自从开发 PeerBanHelper 和 BTN 威胁情报网络以来,BTN 已经良好的运行了数月。是时候整理一下数据,水篇文章了。
注意:本数据仅来自于 BTN 网络所收集的数据,其数据样本由 BTN 网络参与者的下载器中添加的 Torrents 决定,可能并不具有典型代表性。
最受伪装者欢迎的客户端
客户端在握手时会传递自己的客户端名称和 PeerID。而其他客户端也非常依赖这些数据识别对方的客户端到底是什么(例如:是 qBitorrent 还是 Transmission)。由于历史上的吸血问题(例如:迅雷、QQ旋风),几乎大部分BT客户端都携带了黑名单过滤器。当对方发送自己的 PeerID 和 ClientName 后,下载器就会检查是否被封禁,并断开连接。
然而这治标不治本,在开头说过,这一切都是自发汇报的,因此十分容易修改。不过也有伪装的不太好被识破的。
在 6 月,被它人伪装次数最多的客户端是:Transmission 系列客户端,尤其是 2.93 版本共被伪装了 52,445 次。紧随其后的是 4.0.5 版本共被伪装了 21,234。
伪装成别人次数最多的客户端
在 6 月,最喜欢伪装成别人的客户端是:Aria2 系列客户端,其中,Aria2 最喜欢伪装成 -TR2770-,占比 89.43%。
遭到封禁次数最多的客户端
最不受欢迎的前 10 名 BT 客户端,它们由于吸血或者其它行为而被 PBH 的用户封禁。现在让我们颁奖!
PeerID | 封禁次数 |
🥇-XL0012- | 24,386 |
🥈-HP0001- | 13,376 |
🥉-XL0018- | 10,206 |
-GT0002- | 4,529 |
-GT0003- | 1,033 |
-SD0100- | 908 |
-XF9999- | 756 |
-UT360W- | 637 |
-DT0001- | 581 |
使用者最多的客户端
这些客户端目前在 BT 网络上十分活跃。这通常代表客户端足够好用、易用、稳定或者信誉良好。
数据不包括被封禁的客户端。
客户端 | 观测次数 |
🥇qBittorrent | 285,779 |
🥈Transmission *此数据包含伪装客户端 | 65,945 |
🥉uTorrent | 63,155 |
BitComet | 52,141 |
LibTorrent (SDK) / 匿名模式 | 20,975 |
Deluge | 15,121 |
BitTorrent | 7,760 |
BitWombat | 6,008 |
Tixati | 3,289 |
其中,各个客户端的子版本受欢迎度如下:
PeerID | 观测次数 |
🥇-qB4650- | 77,783 |
🥈-qB4640- | 53,115 |
🥉-UT360W- | 39,801 |
-TR2930- *此数据包含伪装客户端 | 27,202 |
-qB4630- | 18,817 |
-qB646A- | 18,755 |
-BC0207- | 12,932 |
-qB4520- | 12,156 |
-TR4050- | 10,356 |
吸血趋势
根据用户报告、BTN 收集信息,吸血用户逐渐从 Transmission、BitComet 的伪装,向 qBittorrent 迁移(特别是最近几个 qBittorrent 4.5.x 版本)(猜测 BitComet 和 Transmission 的屏蔽范围有所扩展,影响到了刷流)。从 Wireshark 抓包分析上看,其扩展握手包的字段和值与真实的 qBitorrent 几乎相差无几。数据也在真实的变动。(猜测和换用了正儿八经的 SDK 有关,可能是带来的副作用,但确实让识别变得困难了)
同时,dt/torrent 和 hp/torrent 的 IP 地址池的疯狂增长趋势似乎有所放缓,特别是 hp/torrent 已经连续超过 14 天没有新增 IP 地址。
自 6 月以来,恶意 Peers 的特征相比 5 月显得越发难以发现。特别是 6 月新发现的 Peers 都开始基于正儿八经的下载 SDK 开发,不再出现进度 0%(或者缓慢增长)、PEX 为 0 等显著特征。交换的片段信息也是真实的,在多个不同客户端之间保持一致,难以通过一致性判定。
本月发现的另一个新的吸血特征是,吸血客户端可能会提供较少量的上传(<=1MB/s),以绕过 BT 客户端的反吸血检测算法(以及解锁 uTP Flags 的 'd',这样用户可能无法快速发现吸血者),这一点需要特别注意。在共享多个 IP 地址同时恶意吸血时,观测到关联的所有 IP 似乎对同一用户共享上传带宽限制(即所有关联 IP 上传加起来一共 1MB/s)。
尽管如此,由于对方的目标是刷取更多的流量,因此总是需要重复下载种子,因此增量检查的手段依旧运行良好。
吸血用户分布
本月额外发现出现了部分使用公有云刷流的用户(WTF?),其行为(进度倒退,重复下载)等完全一致,但是使用来自阿里云的 IP 地址。截至目前,没有合理推断。因为按照公有云收费来说,这么做通常是亏本的,也更容易遭到屏蔽。
结束
6 月以来,由 PBH 用户主动加入组成的 BTN 网络,共计汇报封禁 83,402 次;提交了 Peers 快照共计 1,186,709 条(分为 28,928 次)。这些数据对于我们整理 IP 规则库起到了十分重要的作用。
下次见!