主題: 有沒有好的方法可以擋掉KURO之類的軟體

[Rachel]

這一兩天發現網路有點慢,剛好把NTOP架設起來,利用他來看一下內部網路狀況,發現有一部機器的流量特別大,短短一個半小時就有100MB流量進入,30幾MB送出,想說下載檔案也不會有這麼多MB送出,看一下NAT內Squid紀錄,原來那一個同事都上Kuro的網站,利用Kuro在下載歌曲,下載就算了,最討厭的就是這種軟體還會分享給其他人,每一台電腦既是Server也是Client,而且還會隱藏PORT,變相的利用port80出去,利用NMAP掃電腦port,還看不出他是怎麼走出去的,後來利用tcpdump捉到這一部電腦跟很多不同的電腦利用6699通訊,才用iptables 擋掉,不過聽說Kuro還可以變換不同的PORT,這樣一來不就每天跟他玩捉迷藏,該怎麼做最好呢?
像ICQ之類的都有很多部Server當主機來做通聯,那Kuro有沒有呢?
謝謝

[twu2]

把 firewall 的設定改為內定 DROP, 只允許需要的通過, 再用 squid 的 acl 管吧.

[beethobear]

ICQ , KURO很麻煩的

不如將現況做成報告提供給主管
讓他們決定怎麼做
如果他們決定放縱
以後就不要抱怨頻寬擁塞
和隨之而來的所有問題

記得所有事情要留紀錄就是了

[netman]

把 firewall 的設定改為內定 DROP, 只允許需要的通過, 再用 squid 的 acl 管吧.

的確﹐對付這些能夠隨時變 port 的連線﹐實在沒什麼簡單的辦法。使用 proxy 是一個不錯的方法。甚至可以做成 transperent 的。
在 NAT 上面除了做限制之外﹐大量使用 proxy 和 relay 設計﹐也可以達到某些層次的控管。比方說﹐強迫使用內部的 smtp, pop, dns, ftp, ... 等等。如果 NAT 的規則玩得熟﹐您甚至可以使用 DNAT 和 REDIRECT 的規則﹐transparent 的將特定的 traffic 給導到指定的機器上面去。

但更多方法是可以透過行政(非技術)的手段來規範﹐再配合技術來鞏固效果。無論如何﹐管理員和使用者之間的溝通是非常重要的。這是小弟的實務經驗。

[duncanlo]

假如只deny all,allow some的作法可以嗎?

[matt]

可以試試用 Linux 的頻寬管理, 限制特定 user 的流量, 至少不要影響到其他 user 或 server 的頻寬需求

[twu2]

我還是覺得應該是把不用的 port 都擋住, 只留有用的 port, 另外用 squid 做 proxy, 如果要用這類的功能, 只能透過 squid 出去, 再利用 delay_pool 的功能, 限制某些檔案格式的速度...

[Rachel]

謝謝各位學長
小弟的確第一想用的就是行政規範,但是....,所以盡量跟上頭說說看吧.
第二就是流量限制的做法,小弟正在努力中.