Сражение с битторрентом

14

Вот интересная проблема / сценарий, которой могут воспользоваться некоторые системные администраторы:

Владелец многоквартирного дома предоставляет бесплатный доступ в Интернет своим жильцам. В основном у него есть T1, идущий в здание, и в каждой квартире есть вилка CAT5 в стене. Доступ в интернет является «бесплатным» (включен в арендную плату или что-то еще) для арендаторов.

Проблема в том, что некоторые из арендаторов загружают нелегальные фильмы / музыку через bittorrent. В результате MPAA и RIAA отправляют «настиграм» владельцу интернет-соединения (то есть владельцу квартиры) в отношении нелегальных загрузок.

Владелец квартиры заблокировал списки торрент-сайтов, а также несколько расширений файлов на уровне маршрутизатора, но проблема сохраняется.

Я хотел бы знать, есть ли у кого-нибудь разумное / недорогое решение этой проблемы? QoS, очевидно, работает только до определенного момента, потому что bittorrent может использовать практически любой порт, который ему нужен. Проверка пакетов не работает на зашифрованных соединениях и т. Д.

Владелец квартиры сказал, что был бы счастлив, если бы он мог просто увидеть трафик загрузки / выгрузки (то есть потенциальных нарушителей) отдельных квартир.

Есть идеи?

ОБНОВЛЕНИЕ: не заинтересованы в обсуждении юридических / юридических / социальных вопросов, а также реальных технических решений (какими бы они ни были). Я хотел бы попросить вас проголосовать за ТЕХНИЧЕСКИЕ обсуждения по юридическим / социальным. Благодарность!

ОТВЕТ: Выбрал ответ Джастина Скотта как правильный ответ из-за его предложения использовать управляемые коммутаторы и MRTG. Хотя было бы лучше блокировать битторрент или, по крайней мере, сделать его чрезвычайно сложным, MRTG и управляемый коммутатор позволят нам легко идентифицировать нарушителя (ей).

KPWINC
источник
Разве T1 технически не составляет около 1 Мбит / с?
niXar
Т1 на самом деле 1,54 Мбит / с. В здании на самом деле труба больше, чем эта ... DSL на скорости 3-4 Мбит / с, но для простоты я сказал T1 в вопросе ... не то, чтобы это имело большое значение. :-)
KPWINC

Ответы:

10

Если у каждой квартиры есть собственный порт на управляемом коммутаторе где-то в здании, увидеть уровень их трафика должно быть довольно просто с чем-то вроде MRTG.

Тем не менее, это больше похоже на юридический вопрос, чем на технический вопрос. IANAL, но, пытаясь контролировать соединение, владелец фактически отказывается от любого вида статуса «общего перевозчика», который он мог иметь (если вообще имел). Если бы я был в таком положении, каждая квартира получала бы статический IP-адрес для выхода в Интернет. Если MPAA / RIAA постучат, я вежливо направлю их арендатору, который «владеет» соответствующим IP-адресом.

Джастин скотт
источник
Я не верю, что это управляемый переключатель. Итак, давайте предположим, что на данный момент обычный дурацкий переключатель. Я говорю это только потому, что у него несколько зданий, и я уверен, что не у всех из них есть управляемый переключатель.
KPWINC
Согласна с тобой Джастин. Это не должно быть статичным, просто публичным. Я уверен, что этот IP будет указан в письме.
Даниэль Лукас
Если вы не можете отследить использование портов на отдельных коммутаторах, то вы можете использовать статистику пограничного маршрутизатора в зависимости от его типа и конфигурации. Это не идеальное решение, так как вам нужно как-то соотнести отслеживаемые IP-адреса с квартирами. Если они используют NAT с DHCP-сервером и короткое время аренды, то ваши возможности становятся действительно ограниченными.
Джастин Скотт
1
Кроме того, если переключатели не управляются, я бы порекомендовал заменить их, как только на них будут выделены средства. На eBay можно купить старые управляемые коммутаторы 10/100 довольно дешево. Мы только что купили хороший управляемый 24-портовый коммутатор HP ProCurve 1U для монтажа в стойку, поддерживающий SNMP, за 70 долларов. Очень приятно видеть возможность использования порта в реальном времени через его веб-интерфейс.
Джастин Скотт
1
Должен согласиться с Джастином здесь. Инструменты для мониторинга трафика бесплатны и проверены, при условии, что вы можете читать счетчики на порт. Самое дешевое решение - купить дешевые управляемые коммутаторы.
Джеймс Ф
13

Имеет ли он разрешение своего интернет-провайдера сдавать в аренду T1 другим? Если так, то он фактически является обычным оператором связи (например, телефонной компанией) и не несет ответственности за использование услуги. Как только он начинает принимать меры для предотвращения определенного трафика, он берет на себя ответственность. Я бы связался с адвокатом, прежде чем делать что-либо вообще.

Если он не уполномочен своим провайдером сдавать в субаренду их T1, я бы даже не стал вмешиваться. "Вы на своем приятеле."

Даниэль Лукас
источник
Спасибо за ваше понимание этого, но кроме юридических вопросов, меня больше интересует техническое решение и "Что технически возможно сделать". Как только мы узнаем, что такое ВСЕ варианты, он может решить, каким путем он хочет пойти.
KPWINC
2
Понял KPWINC. Я думаю, я просто не хотел бы участвовать в ограничении трафика пользователей. Держите интернет бесплатно как на свободе. Бесплатно как в пиве тоже было бы неплохо. ;)
Даниэль Лукас
Я понимаю, что никто не ограничивает их. Они могут свободно приобретать собственные широкополосные соединения. Если бы это было так, уведомления MPAA / RIAA отправлялись бы им, а не владельцу здания. Это похоже на то, что если вы пришли поплавать в моем бассейне, пожалуйста, не мочитесь в него ... если это ваш бассейн ... делайте что хотите. ;-)
KPWINC
6

Лучшее социальное решение, которое я видел, - это передать письмо арендаторам, а после 3 уведомлений прекратить их интернет-обслуживание. Большинство комплексов, в которых я работал, имеют такую ​​политику, и она работает хорошо. После первой или второй буквы вы видите, что их пропускная способность значительно снизилась.

Иначе я бы не волновался об этом. Он не отключит соединение для получения массовых писем или писем «мы видели, как ты это скачивал». Вероятность того, что он попадет в суд, очень мала. Лично, если бы у меня был T1 (или что-то более быстрое ...), я бы попросил блок IP-адреса и дал бы каждой квартире свой публичный IP-адрес, тогда было бы тривиально отследить, кто что сделал, и переложить вину.

reconbot
источник
Это предполагает, что у него есть юридическое право делиться своим T1 в первую очередь. Но я согласен с вашими техническими / социальными ответами. Вы должны иметь обе стороны, чтобы это работало.
Джозеф Керн
Джозеф Керн: предлагает peergaudian в качестве службы шлюзов, мне нравится эта идея - я бы также ограничил скорость их загрузки после первого нарушения, как это сделал бы обычный провайдер. Обескураживает поведение.
восстановить
Я вполне уверен, что у него есть разрешение поделиться T1, поскольку он общался с провайдером по этой проблеме. Это деловое соединение, и у его провайдера, похоже, нет проблем с тем, как он использует линию. Кажется, основная проблема заключается в определении того, кто (за его NAT) использует пропускную способность.
KPWINC
6

Все здесь уже говорили о проблемах законности с такой установкой, так что я больше не буду бить эту мертвую лошадь.

Если вам нужен хороший бесплатный инструмент для мониторинга интернет-трафика, вы можете попробовать IPAUDIT, поскольку он даст вам довольно хорошую информацию об использовании трафика вашего хоста. У меня есть сообщение со следующим вопросом ( IPAUDIT - это решение для мониторинга трафика на основе Linux): /server/8267/monitor-internet-bandwidth

Вы также можете найти несколько хороших ответов в этом вопросе: Мониторинг сетевого трафика.

l0c0b0x
источник
2
+1 за пропуск обсуждения законности!
Марк Хендерсон
4

Я собираюсь быть очень негативным по этому поводу ... Попытка бороться с Бит Торрентом с технической точки зрения приведет к большому количеству головных болей при почти нулевой эффективности. Бит Torrent может быть инкапсулирован в SSL на порту 443, что делает его ничем не отличающимся от просмотра веб-сайта HTTPS.

Единственное решение - поговорить с людьми и заставить их замедлиться или просто остановиться ...

Антуан Бенкемун
источник
6
Вы имеете в виду «Единственное решение, не связанное с отключением пользователя», которое остается вариантом, если пользователь может быть идентифицирован.
Мистер Блестящий и Новый 宇 宇
+1 Точно. Таким образом, задача становится лучшим / самым простым / самым дешевым способом ее настройки, чтобы он мог легко определить, какой теннант является виновником. :-)
KPWINC
Вы правы, мистер Блестящий, но это не похоже на очень хорошее решение :-)
Антуан Бенкемун
2

Я бы посмотрел на график статистики использования полосы пропускания. Поскольку он использует проводное распределение, использование счетчиков SNMP (при условии, что коммутаторы распределения способны) является одним из отличных способов получения статистики (при условии, что клиенты не отправляют трафик никуда, кроме Интернета - то есть не одноранговые в локальной сети). ) об использовании пропускной способности. MRTG, Cacti и т. Д. Ваш друг для этого.

Если арендаторы работают в одноранговой сети, ему необходимо выполнить профилирование трафика на выходе в Интернет. Вы можете сделать это по дешевке с установкой Linux iptables и некоторыми правилами ведения журнала.

Владелец, вероятно, лучше обслужен, говоря об этом адвокату (хотя это будет стоить денег). Было бы неплохо, если бы он удостоверился, что не станет целью судебных разбирательств.

Эван Андерсон
источник
1

Он должен быть очень осторожным с его юридическим статусом, как упомянуто в других должностях. Поговорите с адвокатом.

Есть несколько технических средств, чтобы справиться с этим. Но я боюсь, что попытка чего-либо только углубит его. Адвокат может попытаться провести технический контроль в нескольких направлениях.

Ни одно доброе дело не остается безнаказанным.

(Или он мог просто установить peerguardian в качестве службы шлюза)

Джозеф Керн
источник
0

Единственный разумный способ обеспечить целостность вашей сети - по умолчанию ограничить весь доступ, кроме разрешенного вами. Все остальные методы, если вы все еще настаиваете на полном контроле над сетью, это просто игра в догонялки с новейшими самыми большими (и самыми старыми известными) протоколами, используемыми для отправки данных от a к b и наоборот.

Но если вас интересует безопасность работы и много административной работы, сделайте это.

Кстати, вы не сказали, из какой страны вы приехали, юрисдикция по этой теме во всем мире совершенно иная, но я предполагаю, что США, так как вы говорите о трубе T1.

Что-то, что, по-видимому, работает очень хорошо в штатах, переписывается с некоторым юридическим жаргоном, заявляющим, что они могут выбрать одно из двух объяснений:

  • Владелец авторских прав дал неявное право на использование доступности этой работы
  • Полученная работа не совпадает с работой, указанной в ваших утверждениях

Всегда заканчивайте свое письмо дружеским приветствием и возможностью дальнейшего обсуждения этого вопроса, указав свой консультативный тариф.

Мартин П. Хельвиг
источник
Интересная тактика с ответным письмом Мартина. Где вы узнали, что это эффективно? Только любопытно.
Даниэль Лукас
Несколько студентов-юристов из Гарварда написали RIAA, когда они, где их предъявили обвинения, впоследствии все обвинения были сняты, находились на сайте, похожем на слэшдот, год или два назад. Замечание по поводу аргументации, если я правильно помню, аргумент состоял в том, что, поскольку они могут видеть, кто что загружает с бит-торрентом, только если они также самостоятельно загружают загрузку, то есть это означает, что они либо делают материал, защищенный авторскими правами, доступным, и поскольку они являются его владельцем материала или акта, представляющего интерес для правообладателя, они дают последующее разрешение на его загрузку, или это фальшивка, что означает, что она не защищена авторским правом.
Мартин П. Хельвиг
0

Я улучшу лучший ответ.

Вам следует купить устройство Smoothwall Firewall (или IPCop, MonoWall, LEAF или pfSense), потому что Smoothwall использует MRTG. Smoothwall предоставит вам все виды дополнительных функций.

Вы можете купить дешевое устройство с межсетевым экраном с двумя сетевыми картами всего за несколько сотен долларов.

или сделайте его самостоятельно, используя материнскую плату mini-ITX с двумя сетевыми платами, например, EPIA-M700 (257 долларов США), EPIA LT или EPIA PE.

djangofan
источник
0

Я бы сказал, чтобы установить соединение / разъединение / адрес пакета UDP и протоколирование DHCP на маршрутизаторе и включить номер порта маршрутизатора в журналы. Идея заключается в том, что в письме RIAA должна быть указана дата / время / ip нарушения. Исходя из этого, вы можете посмотреть, какой порт маршрутизатора (и, следовательно, какая квартира) совершает нарушение, и переслать письмо. Эти журналы будут большими, но поскольку они не содержат содержимого пакета, они не должны быть слишком большими. И если арендодатель NATting, входящий трафик UDP должен быть очень маленьким.

Это позволяет домовладельцу доказать (насколько он может), какая сторона несет ответственность, и соответствующим образом передать им неприятности. В любом судебном процессе домовладелец должен быть в состоянии успешно выбраться из всего, кроме ответа на некоторые повестки в суд для регистрации.

Майкл Кон
источник