- Форум
- /
- IT и телекоммуникации
- /
- Конфигурация сетевого оборудования
- /
- Cisco ZBF + FPM vs. Mikrotik Firewall: Как заблокировать P2P/Торрент (*.torrents, трекеры, DHT/PEX)
Cisco ZBF + FPM vs. Mikrotik Firewall: Как заблокировать P2P/Торрент (*.torrents, трекеры, DHT/PEX)
4 года 3 мес. назад - 2 года 10 мес. назад #187
от TOLLIFi
IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.
COM_KUNENA_MESSAGE_CREATED_NEW
В этой статье будут приведены конфигурация Cisco и Mikrotik и описание правил для блокировки Peer-to-Peer систем и практически всего торрент-трафика.
До настоящего момента блокировка торрентов была практически нереальна, или реализовывалась только на 50%:
1. Закрыть стандартые порты P2P-систем (bittorrent, gnutella, kazaa2, fasttrack и пр.) /TORRENT P2P/.
2. Заблокировать возможность скачивания торрент-файлов '*.torrents' /TORRENT PROHIBIT DOWNLOAD/.
Но сейчас торрент-клиенты типа BitTorrent или mTorrent способны автоматически подбирать порты для подключения к Peer'ам (СИД'ам), а торрент-файлы можно скачать и за пределами контролируемой сети. Основной же трафик генерировался после обращения клиента к трекеру за списком СИД'ов или же, если трекер являлся открытым, при обмене трафиком в DHT/PEX-сетях. Не углубляясь в термины и определения, могу коротко сказать, что для блокирования торрентов, помимо приведенных выше политик, необходимо также реализовать следующие:
3. Заблокировать т.н. торрент-анонсы к трекерам для получения списка Peer'ов /TORRENT ANNOUNCE/.
4. Заблокировать DHT/PEX-сеть /TORRENT DHT OUTGOING/.
5. Заблокировать торрент-трафик при обмене в локальной сети /TORRENT LOCAL MULTICAST/.
--- ПРИМЕРЫ ПЕРЕХВАЧЕННЫХ ТОРРЕНТ-СООБЩЕНИЙ ПО ПРАВИЛАМ ПОЛИТИК >>>
TORRENT: DHT Outgoing UDP
È.©!âq..BÔFÙ..EX
._.u..r.YÜÕ¨:’À¨
..‹k .Kk#d1:ad2
:id20:.×Ù¹¾Z5~'H
óYT….Tu³?e1:q4:
ping1:t4:U&.—1:v
4:UTs¹1:y1:qe
TORRENT: ANNOUNCE Outgoing TCP
GET /scrape.php?ak=11c35dbe37&&info_hash=%f7%9f%25%e6XA%e8bJ%27%3c%a0%7d%fa%8cQ%fd%3e%e3%c5 HTTP/1.1
Host: tracker.tfile.me %87%ee%ac9%95%e5%2f%acQw%cc%80%a9%bf%ea%e6%02%
User-Agent: uTorrent/3300(29544)
Accept-Encoding: gzip
Connection: Close
GET /001deb4fb4e08d85d887783284607ce2/scrape?info_hash=y%87%ee%ac9%95%e5%2f%acQw%cc%80%a9%bf%ea%e6%02%16_ HTTP/1.1
Host: bt.nnm-club.ru:2710
User-Agent: uTorrent/3300(29544)
Accept-Encoding: gzip
Connection: Close
User-Agent: uTorrent/3300(29544)
User-Agent: Azureus 2.5.0.0
User-Agent: BitTorrent/4.1.2
User-Agent: BitComet/1.36.5.2
User-Agent: mediaget/2.01.2359/
User-Agent: Mozilla/4.0
TORRENT: Prohibit Download *.torrent (.torrent-link - Incoming TCP)
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 07 Jun 2013 01:28:52 GMT
Content-Type: application/x-bittorrent
Content-Length: 13096
Connection: keep-alive
Keep-Alive: timeout=10
Set-Cookie: phpbb2mysql_4_data=a%3A2%3A%7Bs%3A11%3A%22autologinid%22%3Bs%3A0%3A%22%22%3Bs%3A6%3A%22userid%22%3Bs%3A7%3A%221960783%22%3B%7D; expires=Sat, 07-Jun-2014 01:28:50 GMT; path=/; domain=.nnm-club.ru
Set-Cookie: phpbb2mysql_4_sid=6145015fdfbd1249988a0d51c227a91b; path=/; domain=.nnm-club.ru
Content-Disposition: attachment; filename="[NNM-Club.ru]_Kisti.torrent"
X-Backend-Status: BYPASS
X-Frontend-Status: BYPASS
d8:announce68:
bt.nnm-club.ru:2710/001deb4f8ee5 ... e-listll68:
bt.nnm-club.ru:2710/001deb4f8ee5 ... announce70:
bt.nnm-club.info:2710/001deb4f8e ... ounceel189:
retracker.local/announce.php?size=73663513
&comment=http%3A%2F%2Fnnm-club.ru%2Fforum%2Fviewtopic.php%3Fp%3D5651127
&name=%CA%E8%F1%F2%E8+-+%CA%E8%F1%F2%E8+%E4%EB%FF+Photoshop+%5BABR%5Dee7:comment48:
nnm-club.ru/forum/viewtopic.php ? ... 10:created by13:uTorrent/204013:creation datei1369771330e8:encoding5:
UTF-84:infod5:filesld6:lengthi393490e4:pathl5:1.jpgeed6:lengthi220755e4:pathl5:2.jpgeed6:lengthi903549e4:pathl5:3.jpgeed6:
lengthi490880e4:pathl8:bone.abreed6:lengthi1116986e4:pathl24:chokingonstatic_film.abreed6:lengthi1662462e4:pa.......
TORRENT: Local Multicast Outgoing UDP
BT-SEARCH * HTTP/1.1
Host: 239.192.152.143:6771
Port: 41104
Infohash: 47B5A38DD14EC71478EC503B7E3E19E61E230A41
--- ПРИМЕР КОНФИГУРАЦИИ CISCO ZBF + FPM >>>
--- ПРИМЕР КОНФИГУРАЦИИ MIKROTIK FIREWALL >>>
До настоящего момента блокировка торрентов была практически нереальна, или реализовывалась только на 50%:
1. Закрыть стандартые порты P2P-систем (bittorrent, gnutella, kazaa2, fasttrack и пр.) /TORRENT P2P/.
2. Заблокировать возможность скачивания торрент-файлов '*.torrents' /TORRENT PROHIBIT DOWNLOAD/.
Но сейчас торрент-клиенты типа BitTorrent или mTorrent способны автоматически подбирать порты для подключения к Peer'ам (СИД'ам), а торрент-файлы можно скачать и за пределами контролируемой сети. Основной же трафик генерировался после обращения клиента к трекеру за списком СИД'ов или же, если трекер являлся открытым, при обмене трафиком в DHT/PEX-сетях. Не углубляясь в термины и определения, могу коротко сказать, что для блокирования торрентов, помимо приведенных выше политик, необходимо также реализовать следующие:
3. Заблокировать т.н. торрент-анонсы к трекерам для получения списка Peer'ов /TORRENT ANNOUNCE/.
4. Заблокировать DHT/PEX-сеть /TORRENT DHT OUTGOING/.
5. Заблокировать торрент-трафик при обмене в локальной сети /TORRENT LOCAL MULTICAST/.
--- ПРИМЕРЫ ПЕРЕХВАЧЕННЫХ ТОРРЕНТ-СООБЩЕНИЙ ПО ПРАВИЛАМ ПОЛИТИК >>>
ВНИМАНИЕ: Спойлер!
[ Нажмите, чтобы развернуть ]
[ Нажмите, чтобы скрыть ]
TORRENT: DHT Outgoing UDP
È.©!âq..BÔFÙ..EX
._.u..r.YÜÕ¨:’À¨
..‹k .Kk#d1:ad2
:id20:.×Ù¹¾Z5~'H
óYT….Tu³?e1:q4:
ping1:t4:U&.—1:v
4:UTs¹1:y1:qe
TORRENT: ANNOUNCE Outgoing TCP
GET /scrape.php?ak=11c35dbe37&&info_hash=%f7%9f%25%e6XA%e8bJ%27%3c%a0%7d%fa%8cQ%fd%3e%e3%c5 HTTP/1.1
Host: tracker.tfile.me %87%ee%ac9%95%e5%2f%acQw%cc%80%a9%bf%ea%e6%02%
User-Agent: uTorrent/3300(29544)
Accept-Encoding: gzip
Connection: Close
GET /001deb4fb4e08d85d887783284607ce2/scrape?info_hash=y%87%ee%ac9%95%e5%2f%acQw%cc%80%a9%bf%ea%e6%02%16_ HTTP/1.1
Host: bt.nnm-club.ru:2710
User-Agent: uTorrent/3300(29544)
Accept-Encoding: gzip
Connection: Close
User-Agent: uTorrent/3300(29544)
User-Agent: Azureus 2.5.0.0
User-Agent: BitTorrent/4.1.2
User-Agent: BitComet/1.36.5.2
User-Agent: mediaget/2.01.2359/
User-Agent: Mozilla/4.0
TORRENT: Prohibit Download *.torrent (.torrent-link - Incoming TCP)
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 07 Jun 2013 01:28:52 GMT
Content-Type: application/x-bittorrent
Content-Length: 13096
Connection: keep-alive
Keep-Alive: timeout=10
Set-Cookie: phpbb2mysql_4_data=a%3A2%3A%7Bs%3A11%3A%22autologinid%22%3Bs%3A0%3A%22%22%3Bs%3A6%3A%22userid%22%3Bs%3A7%3A%221960783%22%3B%7D; expires=Sat, 07-Jun-2014 01:28:50 GMT; path=/; domain=.nnm-club.ru
Set-Cookie: phpbb2mysql_4_sid=6145015fdfbd1249988a0d51c227a91b; path=/; domain=.nnm-club.ru
Content-Disposition: attachment; filename="[NNM-Club.ru]_Kisti.torrent"
X-Backend-Status: BYPASS
X-Frontend-Status: BYPASS
d8:announce68:
bt.nnm-club.ru:2710/001deb4f8ee5 ... e-listll68:
bt.nnm-club.ru:2710/001deb4f8ee5 ... announce70:
bt.nnm-club.info:2710/001deb4f8e ... ounceel189:
retracker.local/announce.php?size=73663513
&comment=http%3A%2F%2Fnnm-club.ru%2Fforum%2Fviewtopic.php%3Fp%3D5651127
&name=%CA%E8%F1%F2%E8+-+%CA%E8%F1%F2%E8+%E4%EB%FF+Photoshop+%5BABR%5Dee7:comment48:
nnm-club.ru/forum/viewtopic.php ? ... 10:created by13:uTorrent/204013:creation datei1369771330e8:encoding5:
UTF-84:infod5:filesld6:lengthi393490e4:pathl5:1.jpgeed6:lengthi220755e4:pathl5:2.jpgeed6:lengthi903549e4:pathl5:3.jpgeed6:
lengthi490880e4:pathl8:bone.abreed6:lengthi1116986e4:pathl24:chokingonstatic_film.abreed6:lengthi1662462e4:pa.......
TORRENT: Local Multicast Outgoing UDP
BT-SEARCH * HTTP/1.1
Host: 239.192.152.143:6771
Port: 41104
Infohash: 47B5A38DD14EC71478EC503B7E3E19E61E230A41
--- ПРИМЕР КОНФИГУРАЦИИ CISCO ZBF + FPM >>>
!
load protocol system:fpm/phdf/icmp.phdf
load protocol system:fpm/phdf/ip.phdf
load protocol system:fpm/phdf/tcp.phdf
load protocol system:fpm/phdf/udp.phdf
load protocol system:fpm/phdf/ether.phdf
!
ip port-map http port tcp 81
ip port-map http port tcp 2710
ip port-map http port tcp 8080
ip port-map http port tcp 8090
ip port-map http port tcp 8888
!
parameter-map type regex REGEX-TORRENT-ANNOUNCE
pattern .*[Ii][Nn][Ff][Oo]_[Hh][Aa][Ss][Hh]=.*
parameter-map type regex REGEX-TORRENT-PROHIBIT-DOWNLOAD
pattern .*application\/x-bittorrent.*|.*\.torrent.*
!
class-map type inspect match-all CLASS-INSPECT-HTTP
match protocol http
class-map type inspect http match-all CLASS-HTTP-TORRENT-PROHIBIT-DOWNLOAD
match response header content-type regex REGEX-TORRENT-PROHIBIT-DOWNLOAD
class-map type inspect match-any CLASS-INSPECT-ANY-P2P
match protocol gnutella signature
match protocol kazaa2 signature
match protocol fasttrack signature
match protocol bittorrent signature
class-map type inspect match-all CLASS-INSPECT-P2P
match class-map CLASS-INSPECT-ANY-P2P
class-map type inspect http match-all CLASS-HTTP-TORRENT-ANNOUNCE
match request method get
match request arg regex REGEX-TORRENT-ANNOUNCE
class-map type inspect match-any CLASS-INSPECT
description *** Inspection for Protocols ***
match protocol ftp
match protocol ftps
match protocol tftp
match protocol smtp
match protocol pop3
match protocol dns
match protocol https
match protocol http
match protocol tcp
match protocol udp
match protocol icmp
class-map type access-control match-all CLASS-ACCESS-TORRENT-DHT-OUTGOING
match field UDP length range 95 190
match start UDP payload-start offset 0 size 190 string "d1:ad2:id20:"
match field UDP dest-port range 1025 65535
class-map type stack match-all CLASS-STACK-IP-UDP
description *** Stack: [IP [UDP ... ]] ***
match field IP protocol eq 0x11 next UDP
class-map type inspect http match-any CLASS-HTTP-PORT-MISUSE
match request port-misuse p2p
match req-resp protocol-violation
class-map type access-control match-all CLASS-ACCESS-TORRENT-BROADCAST
match field UDP dest-port eq 6771
match start UDP payload-start offset 0 size 256 string "Infohash"
!
policy-map type inspect http POLICY-HTTP
class type inspect http CLASS-HTTP-TORRENT-ANNOUNCE
reset
log
class type inspect http CLASS-HTTP-PORT-MISUSE
reset
class type inspect http CLASS-HTTP-TORRENT-PROHIBIT-DOWNLOAD
reset
log
policy-map type inspect INSIDE->INTERNET
class type inspect CLASS-INSPECT-P2P
drop
class type inspect CLASS-INSPECT-HTTP
inspect
service-policy http POLICY-HTTP
class type inspect CLASS-INSPECT
inspect
class class-default
drop
policy-map type access-control POLICY-FILTER
class CLASS-ACCESS-TORRENT-DHT-OUTGOING
log
drop all
class CLASS-ACCESS-TORRENT-BROADCAST
log
drop all
policy-map type access-control POLICY-STACK
class CLASS-STACK-IP-UDP
service-policy POLICY-FILTER
!
zone security INSIDE
description *** LAN ***
zone security INTERNET
description *** Internet ***
!
zone-pair security INSIDE->INTERNET source INSIDE destination INTERNET
service-policy type inspect INSIDE->INTERNET
!
interface GigabitEthernet0/0
description *** LAN ***
zone-member security INSIDE
ip nat inside
service-policy type access-control input POLICY-STACK
!
interface GigabitEthernet0/1
description *** Internet ***
zone-member security INTERNET
ip nat outside
!--- ПРИМЕР КОНФИГУРАЦИИ MIKROTIK FIREWALL >>>
add action=drop chain=forward comment="TORRENT No 1: Classic non security torrent" disabled=no p2p=all-p2p
add action=drop chain=forward comment="TORRENT No 2: block outgoing DHT" content=d1:ad2:id20: disabled=no dst-port=1025-65535 packet-size=95-190 protocol=udp
add action=drop chain=forward comment="TORRENT No 3: block outgoing TCP announce" content="info_hash=" disabled=no dst-port=2710,80 protocol=tcp
add action=drop chain=forward comment="TORRENT No 4: prohibits download .torrent files. " content="\r\nContent-Type: application/x-bittorrent" disabled=no protocol=tcp src-port=80
add action=drop chain=forward comment="TORRENT No 5: 6771 block Local Broadcast" content="\r\nInfohash:" disabled=no dst-port=6771 protocol=udpIT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.
Last edit: 2 года 10 мес. назад by TOLLIFi.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Вы здесь:
-
Главная
-
Форум
-
IT и телекоммуникации
-
Конфигурация сетевого оборудования
- Cisco ZBF + FPM vs. Mikrotik Firewall: Как заблокировать P2P/Торрент (*.torrents, трекеры, DHT/PEX)