使用ISA Server 2004限制BT下载
BT
下载作为当前一种流行的下载方式,受到很多人的喜欢。但是在 企业网络环境中,
BT
下载却经常让网络管理员头痛。下面我谈谈如何通过
ISA Server 2004
来限制BT。
首要原则:请在
ISA Server
上只开放需要的服务,这样可以禁止内部网络客户直接使用BT下载,但不能禁止它通过外网代理进行BT下载。
限制的方法有几种,下面我给大家一一讲解:
1、限制种子文件的下载
这大概是大家最先能想到的。方法也比较简单,在设置好的策略中的
HTTP
中限制一下即可,如下图所示:
当然这种方法只要下载者有一点计算机常识就知道,改个扩展名就可以继续下载。不过做为最简单的一种方法,我还是在这里提出来了。另外提醒一句,如果某网站提供下载
Torrent
文件的端口不是标准的
80
端口,此方法也会失效,除非你在这个端口上加载
Web代理过滤器。
2、限制浏览BT网站
也许你会说,
BT
网站那么多,怎么限制的过来?其实可以考虑一下
BT
下载的特点:下载的人数越多,速度越快;
Seed
越多,速度越快。只有比较热门
BT
网站的
Torrent
文件下载的人才会比较多,一般的
BT
网站去的人就比较少,下载的人数也少,除非他能忍受每秒几
K
的速度。
那么我们所要做的是找出比较热门的
BT
网站,然后禁止对它们的访问即可。
下面是我查找的一些热门
BT
网站的
URL
,大家可以补充
BT@China
联盟镜像
[url]http://bt.btchina.net/[/url]
[url]http://bt2.btchina.net/[/url]
[url]http://bt1.btchina.net/[/url]
[url]http://bt3.btchina.net/[/url]
IT
论坛
BT
发布页
[url]http://bt.itbbs.net/bt/[/url]
满分
bt
发布区
[url]http://www.manfen.net/forum/btsubsystem.php[/url]
tlf 发布页
[url]http://bt1.eastgame.net/index.php[/url]
[url]http://www.manfen.net/forum/btsubsystem.php[/url]
tlf 发布页
[url]http://bt1.eastgame.net/index.php[/url]
[url]http://bt2.eastgame.net/index.php[/url]
[url]http://bt3.eastgame.net/index.php[/url]
[url]http://www.eastgame.net/[/url]
(论坛形式)
gamesir
发布页
[url]http://bt.gamesir.com/[/url]
E 游网 bt 发布区
E 游网 bt 发布区
[url]http://www.egame365.com/bt/[/url]
雷傲论坛 bt 下载区
雷傲论坛 bt 下载区
[url]http://bbs.leoboard.com/cgi-bin/forums.cgi?forum=73[/url]
蚂蚁论坛
bt
下载区
[url]http://www.antcn.com/bbs/index.php[/url]
星空动漫下载区
[url]http://xkcomic.net/index.php[/url]
三夫之家下载区
[url]http://teky.8866.org/bbs/index.asp[/url]
影视前线发布索引页
[url]http://61.133.84.149/bt/index.asp[/url]
贪婪大陆
[url]http://bt.greedland.net/index.php[/url]
[url]http://bt1.greedland.net/index.php[/url]
伊美姬
BT
下载
[url]http://www.imagegarden.net/bt/[/url]
伊甸园论坛
BT
下载区
[url]http://bt.ydy.com/[/url]
极影
BT
发布索引
[url]http://bt.ktxp.com/[/url]
影音休闲中心
[url]http://bt.zingking.com/[/url]
5Q
教育网
BT
[url]http://bt.5qzone.net[/url]
[url]http://bt2.5qzone.net/[/url]
[url]http://bt3.5qzone.net/[/url]
[url]http://bt4.5qzone.net/[/url]
[url]http://bt5.5qzone.net/[/url]
[url]http://bt.neupioneer.com/[/url]
bt
守望者
[url]http://www.bitower.com/[/url]
影视帝国论坛
[url]http://bbs.cnxp.com/[/url]
BT
之家
[url]http://bbs.btbbt.com/[/url]
简约论坛
[url]http://www.bt800.com/bbs/[/url]
丽影论坛
[url]http://www.cn5566.com/[/url]
[url]http://bt3.cn5566.com/[/url]
春秋影视论坛
[url]http://www.cqbbs.net/[/url]
百看娱乐网
[url]http://www.100kan.com[/url]
几个
bt
搜索引擎
[url]http://www.52bt.net/[/url]
[url]http://www.hjbt.net/sort/[/url]
对限制以上网站(或域名)的访问,对
Torrent
文件的下载可以起到一定的限制作用。
3、禁止访问Tracker服务器
Tracker是指运行于服务器上的一个程序,这个程序能够追踪到底有多少人同时在下载同一个文件。客户端连上Tracker服务器,就会获得一个下载人员 的名单,根据这个,BT会自动连上别人的机器进行下载。一般对tracker服务器的访问以http的形式进行。
知道了这个原理,我们可以从限制对Tracker服务器的访问来限制
bt
。
下面我以SNAT方式(为了试验需要,开放所有出站协议)进行一次简单试验,所用BT客户端软件为
BitSpirit
。
下图是正常下载时的一张图片
从中看出,这个Tracker服务器的为btfans.3322.org:8000
我在ISA上新建一个计算机集,加入此Tracker服务器,并设置一条访问规则,禁止内网对其的访问。
此时再下载时,将发现无法连接Tracker服务器的错误了。
注意:这里我没有使用域名集的原因是在试验过程中,我发现BT客户端在连Tracker服务器时直接使用IP地址。
实际上,由于获得
Tracker
服务器的地址费劲,实用性不是很强。提出这种方法是让大家有一个新的思路。当然,
Tracker
服务器的数量应该远少于热门
BT
网站的数量,很多网站都是转的其他网站的
Torrent
,如果可以找出这些
Tracker
服务器的地址,这也不失为一种有效方法。
4、过滤HTTP签名
ISA2004
一个
新特征就是可以对应用层协议进行过滤,对
HTTP
的过滤显得尤为有效。
下面我通过一个试验来分析一下
BT
客户端软件在使用外网
HTTP
代理时的一些特性。使用的方式仍然为
SNAT
(开放
HTTP
、
HTTPS
、
DNS
协议),
BT
客户端软件为
BitSpirit
。
首先,我在
BitSprint
中设置外网的
http
代理,如下图
此时,BT可以正常下载
同时在客户机上抓包进行分析,如下图
我们对访问策略的
http
进行签名过滤
此时
BT
下载显示为:
显示的错误有点奇怪,是
HTTP 500
错误,抓包看一下
好像不是被签名过滤了,是内部服务器错误,一直没弄明白是为什么,呵呵,不过达到效果了
^_^
5、客户端使用Socks2Http
这几乎是最恶毒的方法了,使用的人还不在少数。由于时间问题,我只以最常用的
Socks2Http
为例,简单说明一下这种方法。
实验环境还是客户端为
SNAT
方式,
ISA
开放
HTTP
、
DNS
出站协议。安装并设置
Socks2http
软件,如下图所示:
用
netstat
�Can
查看查看本机
1080
端口是否打开。
用
QQ
测试一下
Socks
登录是否成功。
测试成功,并且
QQ
可以登录。
同样在
BitSpirit
中设置代理,
测试不成功(但这个测试不一定准确,因为我在使用
HTTP
代理时测试也不成功,但照样能下载),不管它,点击确定,然后下载。出现下图
来此软件不支持
BitSpirit
。我又更换了
BitComet
做测试,还是不成功。
由于没有时间继续测试其他
Socks2Http
软件,无法知晓结果。但是可以肯定,如果
BitSpirit
可以使用此方法,则数据包一定会有它的特征。这个留给大家自己测试了。
6、其他
限制(不是禁止)BT的方法还有很多,论坛里面也谈起过,如限制并发数,限制连接数目等等,具体的设置可以根据你的实际情况制定了。对于局域网内使用二级代理然后进行
BT
下载的情况,
ISA
也可以使用限制连接数进行一定的控制。
另外,如果你公司是域环境,其中有
Windows2003
作为域控制器,组策略在上面实施,且客户机的
OS
为
XP
或者
2003
,那么可以利用
Windows2003
中新的软件限制组策略对
BT
客户端的使用加以限制。这些已经超过了今天我要讨论的范围,有兴趣的朋友自己查看微软相关的文章。