Làm sao để chặn được lưu lượng mạng peer2peer như emule và bit torrent

[tanthanh2285]

Hi all,

Mình đang tìm cách chặn emule và bit torrent. Nhưng không biết nên chặn port nguồn và port đích như thế nào.

Mọi người có cách nào chỉ mình với.

tanthanh2285

[dangquangminh]

bạn tìm đọc về NBAR đi.

Phân loại dùng NBAR

Đối với các gói tin khó phân loại, kỹ thuật nhận dạng ứng dụng lớp mạng NBAR có thể được dùng. Ví dụ, một vài ứng dụng dùng các port động, vì vậy một câu lệnh cấu hình match đơn thuần so sánh một cổng UDP hay TCP sẽ không có khả năng phân loại được lưu lượng. NBAR sẽ xem các UDP và TCP header, xem tên máy, URL hoặc các kiểu yêu cầu HTTP request. Kiểu kiểm tra này còn được gọi là kiểm tra sâu bên trong gói tin (deep packet inspection).

NBAR cũng có thể xem các header TCP và UDP để nhận ra các thông tin liên quan đến ứng dụng. Ví dụ, NBAR cho phép nhận ra các ứng dụng Citrix và cho phép tìm kiếm một phần của chuỗi URL. NBAR cũng có thể được dùng để đếm các loại lưu lượng và tải của từng loại. Đối với QoS, NBAR có thể được dùng bởi CB Marking để lựa ra những loại gói tin phức tạp. Bất cứ khi nào câu lệnh MQC match protocol được dùng, IOS sẽ dùng NBAR để lựa ra gói tin. Bảng dưới đây liệt kê vài lệnh phổ biến và NBAR.

Ví dụ: Các lưu lượng RTP Audio và video: RTP dùng các port chẵn từ 16,384 đến 32,768. Các cổng lẻ được dùng bởi RCTP để kiểm soát cuộc gọi. NBAR có thể lựa ra những cổng chẳn để tách dữ liệu voice ra khỏi các dữ liệu điều khiển cuộc gọi.
Các ứng dụng Citrix: NBAR có thể phân loại các ứng dụng Citrix khác nhau
Tên máy, URL và MIME: NBAR cũng có thể lựa ra các URL, bao gồm tên máy, MIME type. Thường dùng thêm biểu thức chính qui
Các ứng dụng chia sẽ file ngang hàng NBAR có thể tìm các ứng dụng như Kazaa, Morpheus, Grokster, Gnutella.

Dưới đây là một ví dụ cấu hình NBAR, và các IOS version hỗ trợ cơ chế nhận dạng lưu lượng này.

NBAR Network-Based Application Recognition

CB marking có thể dùng khả năng phân loại mạnh của NBAR thông qua lệnh match protocol. Dưới đây là một cấu hình cho đánh dấu và NBAR trong đó có các yêu cầu sau được thoả mãn:
- Bất kỳ một web traffic nào có URL chứa chuỗi “important” sẽ được gán giá trị AF21.
- Bất kỳ web traffic nào có URL chứa chuỗi “not-so” sẽ được gán giá trị DSCP mặc định.
- Tất cả những traffic còn lại được gán giá trị AF11.
Ip cef
Class-map http-impo
Match protocol http url “*important*”
!
Class-map http-not
Match protocol http url “*not-so*”
!
Policy-map http
Class http-impo
Set dscp AF21
!
class http-not
set dscp default
!
class class-default
set dscp AF11
!
interface FastEthernet0/0
ip nbar protocol-discovery
service-policy input http
!Bắt đầu từ IOS 12.2T/12.3, lệnh ip nbar protocol-discovery là cần thiết trên một cổng trước khi dùng lệnh service-policy. Với phiên bản 12.2T/12.3 T Train, lệnh này không còn cần thiết. Việc sử dụng lệnh match protocol ngầm định rằng NBAR sẽ được dùng để tìm ra gói tin.

Không giống như các đặc điểm IOS khác, bạn có thể nâng cấp NBAR mà không dùng phiên bản IOS mới. Cisco dùng một đặc tính gọi là các module ngôn ngữ mô tả gói tin Packet Description Language Modules (PDLMs) để định nghĩa những giao thức mới mà NBAR phải so sánh. Khi Cisco quyết định thêm vào một hoặc nhiều giao thức vào danh sách những giao thức mà NBAR phải nhận diện, nó sẽ tạo và biên dịch một PDLM. bạn có thể download các phiên bản PDLM từ Cisco, chép nó vào flash và thêm vào dòng ip nbar pdlm pdlm-name trong cấu hình, trong đó pdlm là tên của file pdlm nằm trong bộ nhớ flash của router. NBAR sau đó có khả năng phân loại dựa trên thông tin từ PDLM mới.

[tanthanh2285]

Em xin cảm ơn anh Minh đã giúp đỡ. Em sẽ tiếp tục tìm hiểu.

Thân,

tanthanh2285

[leobk]

hi`, chào bạn tanthanh, thực ra để cản được các giao thức dạng P2P hay bất kỳ giao thức nào thì cần phải có thiết bị hiểu được giao thức, cấu trúc của gói tin,đặc tính của ứng dụng p2p đó để phát hiện và xử lý nó theo yêu cầu của mình. bạn có thể vào Link dưới đây để tham khảo thêm.
http://www.cisco.com/en/US/partner/p...8023500d.shtml