列挙です。

ここで私に反対票を投じますが、「通常の」ファイアウォールの場合と同様に、既知の良好なトラフィックと一致するトラフィックのみを許可する必要があると思います。しかし、問題が発生したため、SSL暗号化されたHTTPトラフィックを許可するのは簡単ではありません。それに対する解決策があり、効果的に中間者攻撃になるので、クライアントを完全に制御できず、人々があなたをのぞき見することを受け入れる契約に署名していない場合、法的責任を問われる可能性があります（一部の国では法律で完全に禁止されています） 、一部の国では契約でこのような条件が許可されています）。

私にとって、P2Pトラフィックと通常のトラフィックを区別したい唯一の健全なレベルは、アプリケーションファイアウォールです。IPまたはトランスポート層のファイアウォールが、実際のペイロードが有効なリクエストであるかどうかを正しく判断する方法はありません。

行ってみました。うまくいきません。私が働いている場所などのSOHO環境では、P2Pとは何か、「正当な」トラフィックとは何であるかを知る方法はありません。私が見つけた唯一の方法は、何よりも価値があるということですが、より「手動」の方法です。

私の監視システム（Nagios）は、ファイアウォールの外部インターフェース上のトラフィックが、5分間隔である2つ以上の連続したチェック期間にわたって事前設定されたポイントを超えたままになると警告を発します。これが発生した場合、ファイアウォール（Smoothwall）管理インターフェースのライブトラフィック表示を確認し、インターネットへの、またはインターネットからのトラフィックフローがかなり継続している特定のマシンを確認した場合、そのマシンで何が実行されているかをリモートで確認します。 。P2Pクライアントであることがわかっているものを見つけたら、そのユーザーに訪問料金を支払います。

これはかなり大雑把ですが、これはかなり重要な点です。私が利用できるもので私ができる最善のことです。

私が推奨する方法は、クライアントがそれ自体をスロットルするように構成することです。これが最もシンプルで効果的な方法のようです。ほとんどすべてのクライアントがサポートしています。私は古代のctorrentクライアントを使用しており、CTCS拡張機能を介して動的に構成可能なスロットルをサポートしています。

クライアントまたは管理ユーザーが拒否し、ソーシャルエンジニアリングが失敗した場合、QFQまたはWF2Qをそのまま実行します。ほとんどの50ドルのSOHOルーターはそれをサポートしていません。これは技術的で複雑な操作であり、あなたが支払うものを手に入れます。私は自分のAlixまたはSoekris搭載ルーターを構築します（コストは通常​​、eBayの使用済み部品を使用して約100ドルです）ので、m0n0 -wall、pfSense、またはストレートFreeBSD（私の選択したOS、ただしLinuxを使用できなかった理由はありません）を実行できます）。最近、私はこれらのSBCのより安価な代替品としてRouterStationを検討しています。

大規模な大学寮のネットワークを管理していた私の古い雇用主のResTekの賢い人々は、これを多く処理しなければなりませんでした。それらは、通常のHTTPトラフィックに比べてBTトラフィックの優先順位を下げるパケットシェーパーになりました。パケットはまだ通過し、共有はまだ起こっていましたが、犬には¹歳かかりました。彼らによると、それは本当にうまくいきました。

暗号化されたペイロードがあっても、BTトラフィックはその形状によって認識できます。他の多くのノードへのいくらかの永続的な接続。それはまだ回避できるので、完璧ではありません。

1：それで、彼らは何をしましたか？キャンパスの無線LANに切り替えて、BTを実現します。そのため、DMCA通知が届いたとき、キャプティブポータルはすでにログインとIP情報を記録していたので、誰と話すかだけがわかりました。

SOHO環境では？

• l7-filterはLinux iptablesの拡張機能であり、ファイアウォールルールがパケット内のアプリケーションレイヤーデータと一致することを可能にします。これを既存のiptablesファイアウォールに追加...
• ユーザーのマシンからBitTorrentクライアントを削除します。