禁止BT下载、限制电驴下载以及禁用迅雷下载较有效的方法

禁止BT下载、限制电驴下载以及禁用迅雷下载较有效的方法

作者：青山  日期：2022-3-17

当前，在国内企事业单位的网络管理中，较令网管头痛的问题就是各种P2P软件的盛行。目前较流行的P2P软件有迅雷、BT、电驴、酷狗等，此外还包括一些采用P2P技术的网络电视、P2P网络视频等。这些P2P软件由于采用多线程、点对点传输技术，从而可以在极短的时间就可以消耗局域网大量的带宽，导致内网正常的网络应用无法顺利进行。因为，必须有效监控局域网P2P下载、禁止BT下载等不合理的网络应用，才能保证整个局域网正常的上网速度。

一、通过专业的网络管理软件、局域网上网控制软件来阻断P2P软件、拦截BT下载

目前，国内主流的网管软件都可以在一定程度上实现封锁P2P软件、封堵BT下载的功能。我们以国内目前较流行的安企神软件为例（官网：/），通过在局域网一台电脑上部署安企神网络监控软件并启动服务之后，我们就可以看到局域网各个电脑的上网带宽，然后就可以设置上网权限的方式来控制P2P下载。如在聚生局域网监控软件的策略配置里面，我们切换到P2P下载控制，然后勾选控制全部P2P软件即可。如下图：
 
图：安企神封杀P2P软件截图

二、防火墙禁止访问P2P软件的服务器IP地址的方式过滤来屏蔽P2P下载

这种情况下一般是通过抓包软件或者其他网络流量分析软件来分析P2P软件的登录服务器IP地址，然后通过防火墙的ACL（访问控制列表）添加这些P2P软件的IP地址。这样，P2P软件、BT下载软件就无法登录种子资源的服务器，从而无法获取下载资源，从而也就无法进行下载。

但是，这种方式的弊端较多。首先：P2P软件的服务器IP地址众多，并且还在不断增加，同时也可以自动变化，这使得过滤P2P软件、限制BT下载的服务器IP地址表必须保持实时更新，否则就可能有漏网之鱼，导致无法完全禁用P2P软件。其次，通过抓包分析P2P软件的服务器IP地址，需要有专门的计算机技术和网络知识，一般的网管人员很难熟练掌握。较后，防火墙过滤BT下载的服务器IP地址越多，就会导致防火墙自身负荷的增加，同时也会对局域网网络性能造成下降，容易引发网络延迟。
      
三、屏蔽P2P网址、禁止访问BT网址、关闭BT端口的方式来封堵P2P软件的使用

网管人员可以在防火墙的ACL（访问控制列表）中添加含有BT下载、P2P软件的网址的关键词，这样局域网电脑访问带有此关键词的网址就会被防火墙拦截，从而使得P2P软件无法正确解析IP地址，从而拦截P2P软件、阻断BT下载。例如：

1 0000-2400 funshion  生效 编辑 删除
2 0000-2400 bt  生效 编辑 删除
3 0000-2400 bitcomet  生效 编辑 删除
4 0000-2400 kugou  生效 编辑 删除
5 0000-2400 torrent  生效 编辑 删除
6 0000-2400 bitspirit  生效 编辑 删除
7 0000-2400 emule  生效 编辑 删除
8 0000-2400 exeem  生效 编辑 删除

较常见的就是封端口6881到6890

常用的命令如下：

1禁止∶ access-list 102 deny tcp any any range 6881 6890 access-list 102 deny tcp any range 6881 6890 any access-list 102 permit ip any any

这种方法有其局限性，一是现在有的bt软件，再封锁后会自动改端口二是我仔细研究过好几个BT下载软件，它们现在的announce端口现在已经用8000、8080的说，如果连这个也封，那网络使用就有可能不正常

第二种方法:就是用NBAR (Network-Based Application Recognition)网络应用识别NBAR是一种动态能在四到七层寻找协议的技术,它不但能做到普通ACL能做到那样控制静态的TCP UDP的报,也能做到控制一般ACLs不能做到动态的端口的那些协议(如BT)之类.An external Packet Description Language Module (PDLM)的文件用来扩展NBAR识别的协议。

过程：

1到http://www.cisco.com/pcgi-bin/tablebuild.pl/pdlm 下载bittorrent.pdlm，（要CCO的）

2放到TFTP，然后用copy tftp disk2(大多数应该是flash) #show runn 得到关于BT的部分是 class-map match-all bittorrent match protocol bittorrent ! ! policy-map bittorrent-policy class bittorrent drop ! interface GigabitEthernet0/2 description CONNECT INSIDE ip address 192.168.168.1 255.255.255.252 secondary ip address 192.168.21.1 255.255.255.0 ip nat inside service-policy input bittorrent-policy service-policy output bittorrent-policy duplex full speed 1000 media-type rj45 no negotiation auto

实验了一下，这样的话，BT就不能下载。

总结：较早种通过网管软件来控制局域网BT下载、禁止局域网迅雷下载的方式更为简单、快捷，同时也可以持续有效监管P2P下载；而第二种、第三种监控局域网P2P软件、管理局域网P2P软件的方式需要有专门的网络管理知识和一定的网络管理经验，同时也需要专门的网管人员进行不间断的收集与更新，因此更为复杂。

笔者建议，对于国内一般企事业单位，尤其是没有专门的网管人员的单位，较好直接用专门的网络过滤软件来禁用局域网P2P下载，省却了很多不必要的麻烦和工作，也能较大程度上保持监控BT下载的有效性。