防控BT的“七种武器”

BT全名为Bit Torrent，是一个P2P软件。与传统FTP、HTTP等下载方式不同， BT采用的是一种类似传销的方式来达到共享，在下载的同时，也在为其他用户提供上传，所以不会随着用户数的增加而降低下载速度，使用非常方便。其特点简单说就是：下载的人越多，速度越快。

常用的BT软件有BitTorrent、PTC、Shareaza、BitTorrent++等。

这些BT下载软件以其独特的优势受到广大用户的喜爱。不过，麻烦也随之而来：如果多个用户同时使用BT进行下载，会占用大量网络带宽，严重影响其他用户的正常工作。在一些企业的局域网、学校的校园网、运营商的城域网中，都已经出现了BT滥用网络资源的情况，影响到其他正常业务的开展。因此，在一些环境下完全有必要严格限制用户的BT下载流量或完全禁止BT下载。

由于BT影响的主要是网络出口带宽，目前通常是由安全网关设备来对BT进行控制。下面就以港湾网络天清汉马多功能安全网关（AIO-Hammer）产品来说明控制BT的“七种武器”。

第一种：限制浏览BT网站

BT网站很多，但只有比较热门BT网站光顾的人才会比较多。 因此针对比较热门的BT网站，在天清汉马多功能安全网关上配置URL过滤规则，之后，在出接口上启用过滤Http_Filter功能，禁止对它们的访问即可。

第二种：禁止访问Tracker服务器

Tracker是指运行于服务器上的一个程序，这个程序能够追踪到底有多少人在同时下载同一个文件。客户端连上Tracker服务器，就会获得一个下载人员 的名单，据此BT会自动连上别人的机器进行下载。一般对tracker服务器的访问以HTTP的形式进行。

在港湾网络天清汉马多功能安全网关的图形管理Syslog（日志）中，可以查询到关于HTTP信息的所有记录。如果有BT下载，在日志中便可发现相应的HTTP报文，根据报文内容可以得到Tracker服务器信息，然后可以在设备中配置规则，禁止内部用户访问该服务器。

Tracker服务器的数量应该远少于热门BT网站的数量，很多网站都是转其他网站的Torrent，如果可以找出这些Tracker服务器的地址，这是一种非常有效方法。天清汉马多功能安全网关有图形化管理界面，有详细的日志记录功能，根据查询日志可以很容易找到Tracker服务器。

第三种：封闭BT下载端口

解决BT对局域网的危害，最彻底的方法是不允许用户进行BT下载。BT一般使用TCP的6881～6889的端口，可以在天清汉马多功能安全网关中把一些特定的种子发布站点和端口封掉，在BT下载软件中的Track中可以获得这些信息；但是现在大多数BT软件可以修改端口号，因此网管可以根据实际情况，在不影响正常业务的情况下尽可能将封闭的端口范围扩大，把一些特定的种子发布站点和端口进行封闭。

第四种：限制用户带宽

BT之所以会危害到局域网，是因为它占用了大量网络带宽。因此，限制每个用户使用的网络带宽，可以明显缓解BT对网络的危害；同时对于一些运营性网络，完全禁止BT使用是不合理的，限制每个BT的使用带宽就成为一个比较好的选择。港湾网络天清汉马多功能安全网关可以针对应用流进行较细粒度的速率限制，例如将BT用户下载的优先级限制为5（0最高，7最低），带宽限制为64 kbps。这样可以确保BT软件使用的同时不会影响其他业务的开展。

第五种：限制最大连接数

在使用BT软件时，下载者会周期性地向tracker登记，使得tracker能了解它们的进度，下载者之间通过直接连接进行数据的上传和下载，这种连接使用的是BitTorrent对等协议，它基于TCP。因此可通过港湾网络天清汉马多功能安全网关的特性IP-Inspect，来限制TCP最大连接数，从而达到控制BT对网络带宽的占用。采用天清汉马的IP Inspect 特性还可以限制最大流数，同样起到控制BT对网络带宽占用的目的。

第六种：使用HTTP代理对应用层协议进行过滤

当BT客户端下载时，必须进行Tracker查询，Tracker通过HTTP的GET命令的参数来接收信息，而响应给对方（下载者）的是Bencoded编码的消息。在HTTP请求报文中，携带了BT的特征值 User-Agent：BitTorrent。

港湾网络天清汉马多功能安全网关能够有效地过滤特定的应用层数据包（如HTTP数据包），然后根据BT数据包中的关键字（BitTorrent），就完全可以从HTTP数据包中过滤BT数据包。天清汉马中的Http-过滤功能（Http-Filter）可以对BT的关键字进行过滤，只需在HTTP过滤模板中配置过滤规则，然后在接口启用即可有效阻截BT下载。

第七种：阻断BT流

现在还有一些BT软件不通过HTTP来获取Peers列表，而是采用TCP/UDP协议，但其BT流中还是包含“BitTorrent”特征码。港湾的天清汉马多功能安全网关能够针对BT流中包含的“BitTorrent”特征码进行识别，并根据识别结果对BT流进行阻断或限制带宽。

目前，港湾网络的天清汉马多功能安全网关能够提供多种有效方法阻截BT下载。尤其是在启用HTTP过滤和BT流阻断功能后，对可以变换端口的BT软件能够进行有效过滤。天清汉马多功能安全网关已经成为业界对BT防范最彻底的网络安全设备。

防控DDoS攻击三步曲

DoS（Denial of Service）攻击是一种很简单但又很有效的进攻方式，能够利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。DDoS(Distributed Denial of Service)是一种基于DoS的特殊形式的拒绝服务攻击，攻击者通过事先控制大批傀儡机，来同时发起对目标的DoS攻击，具有较大的破坏性。

常见的DoS/DDoS攻击可以分为两大类：一类是针对系统漏洞的的攻击如Ping of Death、TearDrop等。例如泪滴（TearDrop）攻击利用在 TCP/IP协议栈实现中信任IP碎片中的包的标题头所包含的信息来实现攻击，IP分段含有指示该分段所包含的是原包的哪一段信息，某些 TCP/IP协议栈（例如NT 在service pack 4 以前）在收到含有重叠偏移的伪造分段时将崩溃。

另一类是带宽占用型攻击，比较典型的如UDP flood 、SYN flood、ICMP flood等。SYN Flood具有典型意义，利用TCP协议建连的特点完成攻击。通常一次TCP连接的建立包括3个步骤，客户端发送SYN包给服务器端；服务器分配一定的资源给这里连接并返回 SYN/ACK包，并等待连接建立的最后的ACK包；最后客户端发送ACK报文。这样将两者之间的连接建立起来，并可以通过连接传送资料了。而SYN Flood攻击的过程就是疯狂发送SYN报文，而不返回ACK报文，服务器占用过多资源，而导致系统资源占用过多，没有能力响应别的操作，或者不能响应正常的网络请求。

从现在和未来看，防火墙都是抵御DoS/DDoS攻击的重要组成部分，这是由防火墙在网络拓扑的位置和扮演的角色决定的，下面以港湾网络有限公司基于NP架构开发的SmartHammer系列防火墙说明其在各种网络环境中对DoS/DDoS攻击的有效防范。

基于状态的资源控制，保护防火墙资源

港湾网络SmartHammer防火墙支持IP Inspect功能，防火墙会对进入防火墙的资料做严格的检查，各种针对系统漏洞的攻击包如Ping of Death、TearDrop等会自动被系统过滤掉，从而保护了网络免受来自于外部的漏洞攻击。     

对防火墙产品来说，资源是十分宝贵的。当受到外来的DDoS攻击时，系统内部的资源全都被攻击流所占用，此时正常的资料报文肯定会受到影响。SmartHammer基于状态的资源控制会自动监视网络内所有的连接状态，当有连接长时间未得到应答就会处于半连接的状态，浪费系统资源，当系统内的半连接超过正常的范围时，就有可能是遭受到了攻击。SmartHammer防火墙基于状态的资源控制能有效控制此类情况。

具体措施如下：控制连接、与半连的超时时间,必要时，可以缩短半连接的超时时间，加速半连接的老化；限制系统各个协议的最大连接值，保证协议的连接总数不超过系统限制，在达到连接上限后删除新建的连接；限制系统符合条件源/目的主机连接数量；针对源或目的IP地址做流限制，Inspect可以限制每个IP地址的的资源，用户在资源控制的范围内时，使用并不会受到任何影响，但当用户感染蠕虫病毒或发送攻击报文等情况时，针对流的资源控制可以限制每个IP地址发送的连接数目，超过限制的连接将被丢弃，这种做法可以有效抑制病毒产生攻击的效果，避免其它正常使用的用户受到影响;单位时间内如果穿过防火墙的“同类”数据流超过门限值后，可以设定对该种类的数据流进行阻断，对于防止IP、ICMP、UDP等非连接的flood攻击具有很好的防御效果。

智能TCP代理有效防范SYN Flood

SYN Flood是DDoS攻击中危害性最强、也是最难防范的一种。这种攻击利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）。SmartHammer系列防火墙能够利用智能TCP代理技术，判断连接合法性，保护网络资源，如图所示。

防火墙工作时，并不会立即开启TCP代理（以免影响速度）。只有当网络中的TCP半连接达到系统设置的TCP代理启动警戒线时，正常TCP Intercept才会自动启动；并且当系统的TCP半连接超过系统TCP Intercept高警戒线时，系统进入入侵模式，此时新连接会覆盖旧的TCP连接，此后，系统全连接数增多，半连接数减小；当半连接数降到入侵模式低警戒线时，系统推出入侵模式；如果此时攻击停止，系统半连接数量逐渐降到TCP代理启动警戒线以下，智能TCP代理模块停止工作。由此可见，通过智能TCP代理可以有效防止SYN Flood攻击，保证网络资源安全。

利用Netflow对DoS攻击和病毒监测

网络监控在抵御DDoS攻击中有重要的意义。SmartHammer防火墙支持NetFlow功能，它将网络交换中的资料包识别为流的方式加以记录，并封装为UDP资料包发送到分析器上，这样就为网络管理、流量分析和监控、入侵检测等提供了丰富的资料来源；可以在不影响转发性能的同时记录、发送NetFlow信息，并能够利用港湾网络安全管理平台对接收到的资料进行分析、处理。

利用NetFlow监视网络流量。防火墙可以有效抵御DDoS攻击。但当攻击流数量超过一定程度，已经完全占据了带宽时，虽然防火墙已经通过安全策略把攻击数据包丢弃，但由于攻击数据包已经占据了所有的网络带宽，正常的用户访问依然无法完成。此时网络的流量是很大的，SmartHammer防火墙可以利用内置的NetFlow统计分析功能，查找攻击流的数据源，并上报上级ISP，对数据流分流或导入黑洞路由。通过在防火墙相关接口下开启NetFlow采集功能，并设置Netflow输出服务器地址，就可以利用港湾安全管理平台对接收的资料进行分析处理。

我们可以用此方法统计出每天流量的Top Ten或者业务的Top Ten等。以此作为标准，当发现网络流量异常的时候，就可以利用NetFlow有效地查找、定位DDoS攻击的来源。

利用NetFlow监视蠕虫病毒。防止蠕虫病毒的攻击，重要的是防止蠕虫病毒的扩散，只有尽早发现，才可以迅速采取措施有效阻止病毒。各种蠕虫病毒在感染了系统后，为了传播自身，会主动向外发送特定的数据包并扫描相关端口。利用这个特性，港湾网络在安全管理平台上建立相关的蠕虫病毒查询模板，定期查询，当发现了匹配的资料时，可以分析该地址是否已经感染病毒，然后采取相应的措施。

需要指出的是，防火墙在网络拓扑中的位置对抵御攻击也有很大影响。通常盒式防火墙被设计放置在网络的出口，这种情况下，虽然防火墙能够抵御从外部产生的攻击，但一旦网络内部的PC通过浏览网页、收发Email、下载等方式感染蠕虫病毒或有人从内部发起恶意攻击时，防火墙是没有防护能力的。

港湾网络的SmartHammer ESP-FW防火墙模块可以解决此类问题。ESP-FW是港湾网络BigHammer6800系列交换机的一个安全模块，它继承了SmartHammer盒式防火墙的相关安全特性内置于交换机中，有效抵御来自内部网络的攻击。在插入防火墙模块后，交换机可以选择将相关VLAN加入防火墙中，受防火墙保护。以VLAN做为保护对象的另一大优点是利于网络扩展，当有一个新增部门出现时，我们不需要再增加投资就可以使新增部门得到保护，网络部署异常灵活。这样当内部网络中出现异常数据流时，防火墙可以有效限制该数据的转发，保护其他VLAN不受影响。