限制bt等P2P软件的方法！

bt全名为Bit Torrent，是一个P2P软件，与传统FTP、HTTP等下载方式不同，使用bt的人数越多，速度越快。传统的FTP、HTTP、PUB是把文件由服务器端传送到客户端，这样会出现一些问题：用户数量的增多要求高带宽和服务器的高性能，也会影响到服务器的稳定性，因此很多服务器都会有用户人数的限制、下载速度的限制，这样就给用户造成了诸多的不便。而bt从根本上解决了这个问题，bt采用的是一种类似传销的方式来达到共享，在下载的同时，也在为其他用户提供上传，所以不会随着用户数的增加而降低下载速度。使用非常方便，其特点简单地说就是：下载的人越多，速度越快。常用的bt软件有BitTorrent、PTC、Shareaza、BitTorrent++、电驴等。

    如果多个用户同时使用bt进行下载，会占用大量 网络 带宽，严重影响其他用户的正常工作。在政务网中，都已经出现了bt滥用网络资源的情况，影响到政务网正常办公及相关业务的开展。因此，在一些环境下完全有必要严格限制用户的bt下载流量或完全禁止bt下载。总的来说，有以下几种较直接的方法可用。

    1.限制bt下载带宽（需要相关硬件产品支持，一般是比较专业的流量控管硬件产品）

    BT之所以会危害到局域网，是因为它占用了大量网络带宽。因此，限制每个用户使用的网络带宽，可以明显缓解BT对网络的危害；同时对于一些运营性网络，完全禁止BT使用是不合理的，限制每个BT的使用带宽就成为一个比较好的选择。网络 管理 员可以通过一些管理软件或者网络硬件配置，针对应用流进行较细粒度的速率限制，例如将BT用户下载的优先级限制为5（0较高，7较低），带宽限制为64Kbps.这样可以确保BT软件使用的同时不会影响其他业务的开展。

    比如先前的mcafee的ips可以对bt进行封锁（不完全，基于软件）， packeteer9500也可以对各种七层应用进行流量限制，优先保障http（不完全，基于bt软件）。华为的eudemon防火墙支持限bt，产品说明书说是基于p2p协议。华为的NE20路由器支持限制bt.当然，还有一些其他的硬件产品，具体查看相关厂商产品手册。

    2.cisco：NBAR （Network-Based Application Recognition）网络应用识别

    NBAR是一种动态能在四到七层寻找协议的技术，它不但能做到普通ACL能做到那样控制静态的TCP UDP的报，也能做到控制一般ACLs不能做到动态的端口的那些协议（如BT）之类。An external Packet Description Language Module （PDLM）的文件用来扩展NBAR识别的协议。具体步骤为：

    （1）在 Cisco 网站上下载一个叫：bittorrent.pdlm的文件（2）上传到路由器上（可以通过TFTP，FTP etc等方法）

    （3）定义bt这种协议ip nbar pdlm bittorrent.pdlm（4）定义Class-map和policy－map class-map mathc-all bittorent match protocol bittorrent policy-map bittorrent-policy class bittorrent drop（5）应用到接口上interface fastethernet 0/0 service-policy input bittorrent-policy service-policy output bittorrent-policy

    PDLM是Packet Description Language Module的缩写，PDLM是为了扩展NBAR对网络协议和应用的识别能力而设置的通过一些预订好的PDLM模块，Cisco路由器就能够识别出相应的协议和应用而不需升级IOS.如何获得更多的PDLM的下载？http://www.cisco.com/cgi-bin/tablebuild.pl/pdlm**需要CCO帐号。这个也需要cisco路由器ios及相关模块支持才行。

   3.封bt网站封bt端口（较常见的也比较可行但不彻底）

    bt网站很多，但考虑到bt下载的特点：下载的人数越多，速度越快；Seed越多，速度越快。只有比较热门bt网站的Torrent文件下载的人才会比较多，一般的bt网站去的人就比较少，下载的人数也少，除非他能忍受每秒几K的速度。 因此针对比较热门的bt网站，在 安全 网关上配置URL过滤规则，之后，在出接口上启用过滤Http_Filter功能，禁止对它们的访问即可。

    需屏蔽IP列表（需要不断更新）

    www.btbbt.com 222.170.97.163
    bbs.btbbt.com 61.152.145.79
    bt.btchina.net 222.208.183.15
    bt1.btchina.net 219.157.11.83
    bt2.btchina.net 211.161.159.90
    bt3.btchina.net 61.129.102.15
    www.greedland.net 61.172.193.4
    share.greedland.net 218.83.153.1~10
    bt.ydy.com 202.103.9.83
    www.167bt.com 61.152.91.91
    bbs.fkee.com 218.5.76.219
    bbs.btpig.com 219.145.107.56
    bbs.mumayi.net 218.75.68.242    
    www.btmyth.com 221.233.19.231
    www.3ry.cn 61.172.244.131
    bbs.17yy.com 219.153.15.150
    www.6feeling.com 218.24.200.130
    www.ourhigh.com 61.152.188.105
    www.17bt.cn 61.138.213.251
    www.verycd.com 61.129.33.167

    需屏蔽网址列表（需要不断更新）

    btchina.net，bt.，。btbbt.com，。greedland.net，ydy.com；167bt.com，。fkee.com，。mumayi.net，btmyth.com；。3ry.cn，。17yy.com，6feeling.com，。ourhigh.com；。17bt.cn ，。verycd.com；解决bt对局域网的危害，较彻底的方法是不允许进行bt下载，bt一般使用TCP的6881～6889的端口， 网络 管理 员可以根据网络流量的变化进行判断，在网关中将特定的种子发布站点和端口封掉，在bt下载软件中的Track中可以获得这些信息；但是现在大多数bt软件可以修改端口号，因此网管可以根据实际情况，在不影响正常业务的情况下尽可能将封闭的端口范围扩大，把一些特定的种子发布站点和端口进行封闭。

    常用bt端口（包括tcp和udp）：1881～1889；4661，4662，4665，4672，4711；6881～6999；77771～7999；8881～8999；16881～16999；18881～18999，有待继续增加。

    4.限制用户总带宽比如现在有的交换机（华为3×××E系列，港湾新系列）支持端口限速，这样可以把用户总的带宽限制，这样也可以达到目的，但对用户的正常应用难以保障。

    5.限制较大连接数

    在使用BT软件时，下载者会周期性地向tracker登记，使得tracker能了解它们的进度，下载者之间通过直接连接进行数据的上传和下载，这种连接使用的是 BitTorrent 对等协议，它基于TCP.因此网络管理员可以针对这些特点，对TCP较大连接数进行控制，从而达到控制BT对网络带宽的占用。

    6 其他如果是小型局域网，有的代理软件支持限制bt，如网络岗、bt终结者等等，另外 微软 的isa也支持限制p2p应用。当然也可以在设备上启用Qos.

    较后，如果你带宽足够大，网络足够好，当然没必要对bt等p2p下载进行限制。另外现在基于bt应用的软件越来越多，bt真是贡献越来越大啦