Cisco

Cisco ASA - 阻止 BitTorrent 流量

  • December 25, 2015

由於 DMCA 刪除通知,試圖阻止 Cisco ASA 5520 上客戶端的 bitTorrent 流量。

ASA 軟體:7.2 ASDM:5.2

該設備目前實際上僅用於 NAT 和 VPN。有沒有一種簡單的方法可以阻止此設備上的 bitTorrent TCP 埠 6881-6999?

我試圖這樣做並遇到了一些問題。最大的問題是,如今大多數 bittorrent 客戶端會選擇該範圍之外的隨機埠。僅阻止 6881-6999 是一個開始,但很容易被擊敗。即使你阻止了所有 UDP 和高埠,客戶端最終也會切換到埠 80 和 443(HTTP 和 HTTPS),這大概是你不想阻止的。

我還沒有找到完全阻止 bittorrent 的好方法。Bittorrent 已經圍繞各種區塊發展和適應,並將繼續逃避阻止它的嘗試。我確信有一種方法可以使用深度數據包檢測來辨識並關閉它,但我還沒有機會研究它。而且我不確定由於現在預設使用加密的bittorrent客戶端會取得多大的成功。

我一直在我的 ASA 上使用此程式碼來至少稍微幫助解決這種情況。我確信這會阻止其他有用的東西,但我沒有收到使用者的任何投訴。

object-group service Blocked-UDP-Ports udp
description All ports blocked for Bit Torrent UDP DHT (all ephemeral ports except VPN encapsulation)
port-object range 10001 65535
port-object range 1024 1193
port-object range 1195 9999
object-group service BitTorrent-Tracker tcp
description TCP Ports used by Bit Torrent for tracker communication
port-object eq 2710
port-object range 6881 6999

access-list inside_access_in extended deny udp any any object-group Blocked-UDP-Ports log warnings inactive
access-list inside_access_in extended deny tcp any any object-group BitTorrent-Tracker log warnings inactive

引用自:https://serverfault.com/questions/253137