为了应对运营商考核上下行比率,恩山无线论坛用户和某云盘使用恶意软件从 Bittorrent 网络无限吸血以提高下载量

231 天前
 studyingss

前言

一个朋友前段时间做种的时候,偶然发现一个很奇怪的中国 ip 的对等点,从他那里下载了数百倍于文件本身大小的量,但是仍在持续发起请求。

搜索之后发现不止他遇到了这个情况,不少人发现来自中国的 peers 下载了文件自身大小几十倍甚至上百倍的流量,起初大家以为是软件的 bug ,请求开发者尽快修复,结果经过一段时间的调查和讨论,大家才发现这是恶意行为

起因

简单来说,为了打击类似于使用家宽做 pcdn 的行为,中国运营商开始对上行流量较大的用户进行检查,其中一个重要指标就是上传/下载比率,当上传远超下载的时候,运营商就有会电话联系用户,甚至要求线下检查。

这项政策导致在家运行 pcdn 或者 pt 玩家受到了影响,为了避免检查,他们需要提高他们的下载流量,以便降低上行/下载比率。

GitHub 用户名为@thank243的用户修改出了thank243/trafficConsume(已删库),并发布于恩山无线论坛基于 Bittorrent 网络的流量消耗器,目前此贴拥有 108 个回复并带有“火”标志,回复中大部分人表示“感谢楼主分享,非常有用”。

此软件简单易用、跨平台,彰显了开发者优秀的技术和恶意软件制作能力,其本人介绍为“下载直接运行即可,不需要特殊设置。有 windows ,linux ,arm 及 macOS 版本。”

这就是为什么大家发现刷流量的都是中国 ip 。

Reddit 讨论: Creepy peer What is wrong with some china peers?中国 peers 出了什么问题?

123 云盘和明赋云

事情还没结束,通过对恶意 ip 的追踪,社区发现了另外一些有趣的事情:

根据 这里的总结

  1. 这些运行了恶意 Bittorrent 软件的服务器同时运行了 123 云盘的业务程序,这些 IP 地址也曾有 123 云盘网站的解析。
  2. 通过 ip 反向查询,发现这些疯狂刷流量的 ip 属于“明赋云”。

在原文中,作者推测恶意软件作者 thank243 与上述组织存在利益关系。本人对事件全貌不了解,此处不做原样转述。有兴趣点上面点总结链接看就好。

相关链接

恩山无线论坛的软件分享贴:基于 Bittorrent 网络的流量消耗器/楼主 thank243

github 最初误以为是 bug 的 issue: Client requests indefinitely on storage write errors #889

github 的讨论帖: qBitTorrent 用户在 1.180.24.0/23 、36.102.218.0/24 和 221.203.6.0/24 中看到来自对等点的无限请求 #891

“流量消耗器”的 123 云盘链接: https://www.123pan.com/s/PipIjv-oREKv.html

流量消耗器 github 仓库(已删除):thank243/trafficConsume

27181 次点击
所在节点    NAS
144 条回复
NoOneNoBody
231 天前
人才辈出
kumiko
231 天前
那么,如何可以合理的刷下载呢?
basncy
231 天前
https://github.com/Simple-Tracker/qBittorrent-ClientBlocker

[Task] 此次封禁客户端: 0 个, 当前封禁客户端: 169 个.

qbittorrent enhanced 的更新赶不上吸血更新, 包括某网盘离线下载.

配合这个 qBittorrent-ClientBlocker 封禁效果比较好.
SF
231 天前
还真是有招,如果不是从 bittorrent 网络抽数据就好了
MrKrabs
231 天前
从开源镜像刷不行吗?(逃
leonshaw
231 天前
@kumiko 花点钱买 DDoS ?
xixiv5
231 天前
@kumiko 测速站如何?
Soo0
231 天前
会不会变成打击器?
yyzh
231 天前
@leonshaw 大内网 ip 搞 dd 的话会把邻居甚至 5g 的网络都给影响了
anzu
231 天前
不如去刷 CDN
deorth
231 天前
找个运营商的 cdn 刷一下不就行了
tuiL2
231 天前
@MrKrabs 开源镜像站点的带宽也要钱的啊
kome
231 天前
我挂的初音未来魔法演唱会也被吸血了, 一开始还手动 ban IP, 但是两天后察觉事情不太对, 这个种子直接不挂了, 剩下的种子都是 PT. 我手动封的几个 IP 都是 1.180.24 段, 从开始被吸血, 到种子彻底不挂, 一共被吸了 820G+. 注意到不对劲还是 IP 段, 客户端名, 下载进度太统一了, 特别是下载进度, 我自己特意盯了几分钟, 下载进度和上传数据量差别太大.
只能说, 太聪明.
magisk
231 天前
如果用户多的话 可以用来 ddos 了
datou
231 天前
@basncy qee 的关键问题是不能下 pt
d7101120120
231 天前
本来国内 BT 环境就够差了,居然还有这么恶意利用的。既然是运营商损害你们的权利,你们还是去刷运营商家的 CDN 吧,至少没有影响到第三者。
lilydjwg
231 天前
@MrKrabs #5 最近这段时间各大镜像站都在大力封禁国内 IP ,时不时影响到正常用户。
我手上有个站还发现了一大群夜猫子,每天夜里跑满带宽地胡乱下载……
lilydjwg
231 天前
@magisk #14 been there. been done that.
rabbbit
231 天前
参考这个,全部禁掉
Linux VPS 使用 ipset 快速屏蔽指定国家的 IP 访问
https://www.moerats.com/archives/584/
rabbbit
231 天前
备注:仅限国外服务器,别忘了给自己留门,要不变成赛博灯泡了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1029736

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX