Walczący Bittorrent

14

Oto interesujący problem / scenariusz, którym mogą się cieszyć niektórzy administratorzy:

Właściciel apartamentowca zapewnia swoim lokatorom bezpłatny dostęp do Internetu. Zasadniczo ma T1 przybywający do budynku, a każde mieszkanie ma wtyczkę CAT5 w ścianie. Dostęp do Internetu jest „bezpłatny” (wliczony w czynsz lub cokolwiek innego) dla najemców.

Problem polega na tym, że kilku najemców pobiera nielegalne filmy / muzykę przez bittorrent. W rezultacie MPAA i RIAA wysyłają „nastygramy” do właściciela połączenia internetowego (tj. Właściciela mieszkania) w sprawie nielegalnych pobrań.

Właściciel mieszkania zablokował listy stron z torrentami, a także kilka rozszerzeń plików na poziomie routera, ale problem nadal występuje.

Chciałbym wiedzieć, czy ktoś ma sprytne / niedrogie rozwiązanie tego problemu? QoS najwyraźniej działa tylko do pewnego momentu, ponieważ bittorrent może używać praktycznie dowolnego portu, jaki chce. Kontrola pakietów nie działa na szyfrowanych połączeniach itp.

Właściciel mieszkania powiedział, że byłby szczęśliwy, gdyby mógł po prostu zobaczyć ruch wysyłania / pobierania (tj. Potencjalnych nadużyć) poszczególnych jednostek mieszkaniowych.

Jakieś pomysły?

AKTUALIZACJA: Nie jestem zainteresowany omówieniem kwestii prawnych / prawniczych / społecznych w takim samym stopniu, jak rzeczywiste rozwiązania techniczne (cokolwiek by to nie było). Uprzejmie proszę o głosowanie nad dyskusjami TECHNICZNYMI nad prawnymi / społecznymi. Dzięki!

ODPOWIEDŹ: Wybrał poprawną odpowiedź Justina Scotta ze względu na jego sugestię użycia przełączników zarządzanych i MRTG. Chociaż byłoby lepiej, aby zablokować bittorrent lub przynajmniej sprawić, że BARDZO trudny MRTG, a zarządzany przełącznik pozwoli nam łatwo zidentyfikować przestępcę (ów).

KPWINC
źródło
Czy T1 nie jest technicznie około 1 MBps?
niXar
T1 ma w rzeczywistości 1,54 Mb / s. Budynek faktycznie ma większą rurkę niż ta ... DSL przy 3-4 Mb / s, ale dla uproszczenia powiedziałem T1 w pytaniu ... nie, żeby miało to duże znaczenie. :-)
KPWINC

Odpowiedzi:

10

Jeśli każde mieszkanie ma własny port na zarządzanym przełączniku gdzieś w budynku, zobaczenie ich natężenia ruchu powinno być całkiem proste z czymś takim jak MRTG.

Wydaje się to jednak bardziej kwestią prawną niż techniczną. IANAL, ale próbując kontrolować połączenie, właściciel zasadniczo rezygnuje z wszelkiego rodzaju statusu „wspólnego przewoźnika”, jaki mógłby mieć (jeśli w ogóle). Gdybym był w tej pozycji, każde mieszkanie uzyskałoby statyczny adres IP, aby uzyskać dostęp do Internetu. Jeśli MPAA / RIAA puka, uprzejmie skierowałbym ich do najemcy, który „jest właścicielem” danego adresu IP.

Justin Scott
źródło
Nie wierzę, że to zarządzany przełącznik. Załóżmy na razie, że zwykły głupi przełącznik. Mówię to tylko dlatego, że ma kilka budynków i jestem pewien, że nie wszystkie mają zarządzany przełącznik.
KPWINC
Zgadzam się z tobą Justin. Nie musiałby być jednak statyczny, tylko publiczny. Jestem pewien, że to IP na liście.
Daniel Lucas,
Jeśli nie możesz śledzić użycia portu na poszczególnych przełącznikach, być może będziesz mógł użyć statystyk z routera granicznego w zależności od jego typu i konfiguracji. To nie jest idealne rozwiązanie, ponieważ trzeba w jakiś sposób skorelować śledzone adresy IP z mieszkaniami. Jeśli używają NAT z serwerem DHCP i krótkimi czasami dzierżawy, wtedy twoje opcje stają się naprawdę ograniczone.
Justin Scott,
1
Ponadto, jeśli przełączniki nie są zarządzane, zalecam ich wymianę, gdy tylko będzie można przeznaczyć na to środki. Możesz kupić starsze zarządzane przełączniki 10/100 na eBayu dość tanio. Właśnie kupiliśmy ładny zarządzany 24-portowy przełącznik HP ProCurve 1U do montażu w szafie, który obsługuje SNMP za około 70 USD. Naprawdę miło jest widzieć wykorzystanie portu w czasie rzeczywistym za pośrednictwem interfejsu sieciowego.
Justin Scott,
1
Muszę się zgodzić z Justinem tutaj. Narzędzia do monitorowania ruchu są bezpłatne i sprawdzone, o ile można odczytać liczniki na port. Najtańszym rozwiązaniem będzie zdobycie tanich przełączników zarządzanych.
James F
13

Czy jest upoważniony przez swojego dostawcę usług internetowych do podnajmu T1 innym? Jeśli tak, to w rzeczywistości jest on wspólnym operatorem (jak firma telefoniczna) i nie ponosi odpowiedzialności za korzystanie z usługi. Jak tylko zacznie podejmować działania w celu zapobieżenia niektórym ruchom, przyjmuje na siebie odpowiedzialność. Przed zrobieniem czegokolwiek skontaktowałbym się z prawnikiem.

Jeśli nie jest upoważniony przez swojego dostawcę usług internetowych do podnajmu ich T1, nawet bym się nie zaangażował. „Jesteś na własną rękę”.

Daniel Lucas
źródło
Dziękuję za wgląd w to, ale poza kwestiami prawnymi, bardziej interesuje mnie rozwiązanie techniczne i „Co jest technicznie możliwe”. Gdy wiemy, jakie są WSZYSTKIE opcje, może zdecydować, którą drogą chce pójść.
KPWINC
2
Zrozumiałem KPWINC. Chyba po prostu nie chciałbym brać udziału w ograniczaniu ruchu użytkowników. Zachowaj swobodny dostęp do Internetu. Byłoby też za darmo, jak w piwie. ;)
Daniel Lucas,
Rozumiem, że nikt ich nie ogranicza. Mogą bezpłatnie kupić własne połączenie szerokopasmowe. Gdyby tak było, zawiadomienia MPAA / RIAA trafiłyby do nich zamiast właściciela budynku. To trochę tak, jakbyś przyszedł popływać w moim basenie, proszę się nie sikać ... jeśli to TWÓJ basen ... rób to, co lubisz. ;-)
KPWINC
6

Najlepszym rozwiązaniem społecznościowym, jakie widziałem, jest przekazanie listu najemcom i po 3 powiadomieniach zakończenie usługi internetowej. Większość kompleksów, w których pracowałem, ma tę politykę i działa dobrze. Po pierwszej lub drugiej literze widać znaczne zmniejszenie wykorzystania przepustowości.

W przeciwnym razie nie martwiłbym się tym. Nie będzie miał przerwanego połączenia w celu otrzymania masowej wiadomości e-mail lub list „widzieliśmy, że pobierasz”. Szanse na trafienie do sądu są bardzo niewielkie. Osobiście, gdybym miał T1 (lub coś szybszego ...), poprosiłbym o blok adresu IP i dałbym każdemu mieszkaniu swój własny publiczny adres IP, wtedy banalne jest ustalenie, kto co zrobił, i zmiana winy.

Rebbot
źródło
Zakłada się, że w pierwszej kolejności ma on zdolność prawną do dzielenia się swoim T1. Ale zgadzam się co do twoich technicznych / społecznych odpowiedzi. Aby to działało, musisz mieć przy sobie obie strony.
Joseph Kern
Joseph Kern sugeruje, że peergaudian jest usługą bramkową, podoba mi się ten pomysł - chciałbym również ograniczyć prędkość wysyłania po pierwszym przestępstwie, tak jak zrobiłby to zwykły isp. Zniechęca do zachowania
Rebbot
Jestem całkiem pewien, że ma pozwolenie na udostępnienie T1, ponieważ komunikował się z dostawcą usług internetowych na ten temat. Jest to połączenie biznesowe i jego dostawca usług internetowych wydaje się nie mieć problemu ze sposobem, w jaki korzysta z linii. Wydaje się, że głównym problemem jest ustalenie, kto (za jego NAT) korzysta z przepustowości.
KPWINC
6

Wszyscy tutaj mówili już o kwestiach legalności przy tego rodzaju konfiguracji, więc nie będę więcej bić tego martwego konia.

Jeśli potrzebujesz dobrego darmowego narzędzia do monitorowania ruchu w Internecie, możesz wypróbować IPAUDIT, ponieważ dostarczy ci całkiem dobrych informacji o wykorzystaniu ruchu przez twojego hosta. Mam post w następującym pytaniu ( IPAUDIT to oparte na systemie Linux rozwiązanie do monitorowania ruchu): /server/8267/monitor-internet-bandwidth

Można również znaleźć dobre odpowiedzi w tym pytaniu: Monitorowanie ruchu sieciowego

l0c0b0x
źródło
2
+1 za pominięcie dyskusji na temat legalności!
Mark Henderson
4

Będę musiał naprawdę bardzo negatywnie wypowiadać się na ten temat ... Próba walki z Bit Torrent w sposób techniczny doprowadzi do wielu bólów głowy przy prawie zerowej wydajności. Bit Torrent może być enkapsulowany w SSL na porcie 443, dzięki czemu nie różni się niczym od przeglądania strony HTTPS.

Jedynym rozwiązaniem jest rozmowa z ludźmi i spowolnienie lub zatrzymanie ...

Antoine Benkemoun
źródło
6
Masz na myśli: „Jedyne rozwiązanie bez odłączenia użytkownika”, które pozostaje opcją, jeśli użytkownik może zostać zidentyfikowany.
Mr. Shiny and New 安 宇
+1 Dokładnie. Zadanie staje się więc najlepszym / najłatwiejszym / najtańszym sposobem na skonfigurowanie go, aby mógł łatwo zidentyfikować windykatora. :-)
KPWINC
Masz rację, panie Shiny, ale to nie wydaje się bardzo miłym rozwiązaniem :-)
Antoine Benkemoun
2

Spojrzałbym na wykresy statystyk wykorzystania przepustowości. Ponieważ korzysta z dystrybucji przewodowej, korzystanie z liczników SNMP (pod warunkiem, że przełączniki dystrybucji są w stanie) to jeden świetny sposób na uzyskanie statystyk (przy założeniu, że dzierżawcy nie wysyłają ruchu nigdzie poza Internetem - tj. Nie peer-to-peer w sieci LAN ) na temat wykorzystania przepustowości. MRTG, kaktusy itp. Są twoim przyjacielem.

Jeśli dzierżawcy korzystają z sieci peer-to-peer, będzie musiał przeprowadzić profilowanie ruchu przy wyjściu do Internetu. Możesz to zrobić tanio, instalując system Linux iptables i niektóre reguły logowania.

Właścicielowi najlepiej chyba porozmawiać o tym z prawnikiem (choć będzie to kosztować pieniądze). Byłoby dobrym pomysłem, gdyby upewnił się, że nie będzie celem sporów sądowych.

Evan Anderson
źródło
1

Musi bardzo uważać na swoją sytuację prawną, jak wspomniano w innych postach. Porozmawiaj z prawnikiem.

Istnieje kilka technicznych sposobów na poradzenie sobie z tym. Ale obawiam się, że próba czegokolwiek tylko pogłębi go. Adwokat może przekreślić próbę kontroli technicznej w kilku kierunkach.

Nie ma dobrych uczynków bez kary.

(Lub może po prostu zainstalować peerguardian jako usługę bramy)

Joseph Kern
źródło
0

Jedynym rozsądnym sposobem zapewnienia integralności sieci jest domyślnie ograniczenie całego dostępu z wyjątkiem tych, na które zezwalasz. Wszystkie pozostałe metody, jeśli nadal nalegasz na pełną kontrolę nad siecią, polegają na nadrabianiu zaległości dzięki najnowszym największym (i najstarszym znanym) protokołom używanym do wysyłania danych od a do b i odwrotnie.

Ale jeśli interesuje Cię bezpieczeństwo pracy i dużo pracy administracyjnej, idź na całość.

BTW, nie powiedziałeś, z którego kraju pochodzisz, jurysdykcja jest zupełnie inna w tym temacie na całym świecie, ale zakładam, że USA, ponieważ mówisz o fajce T1.

Coś, co najwyraźniej działa całkiem dobrze w stanach, odpisuje z pewnym żargonem prawnym stwierdzającym, że mogą wybrać jedno z dwóch wyjaśnień:

  • Właściciel praw autorskich dał domniemane prawo do korzystania z dostępności tego dzieła
  • Otrzymana praca to nie to samo, co praca, o której mowa w twoich zarzutach

Zawsze kończ swój list przyjaznym powitaniem i opcją dalszego omówienia sprawy, podając taryfę konsultacyjną.

Martin P. Hellwig
źródło
Interesująca taktyka z listem z odpowiedzią, Martin. Gdzie słyszałeś, że to było skuteczne? Tylko ciekawi.
Daniel Lucas,
Kilka studentów prawa z Harvardu napisało do RIAA, kiedy zostali obciążeni, a następnie wszystkie zarzuty tam, gdzie zostały zrzucone, rok temu lub dwa lata temu znajdowali się na stronie typu slashdot. Uwaga na temat argumentacji, o ile dobrze pamiętam, była taka, że ​​ponieważ widzą tylko, kto pobiera co za pomocą bit torrent, jeśli również samodzielnie sprawdzają pobieranie, oznacza to, że albo udostępniają materiał chroniony prawem autorskim, a ponieważ są jego posiadaczem materiału lub aktu będącego w interesie właściciela praw autorskich pozwalają na pobranie go lub jest on fałszywy, co oznacza, że ​​nie jest chroniony prawem autorskim.
Martin P. Hellwig
0

Poprawię najlepszą odpowiedź.

Powinieneś kupić urządzenie Smoothwall Firewall (lub IPCop, MonoWall, LEAF lub pfSense), ponieważ Smoothwall używa MRTG. Smoothwall zapewni ci wszelkiego rodzaju dodatkowe funkcje.

Możesz kupić tanie urządzenie firewall z podwójną kartą sieciową za zaledwie kilkaset dolarów.

lub zrób to sam, korzystając z podwójnej płyty głównej mini-ITX, takiej jak EPIA-M700 (257 USD) lub EPIA LT lub EPIA PE.

djangofan
źródło
0

Powiedziałbym, aby ustanowić adres połączenia / rozłączenia / UDP i logowanie DHCP na routerze i dołączyć port routera # do dzienników. Chodzi tutaj o to, że list RIAA powinien zawierać datę / godzinę / ip naruszenia. Na tej podstawie możesz sprawdzić, który port routera (a więc i mieszkanie) dopuszcza się naruszenia, i przesłać list. Te dzienniki będą duże, ale ponieważ nie zawierają zawartości pakietów, nie powinny być zbyt duże. A jeśli wynajmujący ma NAT, przychodzący ruch UDP powinien być bardzo mały.

To pozwala właścicielowi udowodnić (na tyle, na ile jest to możliwe), która strona jest odpowiedzialna i odpowiednio przekazać problem. W każdym procesie wynajmujący powinien być w stanie z powodzeniem wydostać się z czegokolwiek oprócz odpowiedzi na wezwania w sprawie dzienników.

Michael Kohne
źródło