使用ISA Server 2004限制BT下载

BT下载作为当前一种流行的下载方式，受到很多人的喜欢。但是在 企业网络环境中，BT下载却经常让网络管理员头痛。下面我谈谈如何通过ISA Server 2004来限制BT。

首要原则：请在ISA Server上只开放需要的服务，这样可以禁止内部网络客户直接使用BT下载，但不能禁止它通过外网代理进行BT下载。

限制的方法有几种，下面我给大家一一讲解：

1、限制种子文件的下载

这大概是大家最先能想到的。方法也比较简单，在设置好的策略中的HTTP中限制一下即可，如下图所示：

当然这种方法只要下载者有一点计算机常识就知道，改个扩展名就可以继续下载。不过做为最简单的一种方法，我还是在这里提出来了。另外提醒一句，如果某网站提供下载Torrent文件的端口不是标准的80端口，此方法也会失效，除非你在这个端口上加载Web代理过滤器。

　

2、限制浏览BT网站

也许你会说，BT网站那么多，怎么限制的过来？其实可以考虑一下BT下载的特点：下载的人数越多，速度越快；Seed越多，速度越快。只有比较热门BT网站的Torrent文件下载的人才会比较多，一般的BT网站去的人就比较少，下载的人数也少，除非他能忍受每秒几K的速度。

那么我们所要做的是找出比较热门的BT网站，然后禁止对它们的访问即可。

下面是我查找的一些热门BT网站的URL，大家可以补充

BT@China联盟镜像

[url]http://bt.btchina.net/[/url]

[url]http://bt2.btchina.net/[/url]

[url]http://bt1.btchina.net/[/url]

[url]http://bt3.btchina.net/[/url]

　

IT论坛BT发布页

[url]http://bt.itbbs.net/bt/[/url]

　

满分bt发布区
[url]http://www.manfen.net/forum/btsubsystem.php[/url]

tlf发布页
[url]http://bt1.eastgame.net/index.php[/url]

[url]http://bt2.eastgame.net/index.php[/url]

[url]http://bt3.eastgame.net/index.php[/url]

[url]http://www.eastgame.net/[/url] （论坛形式）

　

gamesir发布页

[url]http://bt.gamesir.com/[/url]

E游网bt发布区

[url]http://www.egame365.com/bt/[/url]

雷傲论坛bt下载区

[url]http://bbs.leoboard.com/cgi-bin/forums.cgi?forum=73[/url]

蚂蚁论坛bt下载区

[url]http://www.antcn.com/bbs/index.php[/url]

星空动漫下载区

[url]http://xkcomic.net/index.php[/url]

三夫之家下载区

[url]http://teky.8866.org/bbs/index.asp[/url]

影视前线发布索引页

[url]http://61.133.84.149/bt/index.asp[/url]

贪婪大陆

[url]http://bt.greedland.net/index.php[/url]

[url]http://bt1.greedland.net/index.php[/url]

伊美姬BT下载

[url]http://www.p_w_picpathgarden.net/bt/[/url]

伊甸园论坛BT下载区

[url]http://bt.ydy.com/[/url]

极影BT发布索引

[url]http://bt.ktxp.com/[/url]

影音休闲中心

[url]http://bt.zingking.com/[/url]

5Q 教育网BT

[url]http://bt.5qzone.net[/url]

[url]http://bt2.5qzone.net/[/url]

[url]http://bt3.5qzone.net/[/url]

[url]http://bt4.5qzone.net/[/url]

[url]http://bt5.5qzone.net/[/url]

[url]http://bt.neupioneer.com/[/url]

bt守望者

[url]http://www.bitower.com/[/url]

影视帝国论坛

[url]http://bbs.cnxp.com/[/url]

BT之家

[url]http://bbs.btbbt.com/[/url]

简约论坛

[url]http://www.bt800.com/bbs/[/url]

丽影论坛

[url]http://www.cn5566.com/[/url]

[url]http://bt3.cn5566.com/[/url]

春秋影视论坛

[url]http://www.cqbbs.net/[/url]

百看娱乐网

[url]http://www.100kan.com[/url]

几个bt搜索引擎

[url]http://www.52bt.net/[/url]

[url]http://www.hjbt.net/sort/[/url]

对限制以上网站（或域名）的访问，对Torrent文件的下载可以起到一定的限制作用。

3、禁止访问Tracker服务器

Tracker是指运行于服务器上的一个程序，这个程序能够追踪到底有多少人同时在下载同一个文件。客户端连上Tracker服务器，就会获得一个下载人员 的名单，根据这个，BT会自动连上别人的机器进行下载。一般对tracker服务器的访问以http的形式进行。

知道了这个原理，我们可以从限制对Tracker服务器的访问来限制bt。

下面我以SNAT方式（为了试验需要，开放所有出站协议）进行一次简单试验，所用BT客户端软件为BitSpirit。

下图是正常下载时的一张图片

从中看出，这个Tracker服务器的为btfans.3322.org:8000

我在ISA上新建一个计算机集，加入此Tracker服务器，并设置一条访问规则，禁止内网对其的访问。

此时再下载时，将发现无法连接Tracker服务器的错误了。

注意：这里我没有使用域名集的原因是在试验过程中，我发现BT客户端在连Tracker服务器时直接使用IP地址。

实际上，由于获得Tracker服务器的地址费劲，实用性不是很强。提出这种方法是让大家有一个新的思路。当然，Tracker服务器的数量应该远少于热门BT网站的数量，很多网站都是转的其他网站的Torrent，如果可以找出这些Tracker服务器的地址，这也不失为一种有效方法。

　

4、过滤HTTP签名

ISA2004一个新特征就是可以对应用层协议进行过滤，对HTTP的过滤显得尤为有效。

下面我通过一个试验来分析一下BT客户端软件在使用外网HTTP代理时的一些特性。使用的方式仍然为SNAT（开放HTTP、HTTPS、DNS协议），BT客户端软件为BitSpirit。

首先，我在BitSprint中设置外网的http代理，如下图

此时，BT可以正常下载

　

同时在客户机上抓包进行分析，如下图

我们对访问策略的http进行签名过滤

此时BT下载显示为：

显示的错误有点奇怪，是HTTP 500错误，抓包看一下

好像不是被签名过滤了，是内部服务器错误，一直没弄明白是为什么，呵呵，不过达到效果了^_^

5、客户端使用Socks2Http

这几乎是最恶毒的方法了，使用的人还不在少数。由于时间问题，我只以最常用的Socks2Http为例，简单说明一下这种方法。

实验环境还是客户端为SNAT方式，ISA开放HTTP、DNS出站协议。安装并设置Socks2http软件，如下图所示：

用netstat –an查看查看本机1080端口是否打开。

用QQ测试一下Socks登录是否成功。

　

测试成功，并且QQ可以登录。

同样在BitSpirit中设置代理，

测试不成功（但这个测试不一定准确，因为我在使用HTTP代理时测试也不成功，但照样能下载），不管它，点击确定，然后下载。出现下图

来此软件不支持BitSpirit。我又更换了BitComet做测试，还是不成功。

由于没有时间继续测试其他Socks2Http软件，无法知晓结果。但是可以肯定，如果BitSpirit可以使用此方法，则数据包一定会有它的特征。这个留给大家自己测试了。

6、其他

限制（不是禁止）BT的方法还有很多，论坛里面也谈起过，如限制并发数，限制连接数目等等，具体的设置可以根据你的实际情况制定了。对于局域网内使用二级代理然后进行BT下载的情况，ISA也可以使用限制连接数进行一定的控制。

另外，如果你公司是域环境，其中有Windows2003作为域控制器，组策略在上面实施，且客户机的OS为XP或者2003，那么可以利用Windows2003中新的软件限制组策略对BT客户端的使用加以限制。这些已经超过了今天我要讨论的范围，有兴趣的朋友自己查看微软相关的文章。