前言
一个朋友前段时间做种的时候,偶然发现一个很奇怪的中国 ip 的对等点,从他那里下载了数百倍于文件本身大小的量,但是仍在持续发起请求。
搜索之后发现不止他遇到了这个情况,不少人发现来自中国的 peers 下载了文件自身大小几十倍甚至上百倍的流量,起初大家以为是软件的 bug ,请求开发者尽快修复,结果经过一段时间的调查和讨论,大家才发现这是恶意行为。
起因
简单来说,为了打击类似于使用家宽做 pcdn 的行为,中国运营商开始对上行流量较大的用户进行检查,其中一个重要指标就是上传/下载比率,当上传远超下载的时候,运营商就有会电话联系用户,甚至要求线下检查。
这项政策导致在家运行 pcdn 或者 pt 玩家受到了影响,为了避免检查,他们需要提高他们的下载流量,以便降低上行/下载比率。
GitHub 用户名为@thank243的用户修改出了thank243/trafficConsume(已删库),并发布于恩山无线论坛基于 Bittorrent 网络的流量消耗器,目前此贴拥有 108 个回复并带有“火”标志,回复中大部分人表示“感谢楼主分享,非常有用”。
此软件简单易用、跨平台,彰显了开发者优秀的技术和恶意软件制作能力,其本人介绍为“下载直接运行即可,不需要特殊设置。有 windows ,linux ,arm 及 macOS 版本。”
这就是为什么大家发现刷流量的都是中国 ip 。
Reddit 讨论:
Creepy peer
What is wrong with some china peers?中国 peers 出了什么问题?
123 云盘和明赋云
事情还没结束,通过对恶意 ip 的追踪,社区发现了另外一些有趣的事情:
根据 这里的总结

这些运行了恶意 Bittorrent 软件的服务器同时运行了 123 云盘的业务程序,这些 IP 地址也曾有 123 云盘网站的解析。
通过 ip 反向查询,发现这些疯狂刷流量的 ip 属于“明赋云”。

在原文中,作者推测恶意软件作者 thank243 与上述组织存在利益关系。本人对事件全貌不了解,此处不做原样转述。有兴趣点上面点总结链接看就好。
相关链接
恩山无线论坛的软件分享贴:基于 Bittorrent 网络的流量消耗器/楼主 thank243
github 最初误以为是 bug 的 issue:
Client requests indefinitely on storage write errors #889
github 的讨论帖:
qBitTorrent 用户在 1.180.24.0/23 、36.102.218.0/24 和 221.203.6.0/24 中看到来自对等点的无限请求 #891
“流量消耗器”的 123 云盘链接:
www.123pan.com/s/PipIjv-oREKv.html
流量消耗器 github 仓库(已删除):thank243/trafficConsume

人才辈出

那么,如何可以合理的刷下载呢?

github.com/Simple-Tracker/qBittorrent-ClientBlocker[Task] 此次封禁客户端: 0 个, 当前封禁客户端: 169 个.qbittorrent enhanced 的更新赶不上吸血更新, 包括某网盘离线下载.配合这个 qBittorrent-ClientBlocker 封禁效果比较好.

还真是有招,如果不是从 bittorrent 网络抽数据就好了

从开源镜像刷不行吗?(逃

花点钱买 DDoS ?

测速站如何?

会不会变成打击器?

大内网 ip 搞 dd 的话会把邻居甚至 5g 的网络都给影响了

不如去刷 CDN

找个运营商的 cdn 刷一下不就行了

开源镜像站点的带宽也要钱的啊

我挂的初音未来魔法演唱会也被吸血了, 一开始还手动 ban IP, 但是两天后察觉事情不太对, 这个种子直接不挂了, 剩下的种子都是 PT. 我手动封的几个 IP 都是 1.180.24 段, 从开始被吸血, 到种子彻底不挂, 一共被吸了 820G+. 注意到不对劲还是 IP 段, 客户端名, 下载进度太统一了, 特别是下载进度, 我自己特意盯了几分钟, 下载进度和上传数据量差别太大. 只能说, 太聪明.

如果用户多的话 可以用来 ddos 了

qee 的关键问题是不能下 pt

本来国内 BT 环境就够差了,居然还有这么恶意利用的。既然是运营商损害你们的权利,你们还是去刷运营商家的 CDN 吧,至少没有影响到第三者。

#5 最近这段时间各大镜像站都在大力封禁国内 IP ,时不时影响到正常用户。我手上有个站还发现了一大群夜猫子,每天夜里跑满带宽地胡乱下载……

#14 been there. been done that.

参考这个,全部禁掉Linux VPS 使用 ipset 快速屏蔽指定国家的 IP 访问 www.moerats.com/archives/584/

备注:仅限国外服务器,别忘了给自己留门,要不变成赛博灯泡了。

我说怎么更新系统镜像站老是返回 429 ,这些 xx 人的行为真是超出了想象。另外不建议正常 bt 用户使用 qbittorrent enhanced edition ,它的 readme 里这样写:You should ask a tracker operator to whitelist this client rather than asking a developer to change the Client Peer ID or User Agent.PT 圈的那股 pua 的味太冲了。

这跟 PUA 有什么关系?本来 qbittorrent enhanced edition 跟普通的 qbittorrent 就是不同的东西,别人不想伪装成普通的 qbittorrent 再正常不过了。

去刷百度这种公司的 cdn 不好吗

这句话实际上是专门向 PT 运营方说的,因为一般 BT 用户使用的 tracker 不会禁 qbee 客户端,毋宁说他们实际上更欢迎 qbee

这帮垃圾人是这样的。我原本只用 qBittorrent ,被这帮混账东西搞得半夜硬盘都响个不停。不得已装了 Enhanced Edition 。

llxhq.556655.xyz/

speedtest 那种网站应该比 bt 更简单吧

一码归一码,虽然百度坏事做了不少,但好歹也是有点贡献的,像 echarts ,不应该这种遭受无妄之灾。我觉得要刷就去刷各家的联通云盘,天翼云盘这些,即满足了上面的要求,又不会让流量跑出公网污染环境。

墨菲定律显灵了,本来没事的,因为怕被封来一波骚操作,结果真的被封了。

这是无奈之举, 因为 qBittorrent 作为 upstream 发起 Issue 要求更改, 同时用户这么用也具有被不允许的 PT ban 的风险.

运营商搞的破事,刷运营商流量去啊bt 本来环境就差,还这样糟蹋,太恶了这群人为了自己赚钱完全不考虑别人

这问题起码一个月了,挺无奈的,以后大家直接屏蔽中国 IP 也没办法

为什么不去 speedtest 找运营商的节点刷呢?

问题来了,有什么工具刷运营商的 CDN 流量吗

去刷这些东西总有可能被 ban ,刷 BT 网络总能刷到流量。整个社区就是被这么玩坏的。

这么大流量可以 ddos 运营商呀

我也不明白,咋不去找 CDN 接刷单生意呢,考虑到现在 CDN 价格战的问题,应该有厂商愿意搞。

用百度云啊,闲时下载 8 个小时就能刷 3T 了

找点大厂的游戏安装包,轮着下载就完事了,找 bt 来刷是纯恶心人

从原神客户端下载链接刷不行吗😁

从这个项目提供的功能(反吸血、自动更新 public tracker 列表)来看都是 bt 专用的,和 pt 没有任何关系,文档也声明使用 pt 时的任何行为都与上游相同。如果它在文档里的声明是真实的话,“伪装”成普通的 qbitorrent 被"tracker operator"发现是 technically impossible 的,尽管如此,它还是要教育你不能欺骗你的"tracker operator",必须请求他们的许可才能使用,pua 入脑了才感觉不到这有多么荒诞。 去看了一眼那个 issue ,请求的原因是“为了防止你这个 fork 的行为导致原版 qbitorrent 客户端被 pt 站 ban”,还是 pt 圈的 drama ,且不说 qbitorrent 的 licence 是否允许这样做,尊重上游的要求也没必要在(自己确信)行为和上游没区别的情况下不支持用户修改 UA ,这纯粹是在展示服从性。至于这种修改对普通 bt 用户的影响(more identifiable),似乎根本没人关心。

中国智慧😊

楼上问为啥没去干大厂的 cdn 的,那帮人真干了 hostloc.com/thread-1259695-1-1.html

刷大厂 CDN 至少比刷 BT 网络好……毕竟大厂 CDN 很多直接解析到运营商内网,也不会污染 BT 网络流量这里有个叫 Traffic Consumer 的小工具,要应付运营商检查可以考虑使用 lab.skk.moe/traffic-consumer

刷大厂国内 cdn 有入狱风险(大厂的钱也不是风刮来的),也有可能会封禁访问导致刷不下去

被好几个[ip].broad.gz.gd.dynamic.163data.com.cn 的用户偷袭了,发现时已经有了 1.5TB 的上传......整齐划一的*.152.184.123ip 段

无语了,这些人为了薅那么点羊毛真的是煞费苦心了。还有玩 PT 的也是本末倒置了,专注于刷数据,唉。

去刷那些手游公司的安装包呀,他们 648 赚钱厉害扛得住,一个包大几十 G ,为了正常用户也不敢随便封 ip 。

前面那个看着还能理解,后面是怎么和商业公司扯上关系的呢?

哦真的牛批还有这种软件

那么不刷一刷下载量真的容易被运营商检查吗?我跑了半年的网心云盒子了,下载量很少,目前还没事,东莞电信。

这群人有点恶心了。。。就怕到时候直接 ban 国内的 ip 了

又是一群聪明人连累所有普通用户的恶心案例。

他们这是为了自己赚黑心钱,裹挟普通用户去逼迫运营商啊🤦‍♀️

看了圈懒得再分析 ip 了,所以结论是? ==> 明赋云有一批特殊 ip ,需要刷下载量,刷完后把软件分享了出来,有一些个人用户也用这个软件刷流量?

github.com/Simple-Tracker/qBittorrent-ClientBlocker github.com/Ghost-chu/PeerBanHelper正常 BT 下载的可以用这两个去自动 ban ,支持根据客户端名称、下载进度低于上传流量来判断

我觉得问题还是在 上传/下载比例 这个检测指标。不如学流量卡,给家宽限个上传流量上限,超出限速之类的。

他们搞灰产,我还得跟着买单?

PCDN 的上传量,一般民用达不到。要是真有用户有直播之类的需要的可以整个上传套餐之类的。不然只要民用和商用网络资费有差距,这种情况就没法避免。这个上传/下载比例现在反倒让情况恶化了。。

普及一下:上网行为管理设备,简称 AC ,是专门针对这些恶意流量行为的。运营商如果想处理恶意流量行为,其实很简单,每小时、每天、每周检查一下所有家宽、丐版商宽的流量,对流量与连接数异常的线路,直接拉给 AC 进行管控,进行定期翻倍式降带宽、降连接数式限速,直到恶意用户交带宽 3 倍罚款、写保证书为止。当然罚款也可以翻倍递增。

我不知道 PCDN 会是什么上传量,但看到别人发的有运营商直接按日 100G&月 4T 上传量一刀切的情况( aHR0cHM6Ly9ob3N0bG9jLmNvbS90aHJlYWQtMTI1ODk3MC0xLTEuaHRtbA==),我觉得我只可能会跟着倒霉。我要是有若干 T 的数据需要做增量备份到别处,这不算一般民用吗?我当然可以为了合运营商的规做限速,但是凭什么?归根结底,我觉得怎么去处理商宽家宽资费差距带来的灰色利润空间这件事是运营商和相关部门的责任。我是无法理解用任何简单的指标做一刀切这种让他人为责任人付出代价的办法

治理思路永远都是连个坐先,这样矛盾就变成了底层互搏以至于随便找水军搅一下浑水就没人留意到这次重新开始城域网省域网间结算的倒车了

国内本来就是用的商宽的钱补贴的家宽,所以商宽贵家宽便宜,一些厂商就抓准了漏洞搞 PCDN ,用家宽的钱搞商宽的用途,自己偷偷摸摸搞就算了,还发出来洋洋得意,XX要搞 CDN 买商业宽带

net.ljxnet.cn/ 这个也不错

典型的劣币驱逐良币了

从刷 123 盘刷下载就行 app.123pan.com/app/pc/windows/132/123pan_2.0.6.exe

#61 若干文件跨区同步本就不是家宽该干的,家宽没 SLA ,有 QOS ,上行被切了也没法子,合约又没说明,而且保证了正常的下行速率

我先说下,我确实不是太清楚具体的条款。我只是想把文件上传到网盘备份,我需要为此买一条商宽吗?你可以看下链接里的那个帖子发的截图,人家可不是切上行速率,是“局停”,我理解是直接把我网停了

这种网站还有的,但的确很无聊啊。

#61 如果只是单点备份的话每天产生 100G 以上的数据也不太正常吧。而且只要不是太夸张一般都是先上门核查,有问题再停的。另外上传网盘的特征应该是和 PCDN 不同的,不太应该会存在误杀。

#58 本质上不是搞灰产的问题,是运营商从某个时候开始,根据跨省的流量来结算费用了。于是变成了用户多下载,就给运营商赚钱,多上传,就亏。

#68 正常用户可不会每天都在上传超 500G ,局停的一般是这种或者是名下多条同市宽带的,你看那些说局停的都不敢把月上传爆出来的

批判的人也挺无聊的,别人怎么用你也要管...管好自己就行了。

谁会专门买台路由器就是为了计自己上传了多少???

这套畸形的定价体系违背了市场规律,产生这种现象就是具有必然性。虽然制定规则的人有说不完的道理,但是回旋镖终有一种形式打回来,到时候受影响的又会是谁呢

恶意用户出来跳脚了,哈哈

我之前测试备份的时候是会有单日大量上传的情况的。关于处理方式,我觉得你说的确实是可能性更大的,我只是想说我不想哪天被日 100 月 4 这样门槛比较低的一刀切殃及 原来是这样

#74 正常用户可不用管,也不会触发阈值 #77 这种限制上传和连接数其实余量放得很大的,正常使用绝对不会超过的,很多都是家里的电视或者智能家居变成了 pcdn ,或者自己买了这种设备比如跑京东云,甜糖什么的

行为识别比一刀切更有效, 用户有持续跑满上传带宽的权利.BTW: 尽管虽然但是还有跑 Hentai@Home 这种 PCDN 的...

以前我是用这个:网络面板 net.ljxnet.cn/当时 bmw 不是有冰淇淋事件吗?我就去 bwm 中国官网找了个图片的 cdn 地址,刷了几个 TB 。

行为识别,再加 dpi 得多少钱?直接一刀切了[doge] 上传有个问题是你合同没写,老实认亏到期偷偷补条款,就是欺负没人打官司。而且停机就算误伤,关你几天还得“配合上门”,“像犯错一样写保证书”,再加还“不能保证会不会再次被流弹”,折腾一次一周等人,电话啥事也别干了p.s. 这事儿年初什么时候版里就有人讨论过了吧,为什么有莫名下载客户端

因为年初的时候讨论的是 PCDN 用户被停网,现在讨论的是 PCDN 用户为了不被停网作的恶

换个角度来说,是不是也可以做一个反向的 pcdn ,专门构建一个 p2p 网络上传给这些特殊宽带机房。pcdn 还得服务于 client request ,这样还能削峰🤣🤣🤣

运营商为什么要考核上下行比例而不是上行量就好呢,阶梯式收费呗

www.hesudu.com/t/1014159

感觉有点恶意揣测了,出来就给人扣帽子,也没有大佬出来逆向下那软件到底干嘛了。现在看到的仅仅是 stirngs 抓了几个关键字符串就在那 yy 。试着打开了那个 sukebei.xxx 的网站,发现是不可告人的按热度降序排列。难道是影响某些人的贤者时间。。。

github 都已经扒完了你说扣帽子,装傻是吧?

是真的恶心.....

反正我的应对方法是, ban 掉所有非常规 peerid 的 bt 客户端以及臭名昭著的吸血客户端 peerid. github.com/wu67/block_BT_vampire接下来可能计划写个计算逻辑, 上传速度达到一定值和一定时间后, 检查对面的文件进度, 如果没变或者变化不大直接把他 ip 给 ban 了.

#77 只要 pcdn 和 pt 用户永远不能理解公平使用原则,自己幻想合同里没写的 7x24 跑满标称宽带是允许的,那么这种一刀切就必然会发生,自然是普通用户买单。运营商其实真的不想限制你的用量,你用的多厂商付钱就多,更符合他们的利益。

首先,压根不相信什么上下传比例,高上传和高下载对运营商来说,都是超卖的不欢迎用户。所以这些刷下载的基本就是骗骗自己。我就不信这楼上这些人不用 pt ,不下盗版影视,盗版软件,如果真有这样的人批评我服,其他就不要站在道德制高点了,半斤八两。

  1. 高上传高下载在总体一直是有占比的, 运营商一直在控制这个比例来进行调控和超卖, 运营商不会拒绝将剩下的带宽冗余特别是几乎不要钱的下行提供给有需要的用户让自己的收入更高, 特别是带宽占用是因片区而异的;2. 上下比例是有各种各样的 来源 / 消息 / 文件 确定的, 且这也是最简单判断的一刀切方法;3. 运营商有合法且方便的理由拒绝用户进行 PCDN, 但并没有合法且方便的理由拒绝用户进行 BT/PT 下载及上传, 尽管很多用户使用 BT/PT 下载不合法的版权内容, 但前提是运营商有及愿意进一步的具体审计这些内容, 但犯不着;纵观历史, 限制政策一直是随着 PCDN 而非 BT/PT 而同步, BT/PT 用户的误封也有 申诉 / 保证书 解除案例, 可充分证明你说的是错的.

只要大部分用户是属于正常行为模式, 那么小部分用户属于可以容许和调控的范围. 运营商在出售带宽的时候也并没保证其可以一直跑满 (特别是无高峰期保证), 通过 QoS 等技术可以实现优先级控制, 在带宽饱和的情况下优先保证高服务质量要求的应用运作. PCDN 属于盈利性服务, 家宽是不允许用于盈利服务的, 这其中还涉及到一个备案的问题, 而 BT/PT 并不是盈利性服务, 即后者是事实上并没什么关系但被一刀切波及的.

就我印象中记得的是, 运营商基本都有粗略的行为识别, 可能是出于监管原因, 至少可以识别到:1. 传入/传出 方向;2. 服务域名/类型/端口 (HTTP/HTTPS/BT or PT/TCP/UDP, 可能还涉及到其它具体的应用);3. 发起及持续时间;4. 持续流量大小;有点类似于流量计费, 印象中, 以前是不是有这种流量计费的宽带模式?所以, PCDN 的特征是很明确的: 传出 (上行) 方向, PCDN 服务方特定域名 (在部分文件中也出现过), HTTP/HTTPS 类型, 高位端口 (可能).

政策原因 -> 运营商搞价格歧视,家用宽带价格不透明,商用贵的离谱 -> 商业公司为了节约成本鼓励用户用 PCDN -> 用户(包含部分运营商内鬼)用被补贴的家用宽带赚钱 -> 运营商亏了开始打击 PCDN -> 上有政策下有对策畸形的环境肯定有畸形的产物,“没有政治体制改革的成功 经济体制改革不可能进行到底”,多发点牌照下去允许小运营商搞三大运营商之外的小 IXP ,同时允许一些大流量的关键用户和运营商 peering ,才能让骨干网负载降低,上行问题真正解决,光靠社区自觉没用的

我装什么傻了,没有确凿证据就是扣帽子。刚才看作者开源了,看了下运行流程。没见到和 123 的关系。倒是一直拉毛片。 github.com/thank243/trafficconsume

主要问题是搞什么宽带流量结算吧。瞎折腾老百姓。

搞 PCDN 的有一说一,都是败类,拉下了中国 BT 网络最后一块遮羞布

顺带一提,thank243 的流量消耗器 github 仓库又复活了 github.com/thank243/trafficconsume web.archive.org/web/20240405142209/ github.com/thank243/trafficconsume archive.is/wip/EfiEU share.ipfs.io/#/bafybeiebxjpjkamz4exq2mh7jdrtftpjvgbveers53vo2uglhvets2ii4m

我也中招了,最近半个月,BT 专用客户端,被 UA 为 dt/torrent/v1.02 的刷了 2T 上传。刷的是一个过气动漫的特定几集。