Cisco
Cisco ASA - 阻止 BitTorrent 流量
由於 DMCA 刪除通知,試圖阻止 Cisco ASA 5520 上客戶端的 bitTorrent 流量。
ASA 軟體:7.2 ASDM:5.2
該設備目前實際上僅用於 NAT 和 VPN。有沒有一種簡單的方法可以阻止此設備上的 bitTorrent TCP 埠 6881-6999?
我試圖這樣做並遇到了一些問題。最大的問題是,如今大多數 bittorrent 客戶端會選擇該範圍之外的隨機埠。僅阻止 6881-6999 是一個開始,但很容易被擊敗。即使你阻止了所有 UDP 和高埠,客戶端最終也會切換到埠 80 和 443(HTTP 和 HTTPS),這大概是你不想阻止的。
我還沒有找到完全阻止 bittorrent 的好方法。Bittorrent 已經圍繞各種區塊發展和適應,並將繼續逃避阻止它的嘗試。我確信有一種方法可以使用深度數據包檢測來辨識並關閉它,但我還沒有機會研究它。而且我不確定由於現在預設使用加密的bittorrent客戶端會取得多大的成功。
我一直在我的 ASA 上使用此程式碼來至少稍微幫助解決這種情況。我確信這會阻止其他有用的東西,但我沒有收到使用者的任何投訴。
object-group service Blocked-UDP-Ports udp description All ports blocked for Bit Torrent UDP DHT (all ephemeral ports except VPN encapsulation) port-object range 10001 65535 port-object range 1024 1193 port-object range 1195 9999 object-group service BitTorrent-Tracker tcp description TCP Ports used by Bit Torrent for tracker communication port-object eq 2710 port-object range 6881 6999 access-list inside_access_in extended deny udp any any object-group Blocked-UDP-Ports log warnings inactive access-list inside_access_in extended deny tcp any any object-group BitTorrent-Tracker log warnings inactive