讓BT流量在網(wǎng)絡(luò)中無處可藏

BT全名為Bit Torrent，是一個P2P軟件，與傳統(tǒng)FTP、HTTP等下載方式不同，使用BT的人數(shù)越多，速度越快。傳統(tǒng)的FTP、HTTP是把文件由服務(wù)器端傳送到客戶端，這樣會出現(xiàn)一些問題：用戶數(shù)量的增多要求高帶寬和服務(wù)器的高性能，也會影響到服務(wù)器的穩(wěn)定性，因此很多服務(wù)器都會有用戶人數(shù)的限制、下載速度的限制，這樣就給用戶造成了諸多的不便。而BT從根本上解決了這個問題，BT采用的是一種類似傳銷的方式來達到共享，在下載的同時，也在為其他用戶提供上傳，所以不會隨著用戶數(shù)的增加而降低下載速度。使用非常方便，其特點簡單地說就是：下載的人越多，速度越快。

如果多個用戶同時使用BT進行下載，會占用大量網(wǎng)絡(luò)帶寬，嚴重影響其他用戶的正常工作。人員苦于沒有方式方法去監(jiān)控管理，造成情況越發(fā)嚴重，妨礙正常業(yè)務(wù)的使用。因此，在一些環(huán)境下完全有必要嚴格限制用戶的BT下載流量或完全禁止BT下載。

為了限制BT的應(yīng)用，必須及時地查找網(wǎng)絡(luò)中使用BT下載者，減少網(wǎng)絡(luò)中的垃圾流量，下面介紹兩種不同類型的方法。

一、基于應(yīng)用端口進行查找

首先，通過交換機SNMP功能，查看每個交換機端口的流量，看哪個端口的利用率比較高，再看端口所連接設(shè)備的情況?？拷?jīng)驗判斷其流量是否合法。要求：所有網(wǎng)絡(luò)設(shè)備為智能設(shè)備，SNMP功能要打開。由于屬于實時查看，又不了解其高流量具體內(nèi)容是什么，判斷結(jié)果也不會準確，只能作為參考定位。常用BT端口（包括tcp和udp）有1881～1889；4661，4662，4665，4672，4711；6881～6999；77771～7999；8881～8999；16881～16999；18881～18999。

然后利用協(xié)議分析儀或軟件接入主干鏈路或廣域網(wǎng)出口，查看端口的應(yīng)用情況，看誰使用此類的應(yīng)用。但是BT的應(yīng)用端口是可以自定義的，如果用戶把應(yīng)用端口修改之后，這個方法就沒有效了。

二、基本BT的協(xié)議行為進行協(xié)議分析

首先，需要在適當?shù)奈恢眠B接具有協(xié)議分析功能的儀表對流量進行監(jiān)聽。通過常要選用合適的接入位置，可以是廣域網(wǎng)路由器的前后端接口接入廣域網(wǎng)分析儀。接入技術(shù)有很多，可以利用TAP（三通）連接器，也可以在網(wǎng)絡(luò)設(shè)備中采用鏡像的方式將數(shù)據(jù)流量提供福祿克的網(wǎng)絡(luò)集成分析儀。

連接完成后，要做出必要的設(shè)置。由于網(wǎng)絡(luò)流量龐大，需要對數(shù)據(jù)進行篩選。通過在協(xié)議分析儀設(shè)置過濾器，捕捉網(wǎng)絡(luò)中TCP信息的包，獲取所有可能使用BT的信息數(shù)據(jù)，TCP是BT握手消息時使用的協(xié)議。接下來進行數(shù)據(jù)捕捉，捕捉完成后，利用協(xié)議分析軟件，做了一個字符串過濾器，在該過濾器中的第19位輸入，“BitTorrent protocol”字符串,對所獲取的數(shù)據(jù)進行過濾。之所以使用這個字符串過濾器，是因為BT協(xié)議的握手消息是數(shù)字19后面跟字符串“BitTorrent protocol”.

通過這個過濾器，就可以捕捉到所有BT的下載者。（具體的BT相關(guān)信息可以參看http://www.bittorrent.com/protocol.html 。BT協(xié)議的開發(fā)說明)

經(jīng)過過濾后，大家看下面的16進制解碼窗口圖片，下面畫紅線的地方分別是BT下載者的IP地址，和他使用的BT（Bittorrent protocol）協(xié)議。

再看詳細解碼窗口，下面畫紅線的地方分別是BT下載者網(wǎng)卡MAC地址和IP地址。

你已經(jīng)有了使用BT下載的IP地址和MAC地址了，管理網(wǎng)絡(luò)人員很快就可以找到BT下載者了！