前言

一个朋友前段时间做种的时候，偶然发现一个很奇怪的中国 ip 的对等点，从他那里下载了数百倍于文件本身大小的量，但是仍在持续发起请求。

搜索之后发现不止他遇到了这个情况，不少人发现来自中国的 peers 下载了文件自身大小几十倍甚至上百倍的流量，起初大家以为是软件的 bug ，请求开发者尽快修复，结果经过一段时间的调查和讨论，大家才发现这是恶意行为。

起因

简单来说，为了打击类似于使用家宽做 pcdn 的行为，中国运营商开始对上行流量较大的用户进行检查，其中一个重要指标就是上传/下载比率，当上传远超下载的时候，运营商就有会电话联系用户，甚至要求线下检查。

这项政策导致在家运行 pcdn 或者 pt 玩家受到了影响，为了避免检查，他们需要提高他们的下载流量，以便降低上行/下载比率。

GitHub 用户名为@thank243的用户修改出了thank243/trafficConsume(已删库)，并发布于恩山无线论坛基于 Bittorrent 网络的流量消耗器，目前此贴拥有 108 个回复并带有“火”标志，回复中大部分人表示“感谢楼主分享，非常有用”。

此软件简单易用、跨平台，彰显了开发者优秀的技术和恶意软件制作能力，其本人介绍为“下载直接运行即可，不需要特殊设置。有 windows ，linux ，arm 及 macOS 版本。”

这就是为什么大家发现刷流量的都是中国 ip 。

Reddit 讨论： Creepy peer What is wrong with some china peers?中国 peers 出了什么问题？

123 云盘和明赋云

事情还没结束，通过对恶意 ip 的追踪，社区发现了另外一些有趣的事情：

根据 这里的总结

1. 这些运行了恶意 Bittorrent 软件的服务器同时运行了 123 云盘的业务程序，这些 IP 地址也曾有 123 云盘网站的解析。
2. 通过 ip 反向查询，发现这些疯狂刷流量的 ip 属于“明赋云”。

在原文中，作者推测恶意软件作者 thank243 与上述组织存在利益关系。本人对事件全貌不了解，此处不做原样转述。有兴趣点上面点总结链接看就好。

相关链接

恩山无线论坛的软件分享贴：基于 Bittorrent 网络的流量消耗器/楼主 thank243

github 最初误以为是 bug 的 issue: Client requests indefinitely on storage write errors #889

github 的讨论帖： qBitTorrent 用户在 1.180.24.0/23 、36.102.218.0/24 和 221.203.6.0/24 中看到来自对等点的无限请求 #891

“流量消耗器”的 123 云盘链接： https://www.123pan.com/s/PipIjv-oREKv.html

流量消耗器 github 仓库(已删除)：thank243/trafficConsume