现如今有很多年轻人离开家乡在其他城市工作与生活,在他们中间有不少人还过着群居的生活,他们为了使收入和支出达到平衡,不得不选择租住便宜的公寓楼。然而不论住什么样的房子,网络对于年轻人来说是必不可少的,那么公寓的缺点就在此暴露无疑。通常情况下,公寓楼是不会给每个房间准备一条独立的宽带线路的,一般都是几家或一个楼层共用一条宽带,各家各户用交换机连接,再从一个宽带路由器连接到互联网。
众所周知,宽带运营商提供给家庭用户的带宽一般都是1.5M的,实际下载速度最大能达到192Kbps。理论上讲1.5M的带宽可以同时带动10台电脑同时浏览网页,但仅限于浏览网页。如果有人下载资源或观看在线视频、在线听音乐,那么其他电脑就基本上打不开网页了,更不用提玩网络游戏。
多人共享一条宽带线路的弊端就在于此,你不可能约束每个人都不下载资源,都不看在线视频。有的住户采用过集体协商的形式来达成统一的协议,但实际执行起来却没有好的成效,一些不自觉、没素质的用户照样我行我素,这就给其他用户带来了很大的困扰。
为此,笔者特意撰写这篇文章,告诉大家一些基本的防止局域网下载的知识和方法,让大家摆脱公寓共享网络带来的麻烦。也欢迎大家参与讨论,把你了解的新技术、新方法共享出来,让大家有个更好的选择。
软防与硬防
防局域网下载的方法有两大类,一是软件,二是硬件。软件就是采用流量控制软件监视与控制局域网内电脑的下载行为,这种方法的成功率取决于软件的完善度、执行效率和被限制者的计算机知识水平。如果对方是个电脑高手,那么软件层面的限制基本上不会起多少作用。硬件方面就是通过网络出口的路由器来控制局域网中的电脑对互联网的访问,由于它是基于硬件设备进行控制的,所以是目前最彻底和最有效的方法,想突破路由器的限制也不会像软件那么简单。
软防
首先来说软件。现今网上有很多限制下载的软件,例如P2P终结者、网络执法官、AnyView、聚生网管等。它们都可以单独控制某台电脑的行为,如阻止登录QQ、阻止访问指定网站,限制BT、HTTP下载、流量控制等。
笔者拿P2P终结者为例,展示一下控制其他电脑的过程和方法,其他软件的使用方法基本类似,大家可以举一反三。 在描述过程之前,我们有必要先了解一下这类软件的原理。我们都知道局域网中的电脑都是以客户机的形式存在的,理论上说客户机并没有控制其他电脑的行为的权限,通常只有网关、宽带路由器和代理服务器能够直接控制局域网中的电脑。所以要想使客户机具有控制他人的权限,首先要伪装成代理服务器。
相信大家都听说过ARP这个词,ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址(MAC地址)的协议。当A向B发送数据的时候,就会先去查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。
我们在配置网卡的IP地址时都有网关一项,当向互联网发送数据时,客户机是将数据直接发送给网关的,再由网关转发到互联网。那么P2P终结者要想控制其他客户机,就要伪装成这个网关,让所有客户机认为你的电脑就是网关,它们发送到互联网的数据都是先发送到你的电脑,再由你的电脑发送到真正的网关,再转发到互联网。接收数据时正好相反,网关接收互联网的数据转发到你的电脑,再由你的电脑转发到局域网的其他客户机。也就是说所有发送到互联网的数据都要经过你的电脑才能转发到互联网,所以你的电脑就可以查看和控制局域网中所有客户机的上网行为了。这种方法是基于ARP欺骗技术实现的,所以破解起来相对较容易,而且它只对同一个网段的客户机起作用,即使别的网段的客户机和你处于同一个物理网络。
知道了原理,接下来就来看一下P2P终结者的具体用法。
第一步就是安装软件,安装完成后启动软件。
在使用软件之前要先进行配置,进入软件配置界面,选择你连接网络所用的网卡,下面就会显示网卡的当前IP地址、子网掩码、MAC地址和网关地址。
然后进入应用管理界面下的控制下载,勾选启用P2P下载控制。如果不勾选此项就不能对客户机进行P2P流量限制。
再进入网络控制台界面,点击“启动网络控制服务”,输出列表里就会显示已扫描到了P2P流量信息。
这时,进入主机扫描界面,刷新一下网络,我们就能看到局域网中的所有客户机的信息,包括IP地址、上行流量、下行流量和MAC地址。
我们可以右键点击某个IP地址,在选项中设定上、下行的最大流量。
这款软件还可以控制QQ登录、禁止访问指定网站等功能,但本文的重点是防P2P下载,所以其他功能就不做详细的介绍了。
我们扫描到192.168.0.5和192.168.0.10有BT流量,所以针对这两个主机进行了流量限制。
由于这款软件是将本机伪装成网关,所有主机的数据都会通过本机来转发,所以本机的网络压力会比较大,而且只要启动了P2P终结者,不论是否限制其他主机,都会对整体网速产生影响,所以用户要谨慎使用此类软件,更不要恶意限制他人的网速,否则将受到道德上的谴责。
硬防
硬防就是利用网络出口端的网关或宽带路由器进行控制,这首先需要你有宽带路由器的管理权限,用管理员帐号登录到路由器后编辑转发规则,来对指定的主机进行限制。它的优点就是安全、高效,不会对整体网速产生严重的影响,而且只有路由器的管理员能够修改限制参数,这时P2P终结者这类软件就不起作用了。但它也有缺点,就是不灵活,参数设置比较复杂,对管理员的知识水平有一定的要求,使用不当会有断网的可能。但相对于软防来说,硬防的优势还是很大的。
硬防的原理就是通过路由器的IP地址过滤功能限制某个IP或IP段的计算机的某些端口连接到互联网。笔者拿TP-Link的TL-R402+为例为大家演示一过程及配置方法。
要使用IP地址过滤功能,首先要开启防火墙,再开启IP地址过滤功能,在缺省过滤规则中选择一项。然后进入IP地址过滤界面。这里会显示当前所有的过滤规则及状态,点击添加新条目。
局域网IP地址:我们可以在其中输入指定IP地址或一个地址段。
局域网端口:这个参数是指本机向互联网发送数据时使用的端口地址。例如QQ登录时使用本机的4000端口进行连接。
生效时间:这个参数是由四位数字组成,前两位代表小时,后两位是分钟。例0800为早上8点。
广域网IP地址:可以指定禁止连接的广域网IP地址或地址段。如QQ服务器地址202.104.128.233。
广域网端口:此参数可禁止连接指定广域网IP地址的端口。
协议:有TCP、UDP和ALL三个选项,一般选择ALL就可以了。
通过:有允许通过和禁止通过两个选项,与上面的参数配合使用。
状态:有生效和失效两个选项,可设定此条目是否生效或失效。
其中,局域网IP地址、局域网端口、广域网IP地址、广域网端口如果不填写数值则代表所有IP地址和所有端口。
们来举个例子演示一下,假如让局域网中所有主机不能使用迅雷下载资源,新条目中的参数的配置如下:
开启防火墙、开启IP地址过滤,选择“凡是不符合已设IP地址过滤的数据包,允许通过本路由器”。添加一个新条目,参数如图:
之后点击保存就可以了,条目会在IP地址过滤界面出现。
笔者收集了一些常见软件的端口号,用户可以直接用这些端口号编辑条目。
端口号列表
硬防的复杂性就在于条目的编辑,它需要用户对网络基础和端口规则有一定的了解,使用不当会造成网络的瘫痪。有些时候为了限制一个IP地址的上网行为需要编辑好几个条目,对用户的知识水平要求较高。
综述
可以说软防和硬防各有优缺点。软防不需要用户有管理权限,凡是局域网中的主机都能成为控制端,用户只要在软件界面中调整参数即可。但软防被破解的可能性也高,对整体网速的影响比硬防大,如果很多人都用此类软件,那么局域网就会异常混乱,甚至造成网络的瘫痪。
硬防的安全性显而易见,只用拥有管理权限的人才能控制其他人,所有限制规则都是在路由器上完成,破解起来要复杂的多。缺点就是对管理员的知识水品要求高,编辑条目时要格外谨慎,有一个参数出错就有可能造成大面积断网。
总而言之,软防和硬防都是逼不得已才使用的手段,能够通过协商来达成共识才是最恰当的办法。希望你在使用共享网络的同时多考虑一下别人,那么就能打造一个高效快速的网络环境了。