局域网内全面禁用BT方法

1针对通过一台服务器上网 
BT下载以其独特的优势受到广大用户的喜爱,它在下载的同时还为其他用户提供上传,因此下载的人越多,它的速度越快。不过,麻烦也随之而来,如果多个用户同时使用BT进行下载,会占用大量网络带宽,严重影响其他用户的正常工作。因此,我们可以严格限制用户的BT下载流量或完全禁止BT下载。

  限制带宽

  BT之所以会危害到局域网,是因为它占用了大量网络带宽。因此,限制每个用户使用的网络带宽,可以明显缓解BT对网络的危害。笔者以大家常用的代理软件CCProxy为例,对用户带宽进行限制。

  在服务器端的CCProxy主窗口中,点击“账号”按钮,弹出账号管理对话框,在属性栏的“允许范围”中选择“允许部分”,接着点击“新建”按钮,弹出账号对话框。接下来,限制IP地址为“192.168.0.12”的客户机的带宽。

  在“IP地址/IP段”中输入该IP地址,然后设置“最大连接数”,默认为“-1”,就是不进行任何限制,在此输入“5”,这样客户机只能和代理服务建立5个连接,也就可以限制BT下载时使用的线程数。接着在“带宽(字节/秒)”栏中为客户设置最大的网络带宽,如限制为100KB/s,则可输入“102400”,最后点击“确定”按钮。这样该客户机只能使用100KB/s的带宽,而且它和代理服务器最多只能建立5个连接。其它客户机的限制方法与此相同,不再赘述。
  
彻底封闭BT下载

  解决BT对局域网的危害,最彻底的方法是不允许进行BT下载,BT一般使用TCP的6881~6889的端口。由于个人网络防火墙只能封闭本机的BT端口,对局域网用户无效,笔者就采用ISA2004封闭BT端口。

  在ISA控制台窗口中,右键点击“防火墙策略”,选择“新建→访问规则”,弹出访问规则向导对话框,在“访问规则名称”栏中输入“禁用BT”,点击“下一步”按钮后,选择“拒绝”选项,接着在“协议”对话框中选择“所选的协议”。

  点击“添加”按钮,在“添加协议”对话框中点击“新建→协议”,弹出协议定义向导对话框,在名称栏中输入“BT”,点击“下一步”按钮,进入“首要连接信息”对话框。点击“新建”,弹出“新建/编辑协议连接”对话框,在“协议类型”中选择“TCP”,选择方向为“入站”,端口范围为“从6881到6889”,然后点击“确定”按钮,接下来一路点击“下一步”按钮,即可完成BT协议的定义。
  接着在添加协议对话框中展开“用户定义”,并添加BT协议,点击“下一步”按钮后,指定访问规则源。点击“添加”按钮,弹出“添加网络实体”对话框,展开网络目录,选择“内部”。点击“添加”按钮,接着点击“下一步”按钮,设置访问规则目标,在网络实体对话框中展开网络目录,添加“外部”,然后进入“用户集”对话框,选择“所有用户”并点击“完成”按钮。

  最后在防火墙策略窗口中选中这一规则,并点击上方的“应用”按钮.这样局域网内的用户就不能进行BT下载了。但该方法也有不足之处,如果BT软件使用的不是6881~6889的端口,该规则就会失效。由于BT端口是可改变的,所以一旦BT下载端口发生改变,你就得立即查到新的端口,并将它封掉。
----------------------------------------------------------------------------------------------------------
2.:针对WAN->路由->交换机->pc上网的
因为上网不是通过一台服务器而实现,所以不能用上面的方法,所以我们要
1.确定数据流量过大的机器.
  我使用的是的Sniffer 4.70汉化版,具体使用方法:
  一、Sniffer软件的安装   

  在网上下载Sniffer软件后,直接运行安装程序,系统会提示输入个人信息和软件注册码,安装结束后,重新启动,之后再安装Sniffer汉化补丁。运行Sniffer程序后,系统会自动搜索机器中的网络适配器,点击确定进入Sniffer主界面。   

  二、Sniffer软件的使用   

  打开Sniffer软件后,会出现主界面,显示一些机器列表和Sniffer软件目前的运行情况,上面是软件的菜单,下面有一些快捷工具菜单,左侧还有一排快捷菜单按钮。由于使用的是汉化版软件,因此部分词语汉化不是太准确。

  1、获取网络中的机器列表

  Sniffer软件运行后,首先要搜索网络中的机器。在“工具”菜单中找到“地址簿”选项并运行,在“地址簿”中的左侧工具菜单中,可以找到一个“放大镜”的图标,这是“自动搜索”的按钮。运行“自动搜索”功能后,在IP地址段中输入网络的开始IP地址和结束地址,然后系统会自动搜索。搜索完成后,会出现一个如图1的机器列表。   

  2、保存机器列表   

  Sniffer搜索网络中所有的机器列表后,可以在“数据库”菜单中选择“保存地址簿”选项,将当前的机器列表保存,以备日后使用。由于Sniffer的地址簿保存了网络中客户机的IP地址、网卡的MAC地址等信息,如果网络中的客户机更换了网卡,则必须重新搜索机器列表并重新保存地址簿。如果网络中没有新机器增加,就无需更新此地址簿。   

  三、Sniffer菜单及功能简介   

  Sniffer进入时,需要设置当前机器的网卡信息。进入Sniffer软件后,会出现如图2的界面,可以看到Sniffer软件的中文菜单,下面是一些常用的工具按钮。在日常的网络维护中,使用这些工具按钮就可以解决问题了。   

  1、主机列表按钮:保存机器列表后,点击此钮,Sniffer会显示网络中所有机器的信息,其中,Hw地址一栏是网络中的客户机信息。网络中的客户机一般都有惟一的名字,因此在Hw地址栏中,可以看到客户机的名字。对于安装Sniffer的机器,在Hw地址栏中用“本地”来标识;对于网络中的交换机、路由器等网络设备,Sniffer只能显示这些网络设备的MAC地址。   

  入埠数据包和出埠数据包,指的是该客户机发送和接收的数据包数量,后面还有客户机发送和接收的字节大小。可以据此查看网络中的数据流量大小。   

  2、矩阵按钮:矩阵功能通过圆形图例说明客户机的数据走向,可以看出与客户机有数据交换的机器。使用此功能时,先选择客户机,然后点击此钮就可以了。   

  3、请求响应时间按钮:请求响应时间功能,可以查看客户机访问网站的详细情况。当客户机访问某站点时,可以通过此功能查看从客户机发出请求到服务器响应的时间等信息。   

  4、警报日志按钮:当Sniffer监控到网络的不正常情况时,会自动记录到警报日志中。所以打开Sniffer软件后,首先要查看一下警报日志,看网络运行是否正常。   

  四、Sniffer在网络维护中的应用,解决网络传输质量问题   

  Sniffer在网吧网络中的应用,主要是利用其流量分析和查看功能,解决网吧中出现的网络传输质量问题。   

  1、广播风暴:广播风暴是网吧网络最常见的一个网络故障。网络广播风暴的产生,一般是由于客户机被病毒攻击、网络设备损坏等故障引起的。可以使用Sniffer中的主机列表功能,查看网络中哪些机器的流量最大,合矩阵就可以看出哪台机器数据流量异常。从而,可以在最短的时间内,判断网络的具体故障点。   

  2、网络攻击:随着网络的不断发展,黑客技术吸引了不少网络爱好者。于是,一些初级黑客们,开始拿网吧来做实验,DDoS攻击成为一些黑客炫耀自己技术的一种手段,由于网吧本身的数据流量比较大,加上外部DDoS攻击,网吧的网络可能会出现短时间的中断现象。对于类似的攻击,使用Sniffer软件,可以有效判断网络是受广播风暴影响,还是来自外部的攻击。   

  3、检测网络硬件故障:在网络中工作的硬件设备,只要有所损坏,数据流量就会异常,使用Sniffer可以轻松判断出物理损坏的网络硬件设备。
-----------------------
2.切断使用BT的电脑的网络

切断局域网内电脑的网络连接有很多软件可以实现,网络剪刀手(netcut),网络执法官等
现在我说一下网络执法官:

  网络执法官是一款网管软件,可用于管理局域网,能禁止局域网任意机器连接网络。对网管来说,这个功能很实用,可是,现在这一优秀的管理工具软件,却成为许多捣乱分子的“凶器”,他们经常利用这一功能禁止一些机器正常上网。不过,只要充分了解网络执法官的具体功能,就可以轻松对付这些恶意的捣乱了。   

  一、网络执法官简介   

  在局域网中任意一台机器上运行网络执法官的主程序NetRobocop.exe ,都可以穿透防火墙、实时监控、记录整个局域网用户上线情况,限制各用户上线时所用的IP、时段,并可将非法用户踢下局域网。该软件适用范围为局域网内部,不能对网关或路由器外的机器进行监视或管理,适合局域网管理员使用。   

  在网络执法官中,如想限制某台机器上网,只要点击“网卡”菜单中的“权限”,选择指定的网卡号或在用户列表中点击该网卡所在行,从右键菜单中选择“权限”即可限制该用户的权限。对于未登记网卡,可以这样限定其上线:设定好所有已知用户(登记),将网卡的默认权限改为禁止上线即可阻止所有未知的网卡上线。其原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC,使其找不到网关真正的MAC地址,这样就可以禁止其上网。   

  二、网络执法官的功能

  1、查看机器流量:对于在网络执法官监控范围内的客户机,在主界面中,点一下客户机的网卡,然后查看“本机状态”就可以看到这台机器的流量了。网络执法官与Sniffer软件一样,都可以查看网络中客户机的数据流量,但网络执法官不如Sniffer的流量显示方便直观。   

  2、智能监控:运行网络执法官软件后,可以通过“网卡”菜单中的“权限”限制一部分机器上网,这个功能很容易被捣乱分子利用来搞破坏。机器上安装并运行网络执法官软件后,机器图标在网络执法官软件中是红色的,其他正常运行的机器是淡绿色。红色代表机器处于网络混杂模式,利用这点可以轻松找到运行网络执法官软件的机器,从而就可以找到搞破坏者所在的机器了。但是,在手工监控时一定要注意,我们本机也是安装了网络执法官软件的,机器也处于网络混杂模式,千万不要把自己清除出去了。   

  如果发现网络中有捣乱者,网络执法官的监控功能会自动发出警报的。可以在网络执法官“设置”菜单中找到“安全”选项,设置管理机器的IP,当网络中有破坏者捣乱时,机器就会自动发出声音提示。这一智能监控功能,大大方便了对一些利用网络执法官捣乱者的监控。
  三、典型应用,封杀“传奇杀手木马程序”   

  传奇杀手病毒,是专门为了盗窃传奇帐号和密码而开发的一种木马软件,通过对局域网进行ARP欺骗,虚拟网吧网关地址以收集局域网中传奇游戏登陆信息并进行分析,从而得到用户信息的破坏性木马软件。   

  传奇杀手木马程序的出现,使很多网吧用户受到了攻击,有一些用户在安装有传奇多面手木马程序的网吧运行传奇程序,结果帐号和密码被盗,网吧老板为此不得不赔偿用户的经济损失。盛大密保虽然可以解决帐号和密码被盗的难题,但一些用户不愿意增加成本来保护自己帐号和密码的安全。因此,传奇杀手木马程序成为令网吧维护人员头疼的一大技术难题。   

  想要监控传奇杀手木马程序,必须先搞清楚它的工作流程。首先,它将安装了传奇杀手机器的MAC通过ARP欺骗广播至局域网,使局域网中的工作站误认为本机是网络的网关。该流程会造成局域网与Internet连接中断,使游戏与服务器断开连接。当用户重新启动游戏并进行帐号登陆时,帐户信息并不会直接通过网关传递到代理服务器,而是把信息传送到正在进行ARP欺骗的传奇杀手软件中。传奇杀手自身有对传奇帐号的解密手段,从而可以轻松获得该帐户的真实用户名及密码,达到窃取玩家帐号的目的。由此可以看出,使用网络执法官并配合ARP命令,对传奇木马有一定的预防作用。   

  在没有网络执法官的情况下,可以使用ARP命令检查网络中是否有人使用传奇杀手木马程序。根据传奇杀手木马的原理,传奇杀手是制造虚假的网关IP地址和MAC地址,因此在客户机上使用ARP -a命令查看,如果有重复的MAC地址,则可以断定网络中有人使用传奇杀手木马程序。要想查到在哪一台机器上安装了传奇杀手木马,可以使用Ipbook类似的工具,查看当前网络中所有机器的MAC地址,并加以对比。由于运行传奇杀手木马程序的机器IP地址被更改,只能通过查询机器的MAC地址找到该机器,找到该机器后,将机器重新启动,再查找传奇杀手程序并删除就可以了。   

  如果用网络执法官就容易多了,其预防封杀传奇杀手方案如下:   

  1、传奇杀手与网络执法官的工作原理比较   

  细心的网管不难发现,网络执法官的工作原理与传奇杀手的工作原理相比,在某些方面是极为相似的。网络执法官在对网络中的机器进行管理时,运行网络执法的机器,通过ARP欺骗发给被管理的电脑一个假的网关IP地址及对应的MAC,使其找不到网关真正的MAC地址,这样就可以禁止机器上网。对于传奇杀手木马程序,当此程序工作时,也是通过安装此程序的机器发ARP欺骗给网络中的机器,ARP的欺骗信息也是一个虚假的网关IP及对应的MAC地址。   

  由此可以发现,网络执法官与传奇杀手木马程序的工作原理是基本相同的。如果在同一个网络中,分别在两台机器上安装了网络执法官程序,由于网络执法官的工作在混杂模式下,同时启动后,通过任何一台机器的网络执法官程序都可以看到,网络中有两台机器处于混杂模式下工作。这样,可以通过网络执法官程序看到另外一台安装有网络执法官程序机器的MAC地址,从而轻松找到另外一台安装有网络执法官程序的机器。   

  2、彻底封杀传奇杀手木马程序   

  根据传奇杀手木马程序工作原理,传奇杀手也是向网络广播虚假的网关地址及MAC地址消息,这是否意味着,当在有传奇杀手程序工作的网络中安装网络执法官程序后,可以看到有两台机器也是处在网络混杂模式下?经过小片的实验证实,传奇杀手木马程序与网络执法官程序的工作原理是一致的。只要网络中有传奇杀手程序在运行,就可以通过网络执法官程序来监控。   

  为彻底封杀传奇杀手木马程序,有效保证用户传奇帐号和密码的安全。可以在网吧收银机端安装网络执法官程序,并且按照上文的叙述设置智能监控。当网络执法官监控程序发现网络中有传奇杀手木马程序工作时,会自动发生声音警报,以此来警告来上网的用户。这样技术人员就可以在第一时间内发现传奇杀手木马程序,然后用最快的时间关闭传奇杀手程序。
posted on 2005-11-02 11:09 System And Net 阅读(718) 评论(0)  编辑 收藏 引用 所属分类: net
只有注册用户登录后才能发表评论。