Outils du site

Outils pour utilisateurs


Panneau latéral

P2PFR:Wiki

faq:les-fais-bloquent-ils-ou-brident-ils-le-p2p (lu 5821 fois)

Les FAIs bloquent-ils ou brident-ils le P2P ?

Le bridage est un cas particulier d'atteinte à la neutralité du net.

Pages aux thématiques proches: Censure exercée, Selon quels critères choisir son FAI ?

Selon les pays

En Algérie

En France

Par le passé, des FAI ont pu expérimenter discrètement ce qu'on appelle de la QoS (Quality of Service). On a aussi beaucoup parlé du DPI pendant un temps dans la presse.

Toutefois les choses se sont calmées, et face au mécontentement des usagers, il est peu probable qu'un FAI s'y livre à nouveau et sans se faire remarquer.

Aux USA

Comcast est l'un des FAIs américains principaux. Et la «Net Neutrality», ils s'en cognent. Voyez plus bas sur une réponse/solution préconisée sur le site What.CD.

Une solution ?

Configurez vos P2P pour activer le chiffrement

Subsiste la question, faut il «forcer» le chiffrement ? Soyons tordus. Si votre traffic en clair est intercepté, vous pourrez être identifiés comme étant utilisateur de P2P, quand bien même vous utiliseriez (parfois, et même principalement) le chiffrement.

Voir aussi: BitTorrent_Protocol_Encryption

Bloquer certains paquets (utile uniquement dans cas spécifiques)

La solution décrite ci-bas est indiquée sur le site What.CD. L'opérateur Comcast effectuerait un «Man in the middle» pour envoyer des paquets «Reset» aux 2 bouts des connexions BitTorrent, qui auraient pour effet d'interrompre la connexion.

Un point cependant à éclaircir: il n'est pas dit que la solution décrite ci-après soit utile. En effet, le chiffrement du protocole (décrit plus haut) devrait empêcher le FAI de reconnaître et manipuler les connexions BitTorrent.

Nous recollons tout de même les instructions publiées.

Sandvine, everybody's favourite “load balancer” works using a simple Man In The Middle attack to stop torrenting. Whenever the unit detects a network connection that fits the profile of bittorrent seeding traffic it injects a pair of forged TCP reset, or RST packets into the connection. When the uploader and the downloader receive the RST packets, they immediately terminate the connection without finishing the transfer. Sandvine targets both sides of the connection, so both sides have to implement the fix.

There is a way to stop this! While we all can agree that sandvine won't be going away anytime soon, we can speed it's demise by rendering it completely ineffective. All you have to do is block RSTs on your bittorrent port(s) and this tutorial tells you how.

Here are the instructions: http://wakarimasu.googlepages.com/home

Manipulation sous Linux avec iptables

My comments on the Linux instructions:

You don't want to end your iptables chain with a reject. Drop all suspicious unsolicited packets. This prevents people from randomly pinging your ports and finding out you exist. In other words, you want to stealth yourself.

Here's my set of iptables rules:

iptables -i lo -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 46576 --tcp-flags RST RST -j DROP
iptables -A INPUT -p tcp -m tcp --dport 46576 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 27008 -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type 13 -j DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -j DROP
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -p icmp -m icmp --icmp-type 14 -j DROP
iptables -A OUTPUT -p icmp -m icmp --icmp-type 0 -j DROP

Each line does (in order):
accept all packets from localhost (myself)
drop reset packets sent to my BT port (drop sandvine)
accept all other packets sent to my BT port
accept packets to my UDP tracker port
drop incoming icmp timestamp packets (your computer will respond otherwise)
accept all packets related to packets you've sent out
drop all other incoming packets
allow outgoing packets to localhost (myself)
drop outgoing icmp timestamp reply
drop outgoing icmp echo
implicitly allow all other outgoing packets (no rule for this one)

I hope that helps someone out there.

Autres pistes

  • A voir aussi si l'on peut utiliser des ports de services non bridés.
  • Utiliser des P2P chiffres et anonymisants. Peersm ?

Voir aussi

faq/les-fais-bloquent-ils-ou-brident-ils-le-p2p.txt · Dernière modification: le 18/09/2014 à 18h21 par 111110101011