BT下载过程解析

BT下载过程解析

摘要：

BT是目前最热门的下载方式之一。

就HTTP、FTP、PUB等下载方式而言，一般都是首先将文件

放到服务器上，然后再由服务器传送到每位用户的机器上，该软件

相当的特别，一般我们下载档案或软件，大都由HTTP站点或FTP

站台下载，若同时间下载人数多时\基于该服务器频宽的因素，速

度会减慢很多，而该软件却不同，恰巧相反，同时间下载的人数越

多你下载的速度便越快，因为它采纳了多点对多点的传输原理。

本文将详细分析在BT中利用Sniffer对数据监听的，从中分析

出BT下载所占带宽。

并通过对HTTP代理对应用层协议进行过滤实现对BT的封杀的

过程。

关键词：

BT、Tracker>HTTP代理一什么是BT定义BT是目前最

热门的下载方式之一，它的全称为BitTorrent简称BT,中文全称

比特流，但很多挚友将它戏称为变态下载。

BitTorrent（简称BT,俗称BT下载、变态下载）是一个多

点下载的源码公开的P2P软件，运用特别便利，就像一个阅读器插

件，很适合新发布的热门下载。

其特点简洁的说就是：

下载的人越多，速度越快。

BitTorrent下载工具软件可以说是一个最新概念P2P的下

载工具、它采纳了多点对多点的原理，一般简称BT(BitTorrent)

也就是大家所说的变态下载。

该软件相当的特别，一般我们下载档案或软件，大都由HTTP

站点或FTP站台下载，若同时间下载人数多时，基于该服务器频

宽的因素，速度会减慢很多，而该软件却不同，恰巧相反，同时

间下载的人数越多你下载的速度便越快，因为它采纳了多点对多点

的传输原理。

二BT下载过程解析传统的文件下载服务如FTP或者

HTTP都有一个供应FTP或HTTP应用程序的服务器，该服务器存

放用户须要的文件；一般用户作为客户端，运用FTP或HTTP客

户端程序主动连接服务器，在获得授权后即可从服务器下载文件。

这种典型的客户端/服务器模式对于文件的合法性、平安性可

以很好的限制，但有致命的缺点，当有多个用户同时访问服务器时,

由于服务器的性能因素、服务器连接广域网出口的带宽因素等，会

导致用户的访问速度急速下降。

另外，在客户端/服务器模式下用户主要运用网络的下行带

宽，即从服务器到用户主机的带宽，而上行带宽即从用户主机到服

务器的带宽利用率特别低，造成了带宽资源的奢侈。

在BT世界中，全部用户同时扮演客户端和服务器双重角色，

当下载的时候，同时运用上行带宽将已经下载的文件部分传送到其他

用户；BT同时应用多进程技术，可以从多个下载源也称为种子的

用户主机上同时进行多个下载。

因此，下载的用户越多，也即种子越多，从而下载的速度就

越快。

BT应用中须要Web服务器和Tracker服务器。

Web服务器只负责torrent文件的发布，Tracker服务器用

于管理BT客户端的连接，两种服务器并不须要存放下载文件，因

此不会在服务器和用户主机间产生下载流量；而用户之间则建立干

脆端到端的TCP连接，用于传输文件内容。

BT下载过程可以分为三个阶段：

一是从Web服务器获得torrent文件阶段，二是从Tracker

服务器下载种子列表以及反向连接验证阶段，三是BT客户端之间

数据传输阶段。

第一阶段和一般的HTTP访问Web页面完全一样，没有

明显的特征，但是有阅历的网络管理员可以推断出哪些热门Web站

点会发布torrent文件，从而在某些场合可以通过禁止这些Web

站点的访问来禁止BTo

其次阶段一般也采纳HTTP的形式进行，Tracker服务器

运用的端口通常是TCP的81、82、6969、80008001、8080,

Tracker通过HTTP的GET吩咐参数来接收信息，而响应给客户端

的是Bencoded编玛的消息，在HTTP恳求的报文中携带了BT的

特征数值User-Agent：

BitTorrent,通过这些可以识别出BT客户端和Tracker服

务器通信的数据流。

BT下载过程的前两个阶段是下载的打算阶段，此过程中的数

据流量较小，但信息很关键，禁止这些数据流的通信则意味着BT下

载无法进行，因此通过这些数据包的特征识别出BT业务流在很多

场合无法运用。

第三阶段是BT客户端之间的数据传输阶段，也是真正的

下载阶段。

在下载阶段BT客户端之间会端到端的建立连接，并且始终维

持到一块数据的完成再拆除连接。

早期的BT应用程序默认的运用TCP的传输端口6881〜

6889,这时可以简洁的依据端口号来识别一个BT流。

但最新的BT应用程序为了防止被探测而允许用户随意修改

TCP的端口号，因而基于传输层端口号的识别方法不再有效。

三、BT下载的危害3.1、对硬盘的损害BT三大指

控：

高温、重复读写、扇区断块。

Bittorrent下载是宽带时代新兴的P2P交换文件模式，各

用户之间共享资源，相互当种子和中继站：俗称BT下载。

由于每个用户的下载和上传几乎是同时进行，因此下载的速度

特别快。

不过，开发BT的人因为缺乏对维护硬盘的考虑，运用了很差

的HASH算法，它会将下载的数据干脆写进硬盘（不像FlashGet等下

载工具可以调整缓存，到指定的数据量后才写入硬盘）,因此造成

硬盘损害，提早结束硬盘的寿命。

此外，BT下载事先要申请硬盘空间，在下载较大的文件的

时候，一般会有2~3分钟时间整个系统优先权全部被申请空间的任

务占用，其他任务反应极慢。

有些人为了充分利用带宽，还会同时进行几个BT下载任务，

此时就特别简洁出现由于磁盘占用率过高而导致的死机故障。

因为BT对硬盘的重复读写动作会产生高温，令硬盘的温度

上升，干脆影响硬盘的寿命。

而当下载人数愈多，同一时间读取你的硬盘的人亦愈多，硬

盘大量进行重复读写的动作，加速消耗。

基于对硬盘工作原理的分析可以知道，硬盘的磁头寿命是有限

的，常见的读写会加快磁头臂及磁头电机的磨损，常见的读写磁盘

某个区域更会使该区温度上升，将影响该区磁介质的稳定性还会导

至读写错误，高温还会使该区因热膨涨而使磁头和碟面更近了（正

常状况下磁头和碟面只有几个微米，高温膨胀会让磁头更靠近碟

面），而且也会影响薄膜式磁头的数据读取灵敏度，会使晶体振荡

器的时钟主频发生变更，还会造成硬盘电路元件失灵。

任务繁多也会导至ide硬盘过早损坏，由于ide硬盘自身的

不足，过多任务恳求是会使寻道失败率上升导至磁头频繁复位（复

位就是磁头回复到0磁道，以便重新寻道）加速磁头臂及磁头电

机磨损。

因此有些人形容，BT就像把单边燃烧的柴枝折开两、三段一

起燃烧，大量的读写动作会大大加速硬盘的消耗，燃烧硬盘的生命。

其次，同时因为下载太多东西，使扇区的编排混乱，读写

数据时要在不同扇区中读取，增加读写次数，加速硬盘消耗。

3.2、对网络带宽的损害当前，以BitTorrent（以下

简称BT）为代表的P2P下载软件流量占用了宽带接入的大量带宽，

据统计已经超过了50%o

这对于以太网接入等共享带宽的宽带接入方式提出了很大的挑

战，大量的使接入层交换机的端口长期工作在线速状态，严峻影响

了用户运用正常的Web、E-mail以及视频点播等业务，并可能造

成重要数据无法刚好传输而给企业带来损失。

因此，运营商、企业用户以及教化等行业的用户都有对这类

流量进行限制的要求。

BT将会占用太多的网络资源，从而有可能在接入网、传输网、

骨干网等不同层面形成瓶颈，造成资源惊慌，这好像也是目前运营

商包括网通、长宽等封掉BT端口的最大理由。

3.3、助长了病毒的传播2005年11月17EI,公安部

公共信息网络平安监察处许剑卓处长在天津AVAR2005大会上做了

《中国网络犯罪现状》的报告，报告指出，通过计算机病毒和木

马进行的黑客行为是计算机网络犯罪的主要根源。

调查状况表明，计算机病毒除了通过常规的电子邮件等途径

传播外，目前网络上盛行的P2P软件成为计算机病毒和木马传播的

主要途径。

这些病毒和木马对企业的平安形成巨大的挑战。

3.4、可能面临着版权侵害的风险FredLawrence是一个

美国一般老人，因为自己孙子的原因惹来了美国电影协会（MPAA）

的大麻烦。

Lawrence的孙子通过iMeshP2P服务在家中的电脑下载并共

享了4部电影，美国电影协会通过IP地址找到了他和他的电脑，

并以侵扰版权为由要求老人为此在18个月中付出4000美元的罚

金；54ne现在国内外都在严厉打击盗版，不解除版权作者

或机构通过各种网络跟踪技术来找到非法进行P2P下载的用户，并

提起诉讼或者其他赔偿要求；假如企业员工进行了这些行为，可能

由此对企业的形象造成极大负面影响，并可能使得企业遭遇其他损

失！此外，员工可能通过BT等下载一些色情、反动、暴力的等

违法的信息，这些信息可能被公安机关检测到，由此可能给员工和

企业带来法律风险。

四管住局域网内的BT下载BT下载以其独特的优势受到

广阔用户的宠爱，它在下载的同时还为其他用户供应上传，因此下

载的人越多，它的速度越快。

不过，麻烦也随之而来，假如多个用户同时运用BT进行

下载，会占用大量网络带宽，严峻影响其他用户的正常工作。

我们可以严格限制用户的BT下载流量或完全禁止BT下载。

4.1限制带宽BT之所以会危害到局域网，是因为它占

用了大量网络带宽。

因此，限制每个用户运用的网络带宽，可以明显缓解BT对

网络的危害。

笔者以大家常用的代理软件CCProxy为例，对用户带宽进行

限制。

在服务器端的CCProxy主窗口中，点击账号按钮，弹出

账号管理对话框，在属性栏的允许范围中选择允许部分，接着点击

新建按钮，弹出账号对话框。

接下来，限制IP地址为192.168.0.12的客户机的带宽。

在TP地址/IP段中输入该IP地址（图1）,然后设置最大

连接数，默认为-1,就是不进行任何限制，在此输入5,这样

客户机只能和代理服务建立5个连接，也就可以限制BT下载时运

用的线程数。

接着在带宽（字节/秒）栏中为客户设置最大的网络带宽，如限

制为1OOKB/s,则可输入102400,最终点击确定按钮。

这样该客户机只能运用1OOKB/s的带宽，而且它和代理服务

器最多只能建立5个连接。

其它客户机的限制方法与此相同，不再赘述。

（图1）4.2彻底封闭BT下载解决BT对局域网的

危害，最彻底的方法是不允许进行BT下载，BT一般运用TCP的

6881〜6889的端口。

由于个人网络防火墙只能封闭本机的BT端口，对局域网用户

无效，笔者就采纳ISA2004封闭BT端口。

在ISA限制台窗口中，右键点击防火墙策略，选择新建

访问规则，弹出访问规则向导对话框，在访问规则名称栏中输入禁

用BT,点击下一步按钮后，选择拒绝选项，接着在协议对话框中

选择所选的协议。

点击添加按钮，在添加协议对话框中点击新建协议，弹出

协议定义向导对话框，在名称栏中输入BT,点击下一步按钮，进

入首要连接信息对话框。

点击新建，弹出新建/编辑协议连接对话框（图2）,在协议类

型中选择TCP,选择方向为入站，端口范围为从6881到6889,然

后点击确定按钮，接下来一路点击下一步按钮，即可完成BT协议

的定义。

（图2）接着在添加协议对话框中绽开用户定义，并添加

BT协议（图3）,点击下一步按钮后，指定访问规则源。

点击添加按钮，弹出添加网络实体对话框，绽开网络书目，选

择内部。

点击添加按钮，接着点击下一步按钮，设置访问规则目标，在

网络实体对话框中绽开网络目录，添加外部，然后进入用户集对

话框，选择全部用户并点击完成按钮。

（图3）最终在防火墙策略窗口中选中这一规则，并点

击上方的应用按钮（图4）。

这样局域网内的用户就不能进行BT下载了。

但该方法也有不足之处，假如BT软件运用的不是6881〜6889

的端口，该规则就会失效。

由于BT端口是可变更的，所以一旦BT下载端口发生变更，

你就得马上查到新的端口，并将它封掉。

（图4）加载PDLM模块运用Cisco公司出品

的PDLM模块可以省去我们配置路由策略的工作，封锁效果特别好。

上文介绍的两种方法，一个是对数据包的目的地址进行封锁，

一个是对数据包运用的端口进行封锁，虽然在确定范围内有效，但

不能起到全面禁止BT的作用，通过PDLM+NBAR的方法来封锁BT

就存在这个问题了。

Cisco在其官方网站上提供了三个PDLM模块，

分别为KAZAA2.pdlm,bittorrent,pdlm和emonkey,pdlm,可以

用来封锁KAZAA、BT、电驴。

在此我们以封锁BT下载为例。

建立一个TFTP站点，将bittorrent,pdlm复制到该站

点，在核心路由器中运用ipnbarpdlmtftp://TFTP站点的

IP/bittorrent.pdlm吩咐加载bittorrent,pdlm模块。

接下来设置路由策略，详细吩咐如下：class-map

match-anybitBITmatchprotocolbittorrent

准！policy-maplimit-bit//创建一个POLICY-MAF名

为LIMIT-BITclassbit〃要求符合刚才定义的名为

BIT的CLASS-MAPdrop〃假如符合则丢数据包！

interfacegigabitEthernetO/2〃进入网络出口那个接口

service-policyinputlimit-bit〃当有数据包进入时启用

LTMIT-BIT路由策略service-policyoutputlimit-bit

〃当有数据包出的时候启用LIMIT-BIT路由策略假如不想每

次启动路由器时都要手工加载TFTP上的bittorrent.pdlm,可以把

这个PDLM文件上传到路由器的Flash中，然后选择TFTP服务器

的IP地址即可。

值得提示大家的是，封锁KAZAA或者是ED0NKEY时，在路由器

配置中将matchprotocol后的bittorrent替换为KAZAA2或者

ED0NKEY即可，其他配置和封锁BT一样，通过NBAR加载PDLM模

块法封锁BT软件后，已经完全断绝了BT流量，网络速度也复原到以

前的稳定值了。

限制NAT的单用户连接数在CiscoI0S12.3(4)T

后的IOS软件上支持NAT的单用户限制，即可以对做地址转换的

单个IP限制其NAT的表项数，因为P2P类软件如BT的一大特

点就是同时会有很多的连接数，从而占用了大量的NAT表项，因

此应用该方法可有效限制BT的运用，比如我们为TP10.1.L1设

置最大的NAT表项数为200；正常的网络访问确定够用了，但假

如运用BT,那么很快此IP的NAT表项数达到200,一旦达到峰

值，该IP的其他访问就无法再进行NAT转换，必需等待到NAT

表项失效后，才能再次运用，这样即有效地爱护了网络的带宽，同

时也达到了警示的作用。

例如限制IP地址为10.1.1.1的主机NAT的条目为200

条，配置如下：

ipnattranslationmax-entrieshost10.1.1.1200

假如想限制全部主机，使每台主机的NAT条目为200,可进行如

下配置：

ipnattranslationmax-entriesall-host200运

用HTTP代理过滤应用层协议当BT客户端下载时，必需进

行Tracker查询，Tracker通过HTTP的GET吩咐的参数来接收

信息，而响应给对方（下载者）的是Bencoded编码的消息。

在HTTP恳求报文中，携带了BT的特征值User-Agent：

BitTorrento

针对该状况，网络管理员可以通过一些平安管理设备以

及流量管理设备，甚至网络管理系统软件，过滤特定的应用层数据

包（如HTTP数据包），然后依据BT数据包中的关键字

（BitTorrent）,从HTTP数据包中过滤BT数据包。

限制整体BT下载流量将整体BT下载的流量限

制在某个范围内。

如整个校内网络可以运用的BT下载流量设定为1Mbps.

校内网络剩余的其他网络带宽资源可以给关键业务或者其他非

关键业务运用，有效地防止BT下载侵吞大量网络带宽资源。

以Cisco设备为例，详细吩咐为：

access-list130remarkbtaccess-list130

permittcpanyanyrange68816890access-list130permit

tcpanyrange68816890anyrate-limitinputaccess-group

13071200080008000conform-actiontransmitexceed-action

droprate-limitoutputaccess-group13071200080008000

conform-actiontransmitexceed-actiondrop限制或禁止在

特定时间段内的BT下载校内网络工作时间内限制或者禁止

BT下载，这样工作时间内不会有BT下载流量和关键业务竞争，也

充分爱护了校内网络关键业务。

同时，在非工作时间，校内网络也可以自行利用高速的网络资

源。

以Cisco设备为例，详细吩咐为：

time-rangetestperiodicdaily20:00to23:00

access-list130