Discussion:
Opsporen van bittorrend downloads
(te oud om op te antwoorden)
Paul van der Vlis
2010-04-02 07:30:37 UTC
Permalink
Hallo,

Op een school heeft men regelmatig last van leerlingen die zwaar aan het
downloaden zijn. Dankzij "iftop" kan ik dat vrij goed opsporen.

Maar als het om bittorrend downloads gaat dan is dat lastiger, omdat er
dan een heleboel connecties zijn met elk maar weinig download. Hoe zou
ik dergelijke misbruikers van bandbreedte gemakkelijk op kunnen sporen?

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Arlé Mooldijk
2010-04-02 08:08:09 UTC
Permalink
Post by Paul van der Vlis
Hallo,
Op een school heeft men regelmatig last van leerlingen die zwaar aan het
downloaden zijn. Dankzij "iftop" kan ik dat vrij goed opsporen.
Maar als het om bittorrend downloads gaat dan is dat lastiger, omdat er
dan een heleboel connecties zijn met elk maar weinig download. Hoe zou
ik dergelijke misbruikers van bandbreedte gemakkelijk op kunnen sporen?
Is het niet beter om te kijken hoe je dat verkeer helemaal kunt tegenhouden?
Met een application level firewall zou dat geen probleem moeten zijn, maar
ik weet niet of zoiets onder Linux ook bestaat (ik ken alleen Microsoft ISA
server). Probleem is natuurlijk dat de gebruikte poorten instelbaar zijn en
dat je dat dan niet zomaar kunt blokkeren in een gewone firewall, want dan
pakken ze gewoon weer een andere poort.

Als je alleen reactief moet handelen zou je ook met WireShark kunnen kijken
naar het verkeer en dan zoeken naar bittorrent. Maar dan moet je wel op een
netwerkpoort gaan zitten waar al het verkeer langs komt (mirror poort zeg
maar).

--
Mvg,
Arlé
Paul van der Vlis
2010-04-02 14:51:14 UTC
Permalink
Post by Arlé Mooldijk
Post by Paul van der Vlis
Hallo,
Op een school heeft men regelmatig last van leerlingen die zwaar aan het
downloaden zijn. Dankzij "iftop" kan ik dat vrij goed opsporen.
Maar als het om bittorrend downloads gaat dan is dat lastiger, omdat er
dan een heleboel connecties zijn met elk maar weinig download. Hoe zou
ik dergelijke misbruikers van bandbreedte gemakkelijk op kunnen sporen?
Is het niet beter om te kijken hoe je dat verkeer helemaal kunt
tegenhouden? Met een application level firewall zou dat geen probleem
moeten zijn, maar ik weet niet of zoiets onder Linux ook bestaat (ik ken
alleen Microsoft ISA server).
Ze zijn er wel, maar ik heb er geen ervaring mee.
http://en.wikipedia.org/wiki/Application_firewall#Linux
Post by Arlé Mooldijk
Probleem is natuurlijk dat de gebruikte
poorten instelbaar zijn en dat je dat dan niet zomaar kunt blokkeren in
een gewone firewall, want dan pakken ze gewoon weer een andere poort.
Als je alleen reactief moet handelen zou je ook met WireShark kunnen
kijken naar het verkeer en dan zoeken naar bittorrent. Maar dan moet je
wel op een netwerkpoort gaan zitten waar al het verkeer langs komt
(mirror poort zeg maar).
Dit lijkt me in de praktijk wat lastig voor degene die het moet
uitvoeren. Op de firewall zit geen GUI o.i.d.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Martijn Lievaart
2010-04-02 21:17:15 UTC
Permalink
Post by Arlé Mooldijk
Post by Paul van der Vlis
Hallo,
Op een school heeft men regelmatig last van leerlingen die zwaar aan
het downloaden zijn. Dankzij "iftop" kan ik dat vrij goed opsporen.
Maar als het om bittorrend downloads gaat dan is dat lastiger, omdat er
dan een heleboel connecties zijn met elk maar weinig download. Hoe zou
ik dergelijke misbruikers van bandbreedte gemakkelijk op kunnen sporen?
Is het niet beter om te kijken hoe je dat verkeer helemaal kunt
tegenhouden? Met een application level firewall zou dat geen probleem
moeten zijn, maar ik weet niet of zoiets onder Linux ook bestaat (ik ken
alleen Microsoft ISA server). Probleem is natuurlijk dat de gebruikte
poorten instelbaar zijn en dat je dat dan niet zomaar kunt blokkeren in
een gewone firewall, want dan pakken ze gewoon weer een andere poort.
Met een packeteer zou dat moeten kunnen, maar die zijn vrij prijzig.

Martijn
Arlé Mooldijk
2010-04-02 23:24:53 UTC
Permalink
Post by Martijn Lievaart
Post by Arlé Mooldijk
Post by Paul van der Vlis
Hallo,
Op een school heeft men regelmatig last van leerlingen die zwaar aan
het downloaden zijn. Dankzij "iftop" kan ik dat vrij goed opsporen.
Maar als het om bittorrend downloads gaat dan is dat lastiger, omdat er
dan een heleboel connecties zijn met elk maar weinig download. Hoe zou
ik dergelijke misbruikers van bandbreedte gemakkelijk op kunnen sporen?
Is het niet beter om te kijken hoe je dat verkeer helemaal kunt
tegenhouden? Met een application level firewall zou dat geen probleem
moeten zijn, maar ik weet niet of zoiets onder Linux ook bestaat (ik ken
alleen Microsoft ISA server). Probleem is natuurlijk dat de gebruikte
poorten instelbaar zijn en dat je dat dan niet zomaar kunt blokkeren in
een gewone firewall, want dan pakken ze gewoon weer een andere poort.
Met een packeteer zou dat moeten kunnen, maar die zijn vrij prijzig.
Ik zag dat Barracuda ook Level 7 firewalls heeft, maar geen idee wat dat
kost. Maar er zullen vast nog meer fabrikanten zijn die dat hebben. Maar
aangezien we hier in een Linux groep zitten, heb ik ook even gezocht naar
"Level 7" firewalls voor Linux:
http://www.clearfoundation.com/Software/l7-filter.html
Verder kwam ik niet veel tegen helaas.

--
Mvg,
Arlé
m@rinu$
2010-04-02 08:17:53 UTC
Permalink
Post by Paul van der Vlis
Hallo,
Op een school heeft men regelmatig last van leerlingen die zwaar aan het
downloaden zijn. Dankzij "iftop" kan ik dat vrij goed opsporen.
Maar als het om bittorrend downloads gaat dan is dat lastiger, omdat er
dan een heleboel connecties zijn met elk maar weinig download. Hoe zou
ik dergelijke misbruikers van bandbreedte gemakkelijk op kunnen sporen?
Met vriendelijke groet,
Paul van der Vlis.
is Squid Proxy Server misschien een optie om die te installeren
bepaalde klaslokalen met eigen subnet kun je afbakenen
alsmede bepaalde tijden instellen wanneer gebruik gemaakt kan worden van
tcp / udp en welke poorten.

bittorent maakt in de router / firewall gebruik van bepaalde poortnr's
(TCP 6881-6999) deze zou je toch in de logfiles kunnen bekijken i.c.m.
bepaalde ipadressen. De tijd/datum kun je ook herleiden wanneer er van
bepaalde poorten gebruik is gemaakt

zodoende zou je op een gegeven moment een gebruiker of groep gebruikers
kunnen isoleren wanneer ze gebruik hebben gemaakt van bepaalde poorten
die bittorent gebruikt.

M.v.g.,
***@rinu$


http://www.tuxdesktop.nl
Use your mind, use opensource
opensource4ever
Arlé Mooldijk
2010-04-02 09:23:06 UTC
Permalink
"***@rinu$" <***@no-spamm.nl> schreef in bericht news:4bb5a831$0$22937$***@news.xs4all.nl...
[knip]
Post by ***@rinu$
bittorent maakt in de router / firewall gebruik van bepaalde poortnr's
(TCP 6881-6999) deze zou je toch in de logfiles kunnen bekijken i.c.m.
bepaalde ipadressen. De tijd/datum kun je ook herleiden wanneer er van
bepaalde poorten gebruik is gemaakt
Bittorrent maakt standaard gebruik van de genoemde poorten, maar dat wordt
vaak gewijzigd en kan ingesteld worden op een willekeurige poort (of
poortreeks). Dat maakt het dan lastig om te blokkeren met een gewone
firewall (waar je aangeeft welke poort wel en welke niet naar buiten of
binnen mag). Het wijzigen wordt vaak gedaan om eventuele restricties bij een
provider te omzeilen.

De upload kun je dan nog wel tegenhouden, want dan zou je bij IPv4 an NAT
een portforward moeten instellen, maar de download wordt lastig omdat de
gebruikte poort bepaald wordt door de andere kant (de seeder). Een proxy
kan, zoals je schreef, maar dan moet je die wel overal instellen. Of je moet
het transparant maken en dan alleen verkeer vanaf de proxy toestaan naar
buiten toe. Maar of je dan kunt zeggen dat bittorrent verkeer zonder in te
stellen welke poort het gebruikt wordt geblokkeerd weet ik niet?

--
Mvg,
Arlé
m@rinu$
2010-04-02 10:59:53 UTC
Permalink
Post by Arlé Mooldijk
[knip]
Post by ***@rinu$
bittorent maakt in de router / firewall gebruik van bepaalde poortnr's
(TCP 6881-6999) deze zou je toch in de logfiles kunnen bekijken i.c.m.
bepaalde ipadressen. De tijd/datum kun je ook herleiden wanneer er van
bepaalde poorten gebruik is gemaakt
Bittorrent maakt standaard gebruik van de genoemde poorten, maar dat
wordt vaak gewijzigd en kan ingesteld worden op een willekeurige poort
(of poortreeks). Dat maakt het dan lastig om te blokkeren met een gewone
firewall (waar je aangeeft welke poort wel en welke niet naar buiten of
binnen mag). Het wijzigen wordt vaak gedaan om eventuele restricties bij
een provider te omzeilen.
De upload kun je dan nog wel tegenhouden, want dan zou je bij IPv4 an
NAT een portforward moeten instellen, maar de download wordt lastig
omdat de gebruikte poort bepaald wordt door de andere kant (de seeder).
Een proxy kan, zoals je schreef, maar dan moet je die wel overal
instellen. Of je moet het transparant maken en dan alleen verkeer vanaf
de proxy toestaan naar buiten toe.
Maar of je dan kunt zeggen dat
Post by Arlé Mooldijk
bittorrent verkeer zonder in te stellen welke poort het gebruikt wordt
geblokkeerd weet ik niet?
eerlijk gezegd zou ik het ook niet echt weten, dat zou uitgeprobeerd
moeten worden door te testen. ik gaf hiermee een theoretische oplossing
aan wat me te binnen schoot.

(TCP 6881-6999) Deze poortreeks gaf ik aan als voorbeeld en ik weet dat
je , zoals je zelf ook al aangaf, die poorten inderdaad kunt wijzigen
wat in de praktijk ook gebeurt om die restricties van de isp te omzeilen.
Post by Arlé Mooldijk
--
Mvg,
Arlé
M.v.g.,
***@rinu$
Paul van der Vlis
2010-04-02 14:31:51 UTC
Permalink
Post by ***@rinu$
is Squid Proxy Server misschien een optie om die te installeren
Ik gebruik liever geen proxyserver. Ik geef toe dat het bepaalde
voordelen heeft, maar ook een boel nadelen.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
richard lucassen
2010-04-02 09:31:29 UTC
Permalink
On Fri, 02 Apr 2010 09:30:37 +0200
Post by Paul van der Vlis
Op een school heeft men regelmatig last van leerlingen die zwaar aan
het downloaden zijn. Dankzij "iftop" kan ik dat vrij goed opsporen.
Maar als het om bittorrend downloads gaat dan is dat lastiger, omdat
er dan een heleboel connecties zijn met elk maar weinig download. Hoe
zou ik dergelijke misbruikers van bandbreedte gemakkelijk op kunnen
sporen?
Firewallen is erg lastig met BT. De hut dichtgooien (met allerhande
gezeur als gevolg) is een ding, een layer7-fw neerzetten zou ook
kunnen, maar misschien het handigste is shaping: geef ze gewoon de
restbandbreedte, dan hebben zij hun torrents en jij geen last van ze.

Je kunt daarvoor gebruik maken van ifb devices voor inkomende shaping.
De uitgaande shaping doe je op de kaart zelf. IFB zit in de kernel
sinds 2.6.16 IIRC.

R.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Paul van der Vlis
2010-04-02 14:28:44 UTC
Permalink
Post by richard lucassen
On Fri, 02 Apr 2010 09:30:37 +0200
Post by Paul van der Vlis
Op een school heeft men regelmatig last van leerlingen die zwaar aan
het downloaden zijn. Dankzij "iftop" kan ik dat vrij goed opsporen.
Maar als het om bittorrend downloads gaat dan is dat lastiger, omdat
er dan een heleboel connecties zijn met elk maar weinig download. Hoe
zou ik dergelijke misbruikers van bandbreedte gemakkelijk op kunnen
sporen?
Firewallen is erg lastig met BT.
Ik wou vooral "overlast opsporen". Zoiets als iftop maar dan bovenaan
het IP-nummer wat in totaal het meeste verkeer genereerd.
Post by richard lucassen
De hut dichtgooien (met allerhande
gezeur als gevolg) is een ding, een layer7-fw neerzetten zou ook
kunnen, maar misschien het handigste is shaping: geef ze gewoon de
restbandbreedte, dan hebben zij hun torrents en jij geen last van ze.
Je kunt daarvoor gebruik maken van ifb devices voor inkomende shaping.
De uitgaande shaping doe je op de kaart zelf. IFB zit in de kernel
sinds 2.6.16 IIRC.
Dat is misschien wel een mooie uiteindelijke oplossing. Maar vergt wel
studie.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Johan van Selst
2010-04-02 14:52:09 UTC
Permalink
Post by Paul van der Vlis
Ik wou vooral "overlast opsporen". Zoiets als iftop maar dan bovenaan
het IP-nummer wat in totaal het meeste verkeer genereerd.
Trafshow doet dat. Je kunt `aggregation' instellen (A) per host of
netmask en waar het interessant is gaan kijken om wat voor connecties
het dan precies gaat (Enter). Je kunt ook filters opgeven (F), zodat het
bijvoorbeeld alleen verkeer van een bepaalde range of type laat zien.


Ciao,
Johan
--
Why do we always come here - I guess we'll never know.
It's like a kind of torture to have to watch the show.
Paul van der Vlis
2010-04-08 08:40:33 UTC
Permalink
Post by Johan van Selst
Post by Paul van der Vlis
Ik wou vooral "overlast opsporen". Zoiets als iftop maar dan bovenaan
het IP-nummer wat in totaal het meeste verkeer genereerd.
Trafshow doet dat. Je kunt `aggregation' instellen (A) per host of
netmask en waar het interessant is gaan kijken om wat voor connecties
het dan precies gaat (Enter). Je kunt ook filters opgeven (F), zodat het
bijvoorbeeld alleen verkeer van een bepaalde range of type laat zien.
Dit werkt inderdaad (ik moest het pakket "netdiag" installeren onder
Debian).

Ik start het programma en kies "eth2", wacht even, en druk dan op return
bij de bovenste. Dan krijg ik het IP van de boosdoener. Zo lijkt het
althans. Die A of F heb ik niet nodig zo lijkt.

Bedankt ;-)

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
John Bokma
2010-04-02 18:30:54 UTC
Permalink
Post by Paul van der Vlis
Hallo,
Op een school heeft men regelmatig last van leerlingen die zwaar aan het
downloaden zijn. Dankzij "iftop" kan ik dat vrij goed opsporen.
Maar als het om bittorrend downloads gaat dan is dat lastiger, omdat er
dan een heleboel connecties zijn met elk maar weinig download. Hoe zou
ik dergelijke misbruikers van bandbreedte gemakkelijk op kunnen sporen?
Met vriendelijke groet,
Paul van der Vlis.
Bittorrent heeft een inkomende poort nodig, anders valt er niet veel te
sharen, en gaat het heeeeel traag. Ik moest in iedergeval een poort open
zetten op mijn router. Ik zou eerst eens kijken of daar niet iets mis is
(installeer een client, en kijk hoe snel je kan downloaden, en of je ook
upload).
--
John Bokma j3b

Hacking & Hiking in Mexico - http://johnbokma.com/
http://castleamber.com/ - Perl & Python Development
Arlé Mooldijk
2010-04-02 18:54:50 UTC
Permalink
Post by John Bokma
Post by Paul van der Vlis
Op een school heeft men regelmatig last van leerlingen die zwaar aan het
downloaden zijn. Dankzij "iftop" kan ik dat vrij goed opsporen.
Maar als het om bittorrend downloads gaat dan is dat lastiger, omdat er
dan een heleboel connecties zijn met elk maar weinig download. Hoe zou
ik dergelijke misbruikers van bandbreedte gemakkelijk op kunnen sporen?
Bittorrent heeft een inkomende poort nodig, anders valt er niet veel te
sharen, en gaat het heeeeel traag. Ik moest in iedergeval een poort open
zetten op mijn router. Ik zou eerst eens kijken of daar niet iets mis is
(installeer een client, en kijk hoe snel je kan downloaden, en of je ook
upload).
Dat hangt er volgens mij vanaf waar vandaan je download, bij besloten sites
is dat vaak wel zo. Dan moet je een bepaalde ratio hebben of een bepaalde
tijd wachten voor je kan gaan downloaden. Bij de open (publieke) sites
(zonder aanmelding) weet ik het niet zo zeker. Als men kan uploaden en daar
is geen portforward voor ingesteld (er vanuit gaande dat intern geen
publieke adressen worden gebruikt), dan staat wellicht UPnP aan... Dat wil
je natuurlijk ook niet in je zakelijke/school netwerk. Dit alles nog even
afgezien van het feit dat downloaden van auteursrechtelijk beschermd
materiaal vanaf een zakelijke aansluiting WEL illegaal is (i.t.t. vanaf
thuis).

--
Mvg,
Arlé
John Bokma
2010-04-02 19:18:04 UTC
Permalink
Post by Arlé Mooldijk
Post by John Bokma
Post by Paul van der Vlis
Op een school heeft men regelmatig last van leerlingen die zwaar aan het
downloaden zijn. Dankzij "iftop" kan ik dat vrij goed opsporen.
Maar als het om bittorrend downloads gaat dan is dat lastiger, omdat er
dan een heleboel connecties zijn met elk maar weinig download. Hoe zou
ik dergelijke misbruikers van bandbreedte gemakkelijk op kunnen sporen?
Bittorrent heeft een inkomende poort nodig, anders valt er niet veel te
sharen, en gaat het heeeeel traag. Ik moest in iedergeval een poort open
zetten op mijn router. Ik zou eerst eens kijken of daar niet iets mis is
(installeer een client, en kijk hoe snel je kan downloaden, en of je ook
upload).
Dat hangt er volgens mij vanaf waar vandaan je download, bij besloten
sites is dat vaak wel zo. Dan moet je een bepaalde ratio hebben of een
bepaalde tijd wachten voor je kan gaan downloaden. Bij de open
(publieke) sites (zonder aanmelding) weet ik het niet zo zeker.
Je kan downloaden, maar het gaat takke traag is mijn ervaring.

Persoonlijk zou ik zeggen, maak duidelijke regels, en verbind daar een
straf aan, en vind uit welke PC(s) een client draaien, en straf de
personen. Ik denk dat dat beter werkt dan blokkeren/filteren, enz. want
zo leert niemand verantwoordelijkheid. Alles mag, en zo niet, dan
filteren ze maar.
--
John Bokma j3b

Hacking & Hiking in Mexico - http://johnbokma.com/
http://castleamber.com/ - Perl & Python Development
Koos van den Hout
2010-04-08 20:59:20 UTC
Permalink
Post by Paul van der Vlis
Maar als het om bittorrend downloads gaat dan is dat lastiger, omdat er
dan een heleboel connecties zijn met elk maar weinig download. Hoe zou
ik dergelijke misbruikers van bandbreedte gemakkelijk op kunnen sporen?
Krijg je via het abuse adres wat bij de IP adressen hoort ook de
'copyright compliance' meldingen binnen in ACNS formaat?

Mijn ervaring is dat 'we kregen een melding van studio X dat film Y gedeeld
werd, en dat was jouw sessie' erg effectief is, zeker nu ze absurd snel die
meldingen doen.

Koos
--
The Virtual Bookcase, the site about books, book | Koos van den Hout
news and reviews http://www.virtualbookcase.com/ | http://idefix.net/
PGP keyid DSS/1024 0xF0D7C263 |
Paul van der Vlis
2010-04-09 14:11:19 UTC
Permalink
Post by Koos van den Hout
Post by Paul van der Vlis
Maar als het om bittorrend downloads gaat dan is dat lastiger, omdat er
dan een heleboel connecties zijn met elk maar weinig download. Hoe zou
ik dergelijke misbruikers van bandbreedte gemakkelijk op kunnen sporen?
Krijg je via het abuse adres wat bij de IP adressen hoort ook de
'copyright compliance' meldingen binnen in ACNS formaat?
Mijn ervaring is dat 'we kregen een melding van studio X dat film Y gedeeld
werd, en dat was jouw sessie' erg effectief is, zeker nu ze absurd snel die
meldingen doen.
Nooit gezien. Het abuse-adres is van Ziggo (het gaat om glas van Ziggo),
wellicht sturen ze het niet door.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Loading...