前言
一个朋友前段时间做种的时候,偶然发现一个很奇怪的中国 ip 的对等点,从他那里下载了数百倍于文件本身大小的量,但是仍在持续发起请求。
搜索之后发现不止他遇到了这个情况,不少人发现来自中国的 peers 下载了文件自身大小几十倍甚至上百倍的流量,起初大家以为是软件的 bug ,请求开发者尽快修复,结果经过一段时间的调查和讨论,大家才发现这是恶意行为。
起因
简单来说,为了打击类似于使用家宽做 pcdn 的行为,中国运营商开始对上行流量较大的用户进行检查,其中一个重要指标就是上传/下载比率,当上传远超下载的时候,运营商就有会电话联系用户,甚至要求线下检查。
这项政策导致在家运行 pcdn 或者 pt 玩家受到了影响,为了避免检查,他们需要提高他们的下载流量,以便降低上行/下载比率。
GitHub 用户名为@thank243的用户修改出了thank243/trafficConsume(已删库),并发布于恩山无线论坛基于 Bittorrent 网络的流量消耗器,目前此贴拥有 108 个回复并带有“火”标志,回复中大部分人表示“感谢楼主分享,非常有用”。
此软件简单易用、跨平台,彰显了开发者优秀的技术和恶意软件制作能力,其本人介绍为“下载直接运行即可,不需要特殊设置。有 windows ,linux ,arm 及 macOS 版本。”
这就是为什么大家发现刷流量的都是中国 ip 。
Reddit 讨论: Creepy peer What is wrong with some china peers?中国 peers 出了什么问题?
123 云盘和明赋云
事情还没结束,通过对恶意 ip 的追踪,社区发现了另外一些有趣的事情:
根据 这里的总结
- 这些运行了恶意 Bittorrent 软件的服务器同时运行了 123 云盘的业务程序,这些 IP 地址也曾有 123 云盘网站的解析。
- 通过 ip 反向查询,发现这些疯狂刷流量的 ip 属于“明赋云”。
在原文中,作者推测恶意软件作者 thank243 与上述组织存在利益关系。本人对事件全貌不了解,此处不做原样转述。有兴趣点上面点总结链接看就好。
相关链接
恩山无线论坛的软件分享贴:基于 Bittorrent 网络的流量消耗器/楼主 thank243
github 最初误以为是 bug 的 issue: Client requests indefinitely on storage write errors #889
github 的讨论帖: qBitTorrent 用户在 1.180.24.0/23 、36.102.218.0/24 和 221.203.6.0/24 中看到来自对等点的无限请求 #891
“流量消耗器”的 123 云盘链接: https://www.123pan.com/s/PipIjv-oREKv.html
流量消耗器 github 仓库(已删除):thank243/trafficConsume