linux下编写过滤小程序，防止迅雷等软件下载

血色牛仔

自己想深入学习一下linux，并且在linux下用C语言编写点小程序，希望大家能帮帮小弟，如果有兴趣一起学习的欢迎。

     在linux环境下用C编写一个过滤小程序，主要功能类似于ipp2p，能过滤掉迅雷、BT下载，像防火墙的过滤功能。

方案1：
   
    过滤掉迅雷等下载软件的端口，在网关处对于这些端口转发的数据包全部丢弃

方案2：

    过滤特征码，预存迅雷等特征码，抓取数据包，把数据包特征码与预存迅雷特征码对比如果一致则丢弃此数据包


遇到问题：

    1、在linux下开发的程序是否能在windows下安装？

    2、如何抓取网际层的数据包提取特征码进行对比？

    3、如何丢弃数据包？

    4、本程序安装在局域网中的一台机器上和安装在网关服务器或者路由是否不同？

小弟第一次在linux下编程，希望大家给个思路，谢谢各位了！ 如有兴趣的朋友可以来一起学习学习

QQ：642890585
MSN：itsec_jinlu@live.cn

Cyberman.Wu

1. 肯定不能的，方格格式都不一样。
2. 这个问题有点泛了，不是三言两语能说清楚的，不同的系统中有不同的方法。
3. 丢弃数据包要看你的软件跑在哪一层了，普通的抓包如libpcap只能查看，相当于在驱动中复制了一份，并不影响数据向上层协议栈进而向应用层传递。要想控制，需要结合在防火墙中（如Snort的Inline模式）或修改后做到驱动中。
4. 你安装在局域网的一个普通计算机上，如何控制别人的包？当然是安装在出口的路由器或防火墙上面。虽然以前有过所谓的P2P终结者虽然可以在一个网络上可以干扰P2P软件，但它实际上象病毒一样，不停地ARP欺骗，首先不说ARP欺骗是否一定有效，最关键的是这样干你会被人追着拿刀砍的。

MMMIX

原帖由 Cyberman.Wu 于 2009-2-25 15:04 发表
1. 肯定不能的，方格格式都不一样。

程序至少可以做到在源码级支持多个平台。

dreamice

迅雷很复杂的，你不能确定它的端口，而且很有可能你误杀

duanjigang

第一次就啃这么大的骨头
不说多平台了，在linux下搞一个出来，先

dreamice

原帖由 duanjigang 于 2009-2-25 20:37 发表
第一次就啃这么大的骨头
不说多平台了，在linux下搞一个出来，先

是啊，想拦迅雷，难度很大啊

scutan

好好看看iptables + Netfilter， 再去找点论文（如果有人愿意发表的话）
迅雷是很牛比的软件了，不是那么容易就封掉的。

dreamice

原帖由 scutan 于 2009-2-26 00:28 发表
好好看看iptables + Netfilter， 再去找点论文（如果有人愿意发表的话）
迅雷是很牛比的软件了，不是那么容易就封掉的。

呵呵，除非问问开发迅雷的人，协议的特点，否则自己分析的话，很难搞定的。
而且，即使你第一次搞定了，迅雷可能又变化了，又封不住了。

Cyberman.Wu

说实在的，迅雷很流氓的，好像带宽没办法控制，反正我这里3M的流量用eMule一般没什么问题，而只要有人用迅雷网络就卡了，因为它总是把上行搞得很大。我用了最简单的办法，就在路由器上查看，大概可以看出来的，然后封无赦，搞几次都老实了。

如果说协议的话一般变化也不会非常频繁，关键是它好像没象eMaule那样公开吧，要自己抓包分析，而且过滤到应用层之后对于路由器/防火墙的压力很大。如果是为了学习一下，深入了解网络协议并练习网络协议的逆向分析，OK；否则没必要搞这么复杂。

banggou

不过 LZ的想法还是好的，学得总是在实践中才能记得深刻