一个朋友前段时间做种的时候,偶然发现一个很奇怪的中国 ip 的对等点,从他那里下载了数百倍于文件本身大小的量,但是仍在持续发起请求。
搜索之后发现不止他遇到了这个情况,不少人发现来自中国的 peers 下载了文件自身大小几十倍甚至上百倍的流量,起初大家以为是软件的 bug ,请求开发者尽快修复,结果经过一段时间的调查和讨论,大家才发现这是恶意行为。
简单来说,为了打击类似于使用家宽做 pcdn 的行为,中国运营商开始对上行流量较大的用户进行检查,其中一个重要指标就是上传/下载比率,当上传远超下载的时候,运营商就有会电话联系用户,甚至要求线下检查。
这项政策导致在家运行 pcdn 或者 pt 玩家受到了影响,为了避免检查,他们需要提高他们的下载流量,以便降低上行/下载比率。
GitHub 用户名为@thank243的用户修改出了thank243/trafficConsume(已删库),并发布于恩山无线论坛基于 Bittorrent 网络的流量消耗器,目前此贴拥有 108 个回复并带有“火”标志,回复中大部分人表示“感谢楼主分享,非常有用”。
此软件简单易用、跨平台,彰显了开发者优秀的技术和恶意软件制作能力,其本人介绍为“下载直接运行即可,不需要特殊设置。有 windows ,linux ,arm 及 macOS 版本。”
这就是为什么大家发现刷流量的都是中国 ip 。
Reddit 讨论: Creepy peer What is wrong with some china peers?中国 peers 出了什么问题?
事情还没结束,通过对恶意 ip 的追踪,社区发现了另外一些有趣的事情:
根据 这里的总结
在原文中,作者推测恶意软件作者 thank243 与上述组织存在利益关系。本人对事件全貌不了解,此处不做原样转述。有兴趣点上面点总结链接看就好。
恩山无线论坛的软件分享贴:基于 Bittorrent 网络的流量消耗器/楼主 thank243
github 最初误以为是 bug 的 issue: Client requests indefinitely on storage write errors #889
github 的讨论帖: qBitTorrent 用户在 1.180.24.0/23 、36.102.218.0/24 和 221.203.6.0/24 中看到来自对等点的无限请求 #891
“流量消耗器”的 123 云盘链接: https://www.123pan.com/s/PipIjv-oREKv.html
流量消耗器 github 仓库(已删除):thank243/trafficConsume
1
NoOneNoBody 243 天前
人才辈出
|
2
kumiko 243 天前
那么,如何可以合理的刷下载呢?
|
3
basncy 243 天前
https://github.com/Simple-Tracker/qBittorrent-ClientBlocker
[Task] 此次封禁客户端: 0 个, 当前封禁客户端: 169 个. qbittorrent enhanced 的更新赶不上吸血更新, 包括某网盘离线下载. 配合这个 qBittorrent-ClientBlocker 封禁效果比较好. |
4
SF 243 天前
还真是有招,如果不是从 bittorrent 网络抽数据就好了
|
5
MrKrabs 243 天前
从开源镜像刷不行吗?(逃
|
8
Soo0 243 天前 via iPhone
会不会变成打击器?
|
10
anzu 243 天前 2
不如去刷 CDN
|
11
deorth 243 天前 via Android 1
找个运营商的 cdn 刷一下不就行了
|
13
kome 243 天前
我挂的初音未来魔法演唱会也被吸血了, 一开始还手动 ban IP, 但是两天后察觉事情不太对, 这个种子直接不挂了, 剩下的种子都是 PT. 我手动封的几个 IP 都是 1.180.24 段, 从开始被吸血, 到种子彻底不挂, 一共被吸了 820G+. 注意到不对劲还是 IP 段, 客户端名, 下载进度太统一了, 特别是下载进度, 我自己特意盯了几分钟, 下载进度和上传数据量差别太大.
只能说, 太聪明. |
14
magisk 243 天前
如果用户多的话 可以用来 ddos 了
|
16
d7101120120 243 天前 15
本来国内 BT 环境就够差了,居然还有这么恶意利用的。既然是运营商损害你们的权利,你们还是去刷运营商家的 CDN 吧,至少没有影响到第三者。
|
17
lilydjwg 243 天前 3
@MrKrabs #5 最近这段时间各大镜像站都在大力封禁国内 IP ,时不时影响到正常用户。
我手上有个站还发现了一大群夜猫子,每天夜里跑满带宽地胡乱下载…… |
19
rabbbit 243 天前
|
20
rabbbit 243 天前
备注:仅限国外服务器,别忘了给自己留门,要不变成赛博灯泡了。
|
21
Jirajine 243 天前
我说怎么更新系统镜像站老是返回 429 ,这些 xx 人的行为真是超出了想象。
另外不建议正常 bt 用户使用 qbittorrent enhanced edition ,它的 readme 里这样写: You should ask a tracker operator to whitelist this client rather than asking a developer to change the Client Peer ID or User Agent. PT 圈的那股 pua 的味太冲了。 |
22
zhengxinhn 243 天前 2
@Jirajine 这跟 PUA 有什么关系?本来 qbittorrent enhanced edition 跟普通的 qbittorrent 就是不同的东西,别人不想伪装成普通的 qbittorrent 再正常不过了。
|
23
cwxiaos 243 天前 via iPhone 3
去刷百度这种公司的 cdn 不好吗
|
25
HojiOShi 243 天前
这帮垃圾人是这样的。我原本只用 qBittorrent ,被这帮混账东西搞得半夜硬盘都响个不停。不得已装了 Enhanced Edition 。
|
26
leloext 243 天前 2
|
28
coolcoffee 243 天前 8
@cwxiaos 一码归一码,虽然百度坏事做了不少,但好歹也是有点贡献的,像 echarts ,不应该这种遭受无妄之灾。
我觉得要刷就去刷各家的联通云盘,天翼云盘这些,即满足了上面的要求,又不会让流量跑出公网污染环境。 |
29
testonly 243 天前 1
墨菲定律显灵了,本来没事的,因为怕被封来一波骚操作,结果真的被封了。
|
30
lslqtz 243 天前
@Jirajine 这是无奈之举, 因为 qBittorrent 作为 upstream 发起 Issue 要求更改, 同时用户这么用也具有被不允许的 PT ban 的风险.
|
31
VT2 243 天前 via Android
运营商搞的破事,刷运营商流量去啊
bt 本来环境就差,还这样糟蹋,太恶了 这群人为了自己赚钱完全不考虑别人 |
32
dynos01 243 天前
这问题起码一个月了,挺无奈的,以后大家直接屏蔽中国 IP 也没办法
|
33
wdlth 243 天前
为什么不去 speedtest 找运营商的节点刷呢?
|
34
w568w 243 天前
问题来了,有什么工具刷运营商的 CDN 流量吗
|
36
7VO54YYGvw3LOF9U 243 天前 via iPhone
这么大流量可以 ddos 运营商呀
|
37
jim9606 243 天前
我也不明白,咋不去找 CDN 接刷单生意呢,考虑到现在 CDN 价格战的问题,应该有厂商愿意搞。
|
38
ontry 243 天前
用百度云啊,闲时下载 8 个小时就能刷 3T 了
|
39
ztmzzz 243 天前 via iPhone
找点大厂的游戏安装包,轮着下载就完事了,找 bt 来刷是纯恶心人
|
40
shawwhonn 243 天前 via Android 13
从原神客户端下载链接刷不行吗😁
|
41
Jirajine 243 天前
@zhengxinhn
@czfy 从这个项目提供的功能(反吸血、自动更新 public tracker 列表)来看都是 bt 专用的,和 pt 没有任何关系,文档也声明使用 pt 时的任何行为都与上游相同。如果它在文档里的声明是真实的话,“伪装”成普通的 qbitorrent 被"tracker operator"发现是 technically impossible 的,尽管如此,它还是要教育你不能欺骗你的"tracker operator",必须请求他们的许可才能使用,pua 入脑了才感觉不到这有多么荒诞。 @lslqtz 去看了一眼那个 issue ,请求的原因是“为了防止你这个 fork 的行为导致原版 qbitorrent 客户端被 pt 站 ban”,还是 pt 圈的 drama ,且不说 qbitorrent 的 licence 是否允许这样做,尊重上游的要求也没必要在(自己确信)行为和上游没区别的情况下不支持用户修改 UA ,这纯粹是在展示服从性。 至于这种修改对普通 bt 用户的影响(more identifiable),似乎根本没人关心。 |
42
techstay 243 天前
中国智慧😊
|
43
JensenQian 242 天前 2
楼上问为啥没去干大厂的 cdn 的,那帮人真干了
https://hostloc.com/thread-1259695-1-1.html |
44
EternityTheorem 242 天前
@JensenQian 刷大厂 CDN 至少比刷 BT 网络好……毕竟大厂 CDN 很多直接解析到运营商内网,也不会污染 BT 网络流量
这里有个叫 Traffic Consumer 的小工具,要应付运营商检查可以考虑使用 https://lab.skk.moe/traffic-consumer |
45
mxT52CRuqR6o5 242 天前 via Android
@EternityTheorem 刷大厂国内 cdn 有入狱风险(大厂的钱也不是风刮来的),也有可能会封禁访问导致刷不下去
|
46
showerlee 242 天前
被好几个[ip].broad.gz.gd.dynamic.163data.com.cn 的用户偷袭了,发现时已经有了 1.5TB 的上传......整齐划一的*.152.184.123ip 段
|
47
hafuhafu 242 天前 1
无语了,这些人为了薅那么点羊毛真的是煞费苦心了。还有玩 PT 的也是本末倒置了,专注于刷数据,唉。
|
48
expy 242 天前 14
去刷那些手游公司的安装包呀,他们 648 赚钱厉害扛得住,一个包大几十 G ,为了正常用户也不敢随便封 ip 。
|
49
Greendays 242 天前
前面那个看着还能理解,后面是怎么和商业公司扯上关系的呢?
|
50
icedx 242 天前
哦真的牛批还有这种软件
|
51
Endeavor 242 天前
那么不刷一刷下载量真的容易被运营商检查吗?我跑了半年的网心云盒子了,下载量很少,目前还没事,东莞电信。
|
52
zeusho871 242 天前 2
这群人有点恶心了。。。就怕到时候直接 ban 国内的 ip 了
|
53
sakisaki 242 天前 via Android 1
又是一群聪明人连累所有普通用户的恶心案例。
|
54
xiaozecn 242 天前 4
他们这是为了自己赚黑心钱,裹挟普通用户去逼迫运营商啊🤦♀️
|
55
zzzzzzzzsafdasd 242 天前
看了圈懒得再分析 ip 了,所以结论是? ==> 明赋云有一批特殊 ip ,需要刷下载量,刷完后把软件分享了出来,有一些个人用户也用这个软件刷流量?
|
56
finalwave 242 天前
https://github.com/Simple-Tracker/qBittorrent-ClientBlocker
https://github.com/Ghost-chu/PeerBanHelper 正常 BT 下载的可以用这两个去自动 ban ,支持根据客户端名称、下载进度低于上传流量来判断 |
57
pursuer 242 天前
我觉得问题还是在 上传/下载比例 这个检测指标。不如学流量卡,给家宽限个上传流量上限,超出限速之类的。
|
59
pursuer 242 天前 1
@kyoutarou PCDN 的上传量,一般民用达不到。要是真有用户有直播之类的需要的可以整个上传套餐之类的。不然只要民用和商用网络资费有差距,这种情况就没法避免。这个上传/下载比例现在反倒让情况恶化了。。
|
60
laminux29 242 天前
普及一下:上网行为管理设备,简称 AC ,是专门针对这些恶意流量行为的。
运营商如果想处理恶意流量行为,其实很简单,每小时、每天、每周检查一下所有家宽、丐版商宽的流量,对流量与连接数异常的线路,直接拉给 AC 进行管控,进行定期翻倍式降带宽、降连接数式限速,直到恶意用户交带宽 3 倍罚款、写保证书为止。当然罚款也可以翻倍递增。 |
61
kyoutarou 242 天前 3
@pursuer 我不知道 PCDN 会是什么上传量,但看到别人发的有运营商直接按日 100G&月 4T 上传量一刀切的情况( aHR0cHM6Ly9ob3N0bG9jLmNvbS90aHJlYWQtMTI1ODk3MC0xLTEuaHRtbA==),我觉得我只可能会跟着倒霉。我要是有若干 T 的数据需要做增量备份到别处,这不算一般民用吗?我当然可以为了合运营商的规做限速,但是凭什么?归根结底,我觉得怎么去处理商宽家宽资费差距带来的灰色利润空间这件事是运营商和相关部门的责任。我是无法理解用任何简单的指标做一刀切这种让他人为责任人付出代价的办法
|
62
cezann 242 天前 17
治理思路永远都是连个坐先,这样矛盾就变成了底层互搏
以至于随便找水军搅一下浑水就没人留意到这次重新开始城域网省域网间结算的倒车了 |
63
genesislive 242 天前
> 国内本来就是用的商宽的钱补贴的家宽,所以商宽贵家宽便宜,一些厂商就抓准了漏洞搞 PCDN ,用家宽的钱搞商宽的用途,自己偷偷摸摸搞就算了,还发出来洋洋得意,XX
要搞 CDN 买商业宽带 |
64
yuban10703 242 天前
@leloext http://net.ljxnet.cn/ 这个也不错
|
65
MoeWang 242 天前 via iPhone
典型的劣币驱逐良币了
|
66
liulihaocai 242 天前 via Android 2
|
67
ExplodingFKL 242 天前
@kyoutarou #61 若干文件跨区同步本就不是家宽该干的,家宽没 SLA ,有 QOS ,上行被切了也没法子,合约又没说明,而且保证了正常的下行速率
|
68
kyoutarou 242 天前
@ExplodingFKL 我先说下,我确实不是太清楚具体的条款。我只是想把文件上传到网盘备份,我需要为此买一条商宽吗?
你可以看下链接里的那个帖子发的截图,人家可不是切上行速率,是“局停”,我理解是直接把我网停了 |
69
leloext 242 天前
@yuban10703 这种网站还有的,但的确很无聊啊。
|
70
EdwardWong 242 天前
@kyoutarou #61 如果只是单点备份的话每天产生 100G 以上的数据也不太正常吧。而且只要不是太夸张一般都是先上门核查,有问题再停的。另外上传网盘的特征应该是和 PCDN 不同的,不太应该会存在误杀。
|
72
ExplodingFKL 242 天前
@kyoutarou #68 正常用户可不会每天都在上传超 500G ,局停的一般是这种或者是名下多条同市宽带的,你看那些说局停的都不敢把月上传爆出来的
|
73
littlecap 242 天前 via iPhone 1
批判的人也挺无聊的,别人怎么用你也要管...管好自己就行了。
|
74
yyzh 242 天前 via Android
@ExplodingFKL 谁会专门买台路由器就是为了计自己上传了多少???
|
75
heiher 242 天前 1
这套畸形的定价体系违背了市场规律,产生这种现象就是具有必然性。虽然制定规则的人有说不完的道理,但是回旋镖终有一种形式打回来,到时候受影响的又会是谁呢
|
77
kyoutarou 242 天前
@EdwardWong 我之前测试备份的时候是会有单日大量上传的情况的。关于处理方式,我觉得你说的确实是可能性更大的,我只是想说我不想哪天被日 100 月 4 这样门槛比较低的一刀切殃及
@cskeleton @ExplodingFKL 原来是这样 |
78
ExplodingFKL 242 天前
|
79
lslqtz 242 天前
行为识别比一刀切更有效, 用户有持续跑满上传带宽的权利.
BTW: 尽管虽然但是还有跑 Hentai@Home 这种 PCDN 的... |
80
hi543 242 天前
|
81
cr3bit 242 天前 via Android
@lslqtz 行为识别,再加 dpi 得多少钱?直接一刀切了[doge]
@ExplodingFKL 上传有个问题是你合同没写,老实认亏到期偷偷补条款,就是欺负没人打官司。而且停机就算误伤,关你几天还得“配合上门”,“像犯错一样写保证书”,再加还“不能保证会不会再次被流弹”,折腾一次一周等人,电话啥事也别干了 p.s. 这事儿年初什么时候版里就有人讨论过了吧,为什么有莫名下载客户端 |
83
GrayXu 242 天前
换个角度来说,是不是也可以做一个反向的 pcdn ,专门构建一个 p2p 网络上传给这些特殊宽带机房。pcdn 还得服务于 client request ,这样还能削峰🤣🤣🤣
|
84
Baoni 242 天前
运营商为什么要考核上下行比例而不是上行量就好呢,阶梯式收费呗
|
85
cr3bit 242 天前
|
86
Ipsum 242 天前
感觉有点恶意揣测了,出来就给人扣帽子,也没有大佬出来逆向下那软件到底干嘛了。现在看到的仅仅是 stirngs 抓了几个关键字符串就在那 yy 。试着打开了那个 sukebei.xxx 的网站,发现是不可告人的按热度降序排列。难道是影响某些人的贤者时间。。。
|
88
MFWT 242 天前
是真的恶心.....
|
89
wu67 242 天前
反正我的应对方法是, ban 掉所有非常规 peerid 的 bt 客户端以及臭名昭著的吸血客户端 peerid.
https://github.com/wu67/block_BT_vampire 接下来可能计划写个计算逻辑, 上传速度达到一定值和一定时间后, 检查对面的文件进度, 如果没变或者变化不大直接把他 ip 给 ban 了. |
90
Jirajine 242 天前
@kyoutarou #77 只要 pcdn 和 pt 用户永远不能理解公平使用原则,自己幻想合同里没写的 7x24 跑满标称宽带是允许的,那么这种一刀切就必然会发生,自然是普通用户买单。
运营商其实真的不想限制你的用量,你用的多厂商付钱就多,更符合他们的利益。 |
91
littlecap 242 天前 via iPhone
@jhdxr 首先,压根不相信什么上下传比例,高上传和高下载对运营商来说,都是超卖的不欢迎用户。所以这些刷下载的基本就是骗骗自己。
我就不信这楼上这些人不用 pt ,不下盗版影视,盗版软件,如果真有这样的人批评我服,其他就不要站在道德制高点了,半斤八两。 |
92
lslqtz 242 天前
@littlecap
1. 高上传高下载在总体一直是有占比的, 运营商一直在控制这个比例来进行调控和超卖, 运营商不会拒绝将剩下的带宽冗余特别是几乎不要钱的下行提供给有需要的用户让自己的收入更高, 特别是带宽占用是因片区而异的; 2. 上下比例是有各种各样的 来源 / 消息 / 文件 确定的, 且这也是最简单判断的一刀切方法; 3. 运营商有合法且方便的理由拒绝用户进行 PCDN, 但并没有合法且方便的理由拒绝用户进行 BT/PT 下载及上传, 尽管很多用户使用 BT/PT 下载不合法的版权内容, 但前提是运营商有及愿意进一步的具体审计这些内容, 但犯不着; 纵观历史, 限制政策一直是随着 PCDN 而非 BT/PT 而同步, BT/PT 用户的误封也有 申诉 / 保证书 解除案例, 可充分证明你说的是错的. |
93
lslqtz 242 天前
@Jirajine 只要大部分用户是属于正常行为模式, 那么小部分用户属于可以容许和调控的范围. 运营商在出售带宽的时候也并没保证其可以一直跑满 (特别是无高峰期保证), 通过 QoS 等技术可以实现优先级控制, 在带宽饱和的情况下优先保证高服务质量要求的应用运作. PCDN 属于盈利性服务, 家宽是不允许用于盈利服务的, 这其中还涉及到一个备案的问题, 而 BT/PT 并不是盈利性服务, 即后者是事实上并没什么关系但被一刀切波及的.
|
94
lslqtz 242 天前
@cr3bit 就我印象中记得的是, 运营商基本都有粗略的行为识别, 可能是出于监管原因, 至少可以识别到:
1. 传入/传出 方向; 2. 服务域名/类型/端口 (HTTP/HTTPS/BT or PT/TCP/UDP, 可能还涉及到其它具体的应用); 3. 发起及持续时间; 4. 持续流量大小; 有点类似于流量计费, 印象中, 以前是不是有这种流量计费的宽带模式? 所以, PCDN 的特征是很明确的: 传出 (上行) 方向, PCDN 服务方特定域名 (在部分文件中也出现过), HTTP/HTTPS 类型, 高位端口 (可能). |
95
chesha1 242 天前 3
政策原因 -> 运营商搞价格歧视,家用宽带价格不透明,商用贵的离谱 -> 商业公司为了节约成本鼓励用户用 PCDN -> 用户(包含部分运营商内鬼)用被补贴的家用宽带赚钱 -> 运营商亏了开始打击 PCDN -> 上有政策下有对策
畸形的环境肯定有畸形的产物,“没有政治体制改革的成功 经济体制改革不可能进行到底”,多发点牌照下去允许小运营商搞三大运营商之外的小 IXP ,同时允许一些大流量的关键用户和运营商 peering ,才能让骨干网负载降低,上行问题真正解决,光靠社区自觉没用的 |
96
Ipsum 242 天前
@czfy 我装什么傻了,没有确凿证据就是扣帽子。刚才看作者开源了,看了下运行流程。没见到和 123 的关系。倒是一直拉毛片。https://github.com/thank243/trafficconsume
|
97
109653VIP 242 天前
主要问题是搞什么宽带流量结算吧。瞎折腾老百姓。
|
98
Greatshu 242 天前 6
搞 PCDN 的有一说一,都是败类,拉下了中国 BT 网络最后一块遮羞布
|
99
Greatshu 242 天前
|
100
ppqqows 242 天前
我也中招了,最近半个月,BT 专用客户端,被 UA 为 dt/torrent/v1.02 的刷了 2T 上传。刷的是一个过气动漫的特定几集。
|