用禁止端口来禁止P2P

先下载一个防火墙软件，比如天网防火墙，安装完后启动。再安装你要限制的软件，就拿迅雷来说吧，启动迅雷后，防火墙会提示它要连联的TCP端口是3076，3077，3078，用笔记下来撒，这不用说了吧。

1.用控制面板打开本地安全策略。点“IP安全策略，在本地计算机”，在右边用右键“创建IP安全策略”，于是弹出向导。

2.策略的名字自己起，去掉“激活默认响应规则”前面的钩，下一页的验证方法（方式）里点第3个，也就是要输字符串，然后随便输一点乱78糟的进去，不要全空格，全空格貌似通不过的。Next，finish。

3. 右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。

4.进入“筛选器属性”对话框，这里有三个选项卡。

寻址：源地址选“任何 IP 地址”，目标地址选“我的 IP 地址”；

协议：协议类型选TCP，到此端口写135。

5. 确定后回到筛选器列表的对话框，可以看到已经添加了一条策略，这条策略的作用就是，把“任何IP地址”的“任何端口”（默认，可选）与本机的“135”端口的连接，全部要求字符串验证，什么字符串呢，就是第二步里你输的那一串乱78糟的东东，别人不知道你输了啥，于是这些连接将被全部切断。

6.重复以上步骤，继续添加 TCP 137、139、445、593、1025、2745、3127、6129、3389 端口和 UDP 135、139、445 端口的屏蔽策略，为它们建立相应的筛选器。点确定退出。如果以后发现还有莫名其妙的连接，亦可再进来这里添加。

7.在“新规则属性”对话框中，选择“新 IP 筛选器列表”，然后点击其左边的圆圈表示已经选中。

…… …… 余下全文

“开始">"运行”>“cmd”，打开命令提示符窗口。在命令提示符状态下键入“NETSTAT -a -n”，按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端口号及状态.

命令格式：Netstat ?－a? ?－e? ?－n? ?－o? ?－s?

－a 表示显示所有活动的TCP连接以及计算机监听的TCP和UDP端口。

－e 表示显示以太网发送和接收的字节数、数据包数等。

－n 表示只以数字形式显示所有活动的TCP连接的地址和端口号。

－o 表示显示活动的TCP连接并包括每个连接的进程ID（PID）。

－s 表示按协议显示各种连接的统计信息，包括端口号。

关闭端口

比如在Windows 2000/XP中关闭SMTP服务的25端口，可以这样做：首先打开“控制面板”，双击“管理工具”，再双击“服务”。接着在打开的服务窗口中找到并双击“Simple Mail Transfer Protocol （SMTP）”服务，单击“停止”按钮来停止该服务，然后在“启动类型”中选择“已禁用”，最后单击“确定”按钮即可。这样，关闭了SMTP服务就相当于关闭了对应的端口。

开启端口

如果要开启该端口只要先在“启动类型”选择“自动”，单击“确定”按钮，再打开该服务，在“服务状态”中单击“启动”按钮即可启用该端口，最后，单击“确定”按钮即可。

另外在网络连接属性中，选择“TCP/IP协议”属性，打开高级TCP/IP设置，在选项的那个页面打开TCP/IP筛选，在出现的设置窗口中也可以根据实现情况设置端口的打开和关闭，默认是未启用TCP/IP筛选。

…… …… 余下全文

局域网常用端口协议

…… …… 余下全文

Tags：

1881~1890 BT

6000~6009 BT

6881~6890 TCP BT（TCP SYN）

8000~8009 BT

8881~8890 BT （8887~~~蓝盾防火墙默认管理端口，请注意修改） 16881 BT

135 冲击波、Netbios Remote procedure call、高波、Kibuv蠕虫 137 UDP NetBIOS名称服务、DoS

138 NetBIOS的浏览

139 Windows文件和打印机共享、DOS

445 震荡波（Worm.Sasser）、Korgo、Windows NT / 2000 SMB（用来交换“服务器消息区块”的标准，并可用于许多方面，包括取得您的密码。）、microsoft-ds

1010 TCP Doly Trojan

1011 TCP Doly Trojan

1012 TCP Doly Trojan

1013 TCP Doly Trojan

…… …… 余下全文

P2P协议识别

技术方案

报告人：

时间：

1 Gnutella 0.4协议

1.1 端口特征识别

缺省端口：6346/6347/6348

1.2 流量特征识别

IPP2P识别方案：

gnutella tcp

检查gnutella 的get 命令

如果tcp payload的最初9个字节的内容为"GET /get/" ，或最初的13个字节为"GET /uri-res/"即为gnutella

检查gnutella 的get 命令和其他特定字段

如果tcp payload的最初17个字节的内容为"GNUTELLA CONNECT/"，或者最初的9个字节的内容为"GNUTELLA/"。 即为gnutella

如果tcp payload的最初9个字节的内容为"GET /get/" ，或最初的13个字节为"GET /uri-res/" 若ip payload长度大于tcp头部长度+30，此时如果指针自tcp payload右移8个字节，指针所指的内容中第一个字节为0x0d,第二个字节为0x0a，匹配"X-Gnutella-"，或"X-Queue:"，匹配成功则为 gnutella，（详情参看代码）

Gnutella udp

如果udp payload的最初3个字节的内容为"GND"，或者最初的9个字节的内容为"GNUTELLA/"。 即为gnutella

L7Filter识别方案：

^(gnd[\x01\x02]?.?.?\x01|gnutella connect/[012]\.[0-9]\x0d\x0a|get /uri-res/n2r\?urn:sha1:|get /.*user-agent: (gtk-gnutella|bearshare|mactella|gnucleus|gnotella|limewire|imesh)|get

…… …… 余下全文

共享上网慢?教你用路由器彻底封杀P2P （已测试成功的原创经验）

我是从房东家接出来的网线，路由器为磊科NW605+。房东家接的是1M中国电信的ADSL，已经接了4个用户。因为路由设的是默认密码，我马

上把密码改掉，呵呵房东他自己都不清楚

整个过程我花了蛮长的时间总结出来的：

刚开始网速慢的时候，我把常用的P2P软件的域名给限制了，效果还是非常好的。大家可以参考下图设置。

如果ADSL带宽比较少的话，360safe，microsoft，的域名也可以禁用掉，安装360安全卫士的人还是蛮多的，这两个域名会自动被访问！其它域名，大家发挥下想法吧。

其它路由品牌过滤域名的方式不一样，比如tp-link就是采用

(*.)这种方式，我就不一一举例说明了，操作方法雷同。

自从过滤域名后，好了一段时间，网速慢的时间又发生了，没办法我进入后台，仔细一看发现有一个用户经常访问pplive被路由给过滤了，这说明他是打开了PPLIVE软件，为了证实我过滤域名有没有效果，我自己安装了最新版的PPLIVE软件，一运行我无语了对PPLIVE一点作用都没有，最后我用IP雷达分析PPLIVE访问的域名，把这些域名抓出来，然后再过

滤，再测试还是一样没有半点效果，最后宣告方法失败！

功夫不负有心人啊，下一步访怎么做呢？

看到上图，大家是不是有点灵感了，呵呵没错，过滤域名行不通就从IP策略入手！PPLIVE没有默认的IP服务端口，7100和7101虽然调用的比较多，还有很多随机的端口，所以必须想个比较灵活的方式去限制！

打开IP访问控制界面，如下图：

因为所有的网络软件，都是通过端口来进行通讯的，比如QQ采用4000、8000，网页采用80，但是这些七里八里的P2P软件并不是采用固定的IP端口来工作的，所以在控制的时候就要把规则写得周全一些，经过上网搜索相关的资料，和使用IP雷达分析种种P2P端口的情况，发现P2P一般是采用3-4位数的UDP端口而且是随机变化的，经过试试看的心态，增加几个规则还是有效果的，为了不影响正常软件的使用，又增加了几条可允许访问的端口的规则，具体如下图；

…… …… 余下全文

P2P端口映射UPnP功能和使用详解

一、UPnP的概念：

以下是微软官方网站对UPnP的解释：

问：什么是 UPnP？

答：通用即插即用 (UPnP) 是一种用于 PC 机和智能设备（或仪器）的常见对等网络连接的体系结构，尤其是在家庭中。UPnP 以 Internet 标准和技术（例如 TCP/IP、HTTP 和 XML）为基础，使这样的设备彼此可自动连接和协同工作，从而使网络（尤其是家庭网络）对更多的人成为可能。

问：UPnP 对消费者意味着什么？

答：简单、更多选择和更新颖的体验。包含通用即插即用技术的网络产品只需实际连到网络上，即可开始正常工作。实际上，UPnP 可以和任何网络媒体技术（有线或无线）协同使用。举例来说，这包括：Category 5 以太网电缆、Wi-Fi 或 802.11B 无线网络、IEEE 1394("Firewire")、电话线网络或电源线网络。当这些设备与 PC 互连时，用户即可充分利用各种具有创新性的服务和应用程序。

以下是BC官方网站对UPnP的解释：

UPnP（Universal Plug and Play），通用即插即用，是一组协议的统称，不能简单理解为UPnP=“自动端口映射”。在BitComet下载中，UPnP包含了2层意思：

1、对于一台内网电脑，BitComet的UPnP功能可以使网关或路由器的NAT模块做自动端口映射，将BitComet监听的端口从网关或路由器映射到内网电脑上。

2、网关或路由器的网络防火墙模块开始对Internet上其他电脑开放这个端口。

我倒是觉得微软的解释过于理论化，适合写入牛津大词典；而BC官方网站的解释过于含蓄晦涩。其实对于一般的使用者来讲，简单的把UPnP理解为自动端口映射就可以了。它就是一种基于TCP/IP协议的，针对设备彼此间的通讯而制订的新的Internet协议，目的就是希望未来所有联入Internet中的设备能够不受网关阻碍的相互通信。

…… …… 余下全文