网管手册：从地址下手封杀内网迅雷下载

 带宽以及网络速度是最让企业网络管理员头疼的问题了，就目前中小企业来说P2P类软件是带宽的杀手，相比各位企业网络管理员都或多或少领教过BT或电驴等P2P软件对于网络带宽的“霸占”，当然除了这些传统下载工具外迅雷可以说是集众多P2P软件的“大成”，只要内网有人使用迅雷进行下载，那么所有机器的网络访问速度马上降到最慢。今天笔者就此话题和各位探讨下如何在企业内部网络中封杀迅雷，笔者采用的方法是从地址下手进行封杀，在实际使用过程中效果还是不错的，在这里和各位读者分享。

　　一，迅雷疯狂下载之谜：

　　迅雷之所以疯狂在于他将BT，电驴，HTTP，FTP等多种下载集于一身，现在他已经是名符其实的下载工具第一名了。他是是基于P2SP的一款下载软件，能够最大想度的增强下载速度。

　　和传统的P2P软件不同的是P2SP在资源搜集上更加灵活也更加强大，如果多个服务器上有某个相同的文件，当某个用户下载其中一个服务器上的这一文件时，迅雷会自动查找到另外的几个服务器，同时下载这一文件的不同部分，达到提速的目的。也就是说当你用迅雷下载一个文件的时候，迅雷不是直接去连接下载服务器而是先连接它的资源服务器，在资源服务器中搜索你需要的这个文件，然后开始同时下载。(如图1)

 

    
    二，从地址下手封杀内网迅雷下载：

　　由于迅雷工作的特殊性造成我们无法利用传统的封杀端口等办法来限制其下载速度。就个人经验来说我们可以通过封杀资源服务器的办法来限制其传输速度，将资源服务器的连接阻止后迅雷的连接种子数就只有一个了，从而大大降低了他的下载速度。正如上文所说迅雷有很多资源服务器，下载时也是通过连接资源服务器达到寻找众多种子的目的，所以我们可以从这个资源服务器地址下手，将其地址添加到路由器的访问控制列表ACL规则中。

　　正巧笔者搜集到了一个详尽的迅雷资源服务器地址文档，具体文档见附件——迅雷资源服务器ip.txt，我们可以针对此文档中的地址进行封杀。

　　第一步：将文档中的地址添加到本地防火墙或者外网路由器出口ACL访问控制列表中。目的IP地址填写文档中的即可，匹配动作设置为“丢弃”，协议选择TCP+UDP，这样封锁效果会更好。(如图2)

   

小提示：

　　一般来说访问控制列表ACL支持网段过滤，我们可以查看资源服务器地址段，然后针对整个网段进行过滤封杀。

　　第二步：除了通过防火墙进行过滤外我们还可以在路由器上通过设置路由表中的静态路由来丢弃相关数据包，将目的网段填写到目的LAN IP处，然后网关指向一个不存在的地址即可，这样当有符合该目的IP地址的数据通过路由器时将自动发送到这个不存在的地址，从而实现丢弃的目的。(如图3)

   

    
    第三步：将所有的迅雷资源服务器地址添加到过滤规则中后我们再在内网使用迅雷下载时就会发现速度的明显降低，之前能够达到1M/s的高速传输在封杀资源服务器IP地址后只能够达到24KB/S了。(如图4)

   

    
    不过需要提醒各位读者的是迅雷自身的资源服务器地址总是在变化，所以我们也要记得及时从网上下载最新的“迅雷资源服务器ip.txt”，要知道一旦有所遗漏我们的封锁效果就不好了。

　　迅雷可以说是企业内网带宽的“牛皮癣”，他是非常顽固不化的，我们需要采用多种方法结合的策略才能够从根本上降低其下载速度，让企业带宽可以为正常业务应用服务，让员工也可以更塌实的投入到工作中。

三，其他几个封锁迅雷的小技巧：

　　当然除了针对资源服务器IP地址进行封锁外我们还可以通过以下几个办法来降低迅雷软件的下载速度。

　　(1)DNS过滤法：

　　经过笔者分析发现迅雷下载时都会首先通过DNS来查询sandai.net这个域名下的子域名，所以我们可以通过DNS过滤将sandai.net整个泛域名过滤掉，这样迅雷下载时将会出现域名解析失败，从而无法连接到它的资源服务器。具体操作就是访问企业网络出口路由器，然后找到“访问限制”标签，在“通过URL地址封锁WEB站点”处填入sandai.net地址信息即可，之后保存设置从而阻止客户端针对sandai.net这个迅雷资源服务器域名的解析。(如图5)

   

    
    (2)端口过滤法：

　　虽然端口过滤不能彻底封杀迅雷但是还是可以有效降低其下载速度的，一般来说迅雷用到3076、5200、6200端口来通迅，3076被封将找不到更多资源，5200端口被封将无法进行雷区注册，6200端口被封会隔一段时间就会从迅雷服务器掉线，需要重新登陆。所以说我们只需要针对这三个端口进行封杀即可，具体操作可以在防火墙上完成也可以直接写入过滤规则到路由器中。