來自南通、海口、泰州電信的可疑BT下載者

來自南通、海口、泰州電信的可疑BT下載者

近期在做種的時候,發現有一些下載者的行為非常可疑。這些下載者都是來自中國,用戶端名稱是有規律的亂數,如8d-b170-c4-909def-a833-等。通過觀察可得,這些用戶端名稱均是由??-????-的格式構成,且使用的字元是數字和a到f的字母,應該是十六進制數。它們的下載進度一直偽裝在0%,只下載不上傳。如此行徑,迅雷曾經做過,也是只下載不上傳,只上傳給迅雷用戶而不上傳給其他用戶,個別版本的迅雷也會將下載進度偽裝為0%,所以又被稱為「吸血雷」。

很多種子用戶很反感這種行為,對此還有人在qBittorrent用戶端的基礎上深入開發,新增了封鎖迅雷用戶端的功能。而我並不反感使用迅雷的下載者,他們能從我這邊下載到檔案,在偌大的匿名點對點網路中與我建立連結,在茫茫人海中找到我,何嘗不是一種緣分。能夠幫助到他們我也感到很開心,能夠下載到同一份檔案說明我們有相同的愛好,這是很難得的,特別是一些冷門的資源,實乃高山流水。不過可惜我們彼此看到的只有IP位址和用戶端名稱,除此之外一無所知,無法深入交流。

然而此次情況卻不太一樣,因為我無法確定這是什麼用戶端,很大概率不是迅雷,而且它的亂數用戶端名稱也讓我警惕起來,明顯來着不善。在網路上一番搜尋,暫時未見有大量的人分享類似的事情,或許是因為這個情況難以描述而導致難以通過搜尋引擎找到。而有些人則推測是最近熱門的PCDN惡意刷下載流量事件。這些人邊下載檔案邊刪除檔案,實乃暴殄天物。我還不確定當前遇到的是否是PCDN在惡意刷下載流量,但是寧可信其有,不可信其無,我決定嘗試採取行動。

我使用的種子用戶端是Transmission,曾經有用戶建議新增功能,以透過用戶端名稱來封鎖特定用戶,可惜這個建議後來被官方拒絕。這實在是太可惜了,否則像剛剛這種情況,只要使用正規表示式^[0-9a-f]{2}-[0-9a-f]{}4-$就可以實現完美封鎖。或許其他的用戶端有相關的功能,但是就算其他用戶端有相關的功能,我也不可能去用,因為不管是轉移原有的種子,還是適應新軟體的操作,都需要非常高的學習成本,得不償失。

不過好在至少Transmission提供了IP封鎖功能。在一次觀察中,我發現這些可疑的用戶端有以下的IP位址(節選,實際上這些IP位址會變化及增加)

可疑IP位址節選
124.225.94.100
124.225.94.101
124.225.94.101
218.90.201.129
218.90.201.5
58.221.31.2
58.223.126.2
61.147.217.2
61.147.234.2
61.147.235.2
61.147.237.2

當然這些IP位址會發生變化,會在附近跳動。但是更嚴重的問題是,我發現這些IP反而不怎麼會變化,過了很多天來看,依然能看到相同的IP。而且有些種子總是能看到這些IP。我大致查了一些IP歸屬地,發現基本上是來自江蘇南通電信、海南海口電信、江蘇泰州電信這幾個地方,其中尤以南通为甚。我一開始有打算對這幾個地區的所有IP進行封鎖,但後來並沒有執行,怕誤封鎖無辜下載者但是次要的,主要是目前我找不到較準確精確到城市的GeoIP資料庫。又或者有資料庫但是不是純文本格式,難以使用;又或者其IP位址範圍是CIDR格式的,不符合Transmission所使用的格式。

Transmission使用的IP黑名單格式跟其他主流的種子用戶端是相同的,即是PeerGuardian格式:

RangeName:FirstIP-LastIP
Localhost:127.0.0.1-127.0.0.1

Transmission將從網路上讀取黑名單,除了支援直鏈.txt格式之外,還支援壓縮過的.gz格式。感謝Pastebin.com提供了免費的公開粘貼版,並且支援raw直鏈,而且還可以隨時修改檔案。所以我將IP黑名單放在上面raw直鏈手動根據出現的IP去更新(已轉為使用網上熱心人士Damn☆You先生整理好的IP段和工具進行自動化更新)。

延伸閱讀:


Comments