Cisco阻塞BitTorrent流量

Question

由于DMCA收到通知，试图阻止思科ASA 5520上的客户端的bitTorrent流量。

ASA软件: 7.2 ASDM: 5.2

该设备目前只用于NAT和VPN。有没有一种简单的方法来阻止bitTorrent TCP端口6881-6999在这个设备上？

Answer 1

我尝试过这样做，并遇到了一些问题。最大的一点是，目前大多数bittorrent客户端都会选择超出该范围的随机端口。阻挡仅6881-6999是一个开始，但将很容易被击败。即使您阻塞了所有UDP和高端口，客户端最终也会切换到端口80和443 (HTTP和HTTPS)，这可能是您不想阻止的。

我还没有找到一种完全阻止bittorrent的好方法。Bittorrent已经围绕各种块进行了进化和调整，并将继续回避阻止它的尝试。我确信有一种方法可以使用Deep检查来识别和关闭它，但我还没有机会看到这一点。我不知道现在默认使用加密的bittorrent客户端会有多成功。

我一直在我的ASA上使用这段代码来帮助解决这个问题。我相信这会阻碍其他有用的事情，但是我没有收到用户的任何抱怨。

object-group service Blocked-UDP-Ports udp
 description All ports blocked for Bit Torrent UDP DHT (all ephemeral ports except VPN encapsulation)
 port-object range 10001 65535
 port-object range 1024 1193
 port-object range 1195 9999
object-group service BitTorrent-Tracker tcp
 description TCP Ports used by Bit Torrent for tracker communication
 port-object eq 2710
 port-object range 6881 6999

access-list inside_access_in extended deny udp any any object-group Blocked-UDP-Ports log warnings inactive
access-list inside_access_in extended deny tcp any any object-group BitTorrent-Tracker log warnings inactive

Answer 2

阻止这种情况的唯一简单方法是默认拒绝所有出口流量，并允许服务的特定端口。这是一个皮塔，但是bittorrent客户端不会监听1024个端口，所以443和80是安全的。dns、ssh、ftp、pop3、imap、sip、whois、telnet也是如此。