技術(shù)文檔

讓BT流量在網(wǎng)絡(luò)中無(wú)處可藏

2011-09-02

BT全名為Bit Torrent,是一個(gè)P2P軟件,與傳統(tǒng)FTP、HTTP等下載方式不同,使用BT的人數(shù)越多,速度越快。傳統(tǒng)的FTP、HTTP是把文件由服務(wù)器端傳送到客戶端,這樣會(huì)出現(xiàn)一些問(wèn)題:用戶數(shù)量的增多要求高帶寬和服務(wù)器的高性能,也會(huì)影響到服務(wù)器的穩(wěn)定性,因此很多服務(wù)器都會(huì)有用戶人數(shù)的限制、下載速度的限制,這樣就給用戶造成了諸多的不便。而BT從根本上解決了這個(gè)問(wèn)題,BT采用的是一種類似傳銷的方式來(lái)達(dá)到共享,在下載的同時(shí),也在為其他用戶提供上傳,所以不會(huì)隨著用戶數(shù)的增加而降低下載速度。使用非常方便,其特點(diǎn)簡(jiǎn)單地說(shuō)就是:下載的人越多,速度越快。

如果多個(gè)用戶同時(shí)使用BT進(jìn)行下載,會(huì)占用大量網(wǎng)絡(luò)帶寬,嚴(yán)重影響其他用戶的正常工作。人員苦于沒(méi)有方式方法去監(jiān)控管理,造成情況越發(fā)嚴(yán)重,妨礙正常業(yè)務(wù)的使用。因此,在一些環(huán)境下完全有必要嚴(yán)格限制用戶的BT下載流量或完全禁止BT下載。

為了限制BT的應(yīng)用,必須及時(shí)地查找網(wǎng)絡(luò)中使用BT下載者,減少網(wǎng)絡(luò)中的垃圾流量,下面介紹兩種不同類型的方法。

 

一、基于應(yīng)用端口進(jìn)行查找

首先,通過(guò)交換機(jī)SNMP功能,查看每個(gè)交換機(jī)端口的流量,看哪個(gè)端口的利用率比較高,再看端口所連接設(shè)備的情況??拷?jīng)驗(yàn)判斷其流量是否合法。要求:所有網(wǎng)絡(luò)設(shè)備為智能設(shè)備,SNMP功能要打開。由于屬于實(shí)時(shí)查看,又不了解其高流量具體內(nèi)容是什么,判斷結(jié)果也不會(huì)準(zhǔn)確,只能作為參考定位。常用BT端口(包括tcp和udp)有1881~1889;4661,4662,4665,4672,4711;6881~6999;77771~7999;8881~8999;16881~16999;18881~18999。

然后利用協(xié)議分析儀或軟件接入主干鏈路或廣域網(wǎng)出口,查看端口的應(yīng)用情況,看誰(shuí)使用此類的應(yīng)用。但是BT的應(yīng)用端口是可以自定義的,如果用戶把應(yīng)用端口修改之后,這個(gè)方法就沒(méi)有效了。

 

二、基本BT的協(xié)議行為進(jìn)行協(xié)議分析

首先,需要在適當(dāng)?shù)奈恢眠B接具有協(xié)議分析功能的儀表對(duì)流量進(jìn)行監(jiān)聽。通過(guò)常要選用合適的接入位置,可以是廣域網(wǎng)路由器的前后端接口接入廣域網(wǎng)分析儀。接入技術(shù)有很多,可以利用TAP(三通)連接器,也可以在網(wǎng)絡(luò)設(shè)備中采用鏡像的方式將數(shù)據(jù)流量提供福祿克的網(wǎng)絡(luò)集成分析儀。

連接完成后,要做出必要的設(shè)置。由于網(wǎng)絡(luò)流量龐大,需要對(duì)數(shù)據(jù)進(jìn)行篩選。通過(guò)在協(xié)議分析儀設(shè)置過(guò)濾器,捕捉網(wǎng)絡(luò)中TCP信息的包,獲取所有可能使用BT的信息數(shù)據(jù),TCP是BT握手消息時(shí)使用的協(xié)議。接下來(lái)進(jìn)行數(shù)據(jù)捕捉,捕捉完成后,利用協(xié)議分析軟件,做了一個(gè)字符串過(guò)濾器,在該過(guò)濾器中的第19位輸入,BitTorrent protocol字符串,對(duì)所獲取的數(shù)據(jù)進(jìn)行過(guò)濾。之所以使用這個(gè)字符串過(guò)濾器,是因?yàn)锽T協(xié)議的握手消息是數(shù)字19后面跟字符串BitTorrent protocol.

 

  

通過(guò)這個(gè)過(guò)濾器,就可以捕捉到所有BT的下載者。(具體的BT相關(guān)信息可以參看http://www.bittorrent.com/protocol.html 。BT協(xié)議的開發(fā)說(shuō)明)

 

 

 

經(jīng)過(guò)過(guò)濾后,大家看下面的16進(jìn)制解碼窗口圖片,下面畫紅線的地方分別是BT下載者的IP地址,和他使用的BT(Bittorrent protocol)協(xié)議。

  

再看詳細(xì)解碼窗口,下面畫紅線的地方分別是BT下載者網(wǎng)卡MAC地址和IP地址。

你已經(jīng)有了使用BT下載的IP地址和MAC地址了,管理網(wǎng)絡(luò)人員很快就可以找到BT下載者了!