網管支招:如何從地址下手封殺內網迅雷下載
帶寬以及網絡速度是最讓企業網絡管理員頭疼的問題了,就目前中小企業來說P2P類軟件是帶寬的殺手,相比各位企業網絡管理員都或多或少領教過BT或電驢等P2P軟件對于網絡帶寬的“霸占”,當然除了這些傳統下載工具外迅雷可以說是集眾多P2P軟件的“大成”,只要內網有人使用迅雷進行下載,那么所有機器的網絡訪問速度馬上降到最慢。今天筆者就此話題和各位探討下如何在企業內部網絡中封殺迅雷,筆者采用的方法是從地址下手進行封殺,在實際使用過程中效果還是不錯的,在這里和各位讀者分享。
一 迅雷瘋狂下載之謎:
迅雷之所以瘋狂在于他將BT,電驢,HTTP,FTP等多種下載集于一身,現在他已經是名符其實的下載工具第一名了。他是是基于P2SP的一款下載軟件,能夠最大想度的增強下載速度。
和傳統的P2P軟件不同的是P2SP在資源搜集上更加靈活也更加強大,如果多個服務器上有某個相同的文件,當某個用戶下載其中一個服務器上的這一文件時,迅雷會自動查找到另外的幾個服務器,同時下載這一文件的不同部分,達到提速的目的。也就是說當你用迅雷下載一個文件的時候,迅雷不是直接去連接下載服務器而是先連接它的資源服務器,在資源服務器中搜索你需要的這個文件,然后開始同時下載。(如圖1)
二 從地址下手封殺內網迅雷下載:
由于迅雷工作的特殊性造成我們無法利用傳統的封殺端口等辦法來限制其下載速度。就個人經驗來說我們可以通過封殺資源服務器的辦法來限制其傳輸速度,將資源服務器的連接阻止后迅雷的連接種子數就只有一個了,從而大大降低了他的下載速度。正如上文所說迅雷有很多資源服務器,下載時也是通過連接資源服務器達到尋找眾多種子的目的,所以我們可以從這個資源服務器地址下手,將其地址添加到路由器的訪問控制列表ACL規則中。
正巧筆者搜集到了一個詳盡的迅雷資源服務器地址文檔,具體文檔見附件——迅雷資源服務器ip.txt,我們可以針對此文檔中的地址進行封殺。
第一步:將文檔中的地址添加到本地防火墻或者外網路由器出口ACL訪問控制列表中。目的IP地址填寫文檔中的即可,匹配動作設置為“丟棄”,協議選擇TCP+UDP,這樣封鎖效果會更好。(如圖2)
小提示:
一般來說訪問控制列表ACL支持網段過濾,我們可以查看資源服務器地址段,然后針對整個網段進行過濾封殺。
第二步:除了通過防火墻進行過濾外我們還可以在路由器上通過設置路由表中的靜態路由來丟棄相關數據包,將目的網段填寫到目的LAN IP處,然后網關指向一個不存在的地址即可,這樣當有符合該目的IP地址的數據通過路由器時將自動發送到這個不存在的地址,從而實現丟棄的目的。(如圖3)
第三步:將所有的迅雷資源服務器地址添加到過濾規則中后我們再在內網使用迅雷下載時就會發現速度的明顯降低,之前能夠達到1M/s的高速傳輸在封殺資源服務器IP地址后只能夠達到24KB/S了。(如圖4)
不過需要提醒各位讀者的是迅雷自身的資源服務器地址總是在變化,所以我們也要記得及時從網上下載最新的“迅雷資源服務器ip.txt”,要知道一旦有所遺漏我們的封鎖效果就不好了。
迅雷可以說是企業內網帶寬的“牛皮癬”,他是非常頑固不化的,我們需要采用多種方法結合的策略才能夠從根本上降低其下載速度,讓企業帶寬可以為正常業務應用服務,讓員工也可以更塌實的投入到工作中。
#p#三 其他幾個封鎖迅雷的小技巧:
當然除了針對資源服務器IP地址進行封鎖外我們還可以通過以下幾個辦法來降低迅雷軟件的下載速度。
(1)DNS過濾法:
經過筆者分析發現迅雷下載時都會首先通過DNS來查詢sandai.net這個域名下的子域名,所以我們可以通過DNS過濾將sandai.net整個泛域名過濾掉,這樣迅雷下載時將會出現域名解析失敗,從而無法連接到它的資源服務器。具體操作就是訪問企業網絡出口路由器,然后找到“訪問限制”標簽,在“通過URL地址封鎖WEB站點”處填入sandai.net地址信息即可,之后保存設置從而阻止客戶端針對sandai.net這個迅雷資源服務器域名的解析。(如圖5)
(2)端口過濾法:
雖然端口過濾不能徹底封殺迅雷但是還是可以有效降低其下載速度的,一般來說迅雷用到3076、5200、6200端口來通迅,3076被封將找不到更多資源,5200端口被封將無法進行雷區注冊,6200端口被封會隔一段時間就會從迅雷服務器掉線,需要重新登陸。所以說我們只需要針對這三個端口進行封殺即可,具體操作可以在防火墻上完成也可以直接寫入過濾規則到路由器中。
【編輯推薦】
