使用ISA Server 2004限制BT下载

使用ISA Server 2004限制BT下载

前言：论坛里经常有人提类似“我应该如何使用ISA2004限制BT下载”
一类的问题，包括各位版主在内的很多朋友也提了一些解决的方法，但是都不够细致。正好这周有空，我就花了1天时间做了一些试验，把结果和大家分享^_^。
　
BT下载作为当前一种流行的下载方式，受到很多人的喜欢。但是在企业网络环境中，BT下载却经常让网络管理员头痛。下面我谈谈如何通过ISA Server 2004来限制BT。
首要原则：请在ISA Server上只开放需要的服务，这样可以禁止内部网络客户直接使用BT下载，但不能禁止它通过外网代理进行BT下载。
限制的方法有几种，下面我给大家一一讲解：
1
、限制种子文件的下载
这大概是大家较先能想到的。方法也比较简单，在设置好的策略中的HTTP中限制一下即可，如下图所示：

当然这种方法只要下载者有一点计算机常识就知道，改个扩展名就可以继续下载。不过做为较简单的一种方法，我还是在这里提出来了。另外提醒一句，如果某网站提供下载Torrent文件的端口不是标准的80端口，此方法也会失效，除非你在这个端口上加载Web代理过滤器。
　
2、
限制浏览BT网站
也许你会说，BT网站那么多，怎么限制的过来？其实可以考虑一下BT下载的特点：下载的人数越多，速度越快；Seed越多，速度越快。只有比较热门BT网站的Torrent文件下载的人才会比较多，一般的BT网站去的人就比较少，下载的人数也少，除非他能忍受每秒几K的速度。
那么我们所要做的是找出比较热门的BT网站，然后禁止对它们的访问即可。
下面是我查找的一些热门BT网站的URL，大家可以补充
BT@China联盟镜像
http://bt.btchina.net/
http://bt2.btchina.net/
http://bt1.btchina.net/
http://bt3.btchina.net/
　
IT论坛BT发布页
http://bt.itbbs.net/bt/
　
满分bt发布区
http://www.manfen.net/forum/btsubsystem.php
tlf发布页
http://bt1.eastgame.net/index.php
http://bt2.eastgame.net/index.php
http://bt3.eastgame.net/index.php
http://www.eastgame.net/ （论坛形式）
　

gamesir发布页
http://bt.gamesir.com/
E游网bt发布区
http://www.egame365.com/bt/
雷傲论坛bt下载区
http://bbs.leoboard.com/cgi-bin/forums.cgi?forum=73
蚂蚁论坛bt下载区
http://www.antcn.com/bbs/index.php
星空动漫下载区
http://xkcomic.net/index.php

三夫之家下载区
http://teky.8866.org/bbs/index.asp

影视前线发布索引页
http://61.133.84.149/bt/index.asp
贪婪大陆
http://bt.greedland.net/index.php
http://bt1.greedland.net/index.php
伊美姬BT下载
http://www.imagegarden.net/bt/
伊甸园论坛BT下载区
http://bt.ydy.com/
极影BT发布索引
http://bt.ktxp.com/
影音休闲中心
http://bt.zingking.com/
5Q 教育网BT
http://bt.5qzone.net
http://bt2.5qzone.net/
http://bt3.5qzone.net/
http://bt4.5qzone.net/
http://bt5.5qzone.net/
http://bt.neupioneer.com/
bt守望者
http://www.bitower.com/
影视帝国论坛
http://bbs.cnxp.com/
BT之家
http://bbs.btbbt.com/
简约论坛
http://www.bt800.com/bbs/
丽影论坛
http://www.cn5566.com/
http://bt3.cn5566.com/
春秋影视论坛
http://www.cqbbs.net/
百看娱乐网
http://www.100kan.com
几个bt搜索引擎
http://www.52bt.net/
http://www.hjbt.net/sort/
对限制以上网站（或域名）的访问，对Torrent文件的下载可以起到一定的限制作用。
3、
禁止访问Tracker服务器
Tracker是指运行于服务器上的一个程序，这个程序能够追踪到底有多少人同时在下载同一个文件。客户端连上Tracker服务器，就会获得一个下载人员的名单，根据这个，BT会自动连上别人的机器进行下载。一般对tracker服务器的访问以http的形式进行。
知道了这个原理，我们可以从限制对Tracker服务器的访问来限制bt。
下面我以SNAT方式（为了试验需要，开放所有出站协议）进行一次简单试验，所用BT客户端软件为BitSpirit。
下图是正常下载时的一张图片

从中看出，这个Tracker服务器的为btfans.3322.org:8000
我在ISA上新建一个计算机集，加入此Tracker服务器，并设置一条访问规则，禁止内网对其的访问。

此时再下载时，将发现无法连接Tracker服务器的错误了。
注意：这里我没有使用域名集的原因是在试验过程中，我发现BT客户端在连Tracker服务器时直接使用IP地址。
实际上，由于获得Tracker服务器的地址费劲，实用性不是很强。提出这种方法是让大家有一个新的思路。当然，Tracker服务器的数量应该远少于热门BT网站的数量，很多网站都是转的其他网站的Torrent，如果可以找出这些Tracker服务器的地址，这也不失为一种有效方法。
　

4、过滤
HTTP签名
ISA2004一个新特征就是可以对应用层协议进行过滤，对HTTP的过滤显得尤为有效。
下面我通过一个试验来分析一下BT客户端软件在使用外网HTTP代理时的一些特性。使用的方式仍然为SNAT（开放HTTP、HTTPS、DNS协议），BT客户端软件为BitSpirit。
首先，我在BitSprint中设置外网的http代理，如下图

此时，BT可以正常下载

　
同时在客户机上抓包进行分析，如下图

我们对访问策略的http进行签名过滤

此时BT下载显示为：

显示的错误有点奇怪，是HTTP 500错误，抓包看一下

好像不是被签名过滤了，是内部服务器错误，一直没弄明白是为什么，呵呵，不过达到效果了^_^ 
5、客户端使用
Socks2Http
这几乎是较恶毒的方法了，使用的人还不在少数。由于时间问题，我只以较常用的Socks2Http为例，简单说明一下这种方法。
实验环境还是客户端为SNAT方式，ISA开放HTTP、DNS出站协议。安装并设置Socks2http软件，如下图所示：

用netstat Can查看查看本机1080端口是否打开。
用QQ测试一下Socks登录是否成功。
　

测试成功，并且QQ可以登录。
同样在BitSpirit中设置代理，

测试不成功（但这个测试不一定准确，因为我在使用HTTP代理时测试也不成功，但照样能下载），不管它，点击确定，然后下载。出现下图

来此软件不支持BitSpirit。我又更换了BitComet做测试，还是不成功。
由于没有时间继续测试其他Socks2Http软件，无法知晓结果。但是可以肯定，如果BitSpirit可以使用此方法，则数据包一定会有它的特征。这个留给大家自己测试了。
6、其他
限制（不是禁止）BT的方法还有很多，论坛里面也谈起过，如限制并发数，限制连接数目等等，具体的设置可以根据你的实际情况制定了。对于局域网内使用二级代理然后进行BT下载的情况，ISA也可以使用限制连接数进行一定的控制。
另外，如果你公司是域环境，其中有Windows2003作为域控制器，组策略在上面实施，且客户机的OS为XP或者2003，那么可以利用Windows2003中新的软件限制组策略对BT客户端的使用加以限制。这些已经超过了今天我要讨论的范围，有兴趣的朋友自己查看微软相关的文章.

不过总体来说，使用ISA限制带宽操作比较复杂，并且正版的ISA价格昂贵不是一般企业能够承受的。针对国内的用户可以购买一些专业的上网行为管理软件，如安企神系统，在限制各种P2P软件方面做的比较好，可以实现较强的控制，如BT、电驴、迅雷、卡盟、qq旋风等等。