我已经提到了如何阻止旧的外部思科文章位洪流交通上线参照这里
我发现这个程序只在 50% 的时间内有效。
我发现阻塞了特定于洪流的端口,并且执行正则表达式确实有效,它只是无法捕获所有流量。
object-group service bit-torrent-services tcp-udp
port-object eq 6969
port-object range 6881 6999
和
regex bit-torrent-tracker ".*[Ii][Nn][Ff][Oo]_[Hh][Aa][Ss][Hh]=.*"
有没有人有更多最新的正则表达式来查找比特洪流流量?或者这是否是 ASA 目前的限制?
<笑话>拔掉它</笑话>
Bittorrent 客户端可以(并且确实)使用随机端口。阻止公共端口只会鼓励用户移动到不同的端口。此外,客户端间流量已经支持加密多年了——最初是作为限制 ISP 干扰的一种手段——使得实际的 ptp 流量无法识别。
在客户端-跟踪器通信中寻找“info_hash”虽然有点有效,但也很容易被打败。(tor、ssl、vpn 等)它也无法阻止无跟踪器群 (DHT)、对等交换 (PEX)、UDP 跟踪器协议......
如果你已经成功杀死了 50%,那么算你自己很幸运。这是一场你赢不了的打地鼠游戏。
将其配置为所有支持的应用程序协议的透明代理模式,并仅允许代理连接。任何未知的协议都会失败,包括 BitTorrent。BitTorrent 的 SSL 隧道是不可行的,因此 HTTPS 不是一个太大的漏洞。让任何未经 L7 批准的路由连接通过都会让 BitTorrent 漏掉。
我们可以通过多种方式实现在 ASA 防火墙中阻止比特流的要求
通过创建带有可用 url 的对象并在防火墙中创建出站策略拒绝规则,此策略需要放置在允许规则之上
即使我们可以使用内容过滤,因此内容过滤是安全配置文件之一,此特定安全配置文件可以附加用于用于 int 的出站安全策略规则
甚至可以通过创建具有各种 torrent url 的对象来使用 webfilterring 功能之一的安全配置文件,并在用于 Internet 访问的出站安全策略中使用此 webfilterring 对象
一种解决方法是通过制作一组特定的控制列表来限制 Torrent 流量。源端口和目标 IP(您的 IP 池)。
排除 RDP(远程桌面 3389)、VNC、HTTP 8080(替代 80)等常用服务的端口