遇到 BT 恶意客户端,对方 ip 显示为我的本机地址

80 天前
 ztmzzz
今天下载番剧的时候发现,有一个恶意客户端在刷上传流量。一看 ip 是个 10.1.xx.xx 的内网地址,由于 pbh 默认信任内网地址,因此没有封禁。这个内网地址是我本机 k8s 的 vxlan.calico 地址,用 iftop 查找到对方是 58.216.63.0/24 的地址。
试着用 nodeport 暴露 bt 端口,结果显示的地址变成了 192.168.xx.xx ,也就是我的本机内网地址。因此可以断定是遇到神奇的恶意客户端了。不晓得对方是如何隐藏自身 ip 的,虽然本机直接抓包啥的都能看到,qbittorrent 却看不到。
对方的客户端为 aria2/1.33.1 和 qBittorrent 4.6.3 ,有多个 ip 在一起刷。
解决方法是在 pbh 的配置文件中,ignore-peers-from-addresses 项删除内网地址。
710 次点击
所在节点    宽带症候群
6 条回复
Trim21
80 天前
是不是流量被你本地某个转发了,然后就被识别为内网地址了?

bt 协议并没有什么办法伪装自己的 ip ,qb 只能从 tcp 连接或者 udp 包的来源读到对方的地址,如果显示为内网说明流量确实是从外网经过你的某个进程绕了一圈才到的 qb 。
ztmzzz
80 天前
@Trim21 #1 确实是这个可能,但就这个客户端的看不到,为了找这原因熬夜到现在了。我这是 k8s 上跑的 qb ,一直正常,也不知道啥毛病。
ztmzzz
80 天前
给我整不会了
Trim21
80 天前
bt 协议的连接有两种,一种是出去的,一种是进来的。如果连进来的链接是你 k8s 转发进来的,那就会显示为入口节点的 ip 。
ztmzzz
79 天前
@Trim21 也就是说 k8s 默认本机转发了一道,之前一直正常是因为对方都是 bt 客户端,互相有数据交流。现在遇到个只下载的,就显示本机的 ip 了。连 nodeport 都要 k8s 转发一次,所以会显示 192.168 的 ip 。
ztmzzz
79 天前
是我学艺不精了,k8s 要配置过才能得到真实 ip 。看到原来一切正常就想当然了。贴子已下沉。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1062482

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX