Odpowiedzi:
W jaki sposób połączenie routera z zestawem komputerów?
Jeśli jest to pojedyncze łącze, które router pozwoli ci na kopię lustrzaną,
możesz uruchomić te pakiety przez filtr klasy Snort, aby wykryć podpisy BitTorrent.
Jeśli nie możesz dublować portu, możesz podłączyć 3-portowy hub, aby „dotknąć” ruchu w Snort.
Źródłowe adresy IP pasujących pakietów będą wskazywały ogólnie na użycie BitTorrenta (jeśli znasz jego uTorrent, masz dopasowanie, ale ogólnie myślę, że chcesz wiedzieć, czy na tych komputerach jest używana aplikacja bittorrent).
Będzie to kontrola pasywna - nie potrzebujesz dostępu do komputerów, a ci użytkownicy komputerów nie będą wiedzieć, że sprawdzasz.
Idąc o krok dalej, jeśli trzymasz Snorta w linii (nie na lustrzanej ścieżce), możesz także blokować (większość) działań BitTorrent.
Raz / Jeśli skonfigurujesz taki system, możesz wykorzystać go do wielu innych kontroli bezpieczeństwa
(po prostu przeczytaj trochę więcej Snorta).
Nie sądzę, że możesz to zrobić, przynajmniej nie poprzez analizę ruchu sieciowego.
Większość klientów BitTorrenta pozwala ustawić losowe porty i używać szyfrowania podczas wymiany danych.
Twoja jedyna nadzieja to wąchanie wymiany danych z modułami śledzącymi. Jeśli masz szczęście i okazuje się, że jest to zwykły niezaszyfrowany HTTP, możesz na tej podstawie założyć.
Możesz użyć dokładnego skanu nmap, aby ustalić, które porty są otwarte i nasłuchują. Jeśli host nasłuchuje na wysokich portach, mogą to być utorrent, sprawdź doktor utorrent, jakie porty zwykle wybiera, iirc one są około 40k-50k.
Przykłady:
Przeskanuj jeden host, nawet jeśli nie odpowiada na ping:
nmap -sS -P0 -p 1-65535 192.168.0.12
Przeskanuj wszystkie hosty, które odpowiadają na ping:
nmap -sS -p 1-65535 192.168.0.0/24
W powyższym przykładzie założono, że sieć znajduje się w podsieci 192.168.0.0/24. Jeśli znasz adres IP danego komputera, wprowadź polecenie do wszystkich adresów IP, co pozwoli ci zaoszczędzić dużo czasu. Więcej informacji można znaleźć na stronie podręcznika nmap .
Po znalezieniu otwartych portów myślę, że możesz sprawdzić, czy faktycznie działa na nich utorrent, wykonując:
telnet hostip openport
Zakłada to oczywiście również, że maszyny działają i mają utorrent podczas skanowania, w celu regularnych kontroli można wykonać skrypt wsadowy powyższych poleceń, a następnie wyprowadzić jego wynik do pliku.
Kiedy o tym myślę, jestem pewien, że są bardziej wdzięczne sposoby. Na przykład uruchom rflow na routerze i ntop na komputerze.
Oprócz wąchania pakietów w sieci, możesz włączyć interfejs sieciowy uTorrenta we wszystkich. Następnie przejście do strony http://192.168.1.10:8080/gui, gdzie 192.168.1.10 to adres IP komputera, podpowie, czy interfejs sieciowy działa ... Jeśli tak, to uTorrent.