[PBH-BTN] 6月调查 - BT 网络状态 & 恶意吸血 Peers 活动

[PBH-BTN] 6月调查 - BT 网络状态 & 恶意吸血 Peers 活动

自从开发 PeerBanHelper 和 BTN 威胁情报网络以来,BTN 已经良好的运行了数月。是时候整理一下数据,水篇文章了。 注意:本数据仅来自于 BTN 网络所收集的数据,其数据样本由 BTN 网络参与者的下载器中添加的 Torrents 决定,可能并不具有典型代表性。 最受伪装者欢迎的客户

自从开发 PeerBanHelper 和 BTN 威胁情报网络以来,BTN 已经良好的运行了数月。是时候整理一下数据,水篇文章了。

注意:本数据仅来自于 BTN 网络所收集的数据,其数据样本由 BTN 网络参与者的下载器中添加的 Torrents 决定,可能并不具有典型代表性。

最受伪装者欢迎的客户端

客户端在握手时会传递自己的客户端名称和 PeerID。而其他客户端也非常依赖这些数据识别对方的客户端到底是什么(例如:是 qBitorrent 还是 Transmission)。由于历史上的吸血问题(例如:迅雷、QQ旋风),几乎大部分BT客户端都携带了黑名单过滤器。当对方发送自己的 PeerID 和 ClientName 后,下载器就会检查是否被封禁,并断开连接。

然而这治标不治本,在开头说过,这一切都是自发汇报的,因此十分容易修改。不过也有伪装的不太好被识破的。

在 6 月,被它人伪装次数最多的客户端是:Transmission 系列客户端,尤其是 2.93 版本共被伪装了 52,445 次。紧随其后的是 4.0.5 版本共被伪装了 21,234。

伪装成别人次数最多的客户端

在 6 月,最喜欢伪装成别人的客户端是:Aria2 系列客户端,其中,Aria2 最喜欢伪装成 -TR2770-,占比 89.43%。

遭到封禁次数最多的客户端

最不受欢迎的前 10 名 BT 客户端,它们由于吸血或者其它行为而被 PBH 的用户封禁。现在让我们颁奖!

PeerID封禁次数
🥇-XL0012-24,386
🥈-HP0001-13,376
🥉-XL0018-10,206
-GT0002-4,529
-GT0003-1,033
-SD0100-908
-XF9999-756
-UT360W-637
-DT0001-581

使用者最多的客户端

这些客户端目前在 BT 网络上十分活跃。这通常代表客户端足够好用、易用、稳定或者信誉良好。

数据不包括被封禁的客户端。

客户端观测次数
🥇qBittorrent285,779
🥈Transmission *此数据包含伪装客户端65,945
🥉uTorrent63,155
BitComet52,141
LibTorrent (SDK) / 匿名模式20,975
Deluge15,121
BitTorrent7,760
BitWombat6,008
Tixati3,289

其中,各个客户端的子版本受欢迎度如下:

PeerID观测次数
🥇-qB4650-77,783
🥈-qB4640-53,115
🥉-UT360W-39,801
-TR2930- *此数据包含伪装客户端27,202
-qB4630-18,817
-qB646A-18,755
-BC0207-12,932
-qB4520-12,156
-TR4050-10,356

吸血趋势

根据用户报告、BTN 收集信息,吸血用户逐渐从 Transmission、BitComet 的伪装,向 qBittorrent 迁移(特别是最近几个 qBittorrent 4.5.x 版本)(猜测 BitComet 和 Transmission 的屏蔽范围有所扩展,影响到了刷流)。从 Wireshark 抓包分析上看,其扩展握手包的字段和值与真实的 qBitorrent 几乎相差无几。数据也在真实的变动。(猜测和换用了正儿八经的 SDK 有关,可能是带来的副作用,但确实让识别变得困难了)

同时,dt/torrent 和 hp/torrent 的 IP 地址池的疯狂增长趋势似乎有所放缓,特别是 hp/torrent 已经连续超过 14 天没有新增 IP 地址。

自 6 月以来,恶意 Peers 的特征相比 5 月显得越发难以发现。特别是 6 月新发现的 Peers 都开始基于正儿八经的下载 SDK 开发,不再出现进度 0%(或者缓慢增长)、PEX 为 0 等显著特征。交换的片段信息也是真实的,在多个不同客户端之间保持一致,难以通过一致性判定。

本月发现的另一个新的吸血特征是,吸血客户端可能会提供较少量的上传(<=1MB/s),以绕过 BT 客户端的反吸血检测算法(以及解锁 uTP Flags 的 'd',这样用户可能无法快速发现吸血者),这一点需要特别注意。在共享多个 IP 地址同时恶意吸血时,观测到关联的所有 IP 似乎对同一用户共享上传带宽限制(即所有关联 IP 上传加起来一共 1MB/s)。

尽管如此,由于对方的目标是刷取更多的流量,因此总是需要重复下载种子,因此增量检查的手段依旧运行良好。

吸血用户分布

本月额外发现出现了部分使用公有云刷流的用户(WTF?),其行为(进度倒退,重复下载)等完全一致,但是使用来自阿里云的 IP 地址。截至目前,没有合理推断。因为按照公有云收费来说,这么做通常是亏本的,也更容易遭到屏蔽。

结束

6 月以来,由 PBH 用户主动加入组成的 BTN 网络,共计汇报封禁 83,402 次;提交了 Peers 快照共计 1,186,709 条(分为 28,928 次)。这些数据对于我们整理 IP 规则库起到了十分重要的作用。

下次见!

除特殊说明以外,本站原创内容采用 知识共享 署名-非商业性使用 4.0 (CC BY-NC 4.0) 许可。转载时请注明来源,以及原文链接。
Comment