后日谈: 明赋云, 123云盘, BitTorrent 网络和 PCDN

date
Sep 22, 2024
slug
1727012241
status
Published
tags
云计算
边缘计算
PCDN
云存储
123云盘
BitTorrent
summary
一个简单的123云盘和 BT 社区的事件回顾.
type
Post
url

简略时间线

自 4 月 4 日 BT 社区流量被中国内地特定地区的 IP 大量恶意消耗后, 社区开始大力推广类似 PeerBanHelper 这样专门为 BT 设计的异常 peer 流量拦截工具, PeerBanHelper 次日的 GitHub star 量就达到了项目历史最高峰.
PeerBanHelper 的 GitHub star 量在 4 月 5 日达到了项目历史最高峰.
PeerBanHelper 的 GitHub star 量在 4 月 5 日达到了项目历史最高峰.
早在 3 月 15 日, 社区发现这些恶意 IP 中的其中一部分来自辽宁本溪电信网段, 通过 IP 反向查找, 发现明赋云本身就提供该地区的计算资源. 而其中一个 IP 背后的服务器甚至就运行着疑似123云盘的相关的进程 123pan-slb, 而这些网段内的 IP 曾经被 123pan.com 的域名解析过, 这部分恶意 IP 的 BT 客户端 ID 又指向了一个恶意的 BT 客户端, 恶意客户端的开发者甚至将其作为 "基于 Bittorrent 网络的流量消耗器" 在恩山无线论坛宣传.
notion image
notion image
时间来到 4 月 5 日, 之前被指为123云盘恶意消耗 BT 网络流量的一个恶意 BT 客户端的开发者(从 anacrolix/torrent 分支出来的 BT 客户端 thank243/trafficConsume)指出, 单凭 BT 客户端 ID 就将该分支直接与本次的恶意流量攻击, 123云盘以及明赋云联系上过于片面, 并没有充足证据表明本次针对 BT 网络的攻击就是来自本人开发的客户端, 因为该分支客户端原本的行为只会针对某 BT 索引中最热门的前五个种子建立对等链接. 开发者还澄清了该客户端的开发动机与123云盘和明赋云没有关联.
trafficConsume 开发者的回应
trafficConsume 开发者的回应
但是, 事件在网友的添油加醋的传播下发酵, 矛头似乎开始全被指向了123云盘, 一些用户甚至开始教唆他人对123云盘业务的静态资源进行恶意流量攻击, 似乎在为 BT 社区鸣不平, 似乎想要让大家践行「正义」.
notion image
123云盘早在 2023 年就推出了 BT 离线下载功能, 通过自有的服务器运行 anacrolix/torrent 的分支客户端进行下载操作. 网盘提供的这类离线下载服务并不会为 BT 网络做出贡献, 就和迅雷一样早就被普遍认为是「吸血」行为而被大多数 BT 用户主动屏蔽. 123云盘被卷入此次事件是因为正好使用了位于 BT 网络攻击的 IP 网段中的 IP 进行离线下载业务, 上文提到的 123pan-slb 更有可能是该业务中的负载均衡(Server Load Balancer)组件. 除去事实存在的离线下载能够达成「吸血」行为, 直到今天也没有证据证明123云盘甚至明赋云就是参与这次大规模的 BT 网络恶意流量攻击的幕后黑手之一.

123云盘客户端的背后

8 月 28 日, 123云盘客户端推出了「闲置算力共享赚积分」功能.
今天才想起前文的事件于是想着看看这个客户端 “新功能”, 看看这个实际上的 PCDN 客户端以及上下传功能中建立的 IP 连接.
下面是 Windows 系统本机实测的123云盘客户端连接信息.

常规文件下载

按 “接收(字节/秒)" 降序排序.
名称
PID
地址
发送(字节/秒)
接收(字节/秒)
总数(字节/秒)
123pan-service-worker.exe
2156
1.180.25.9
52
3,825,459
3,825,511
123pan-service-worker.exe
2156
1.180.24.9
13
3,612,883
3,612,896
123pan-service-worker.exe
2156
1.180.25.134
46
3,538,982
3,539,027
123pan-service-worker.exe
2156
36.102.218.145
33
3,378,001
3,378,034
123pan-service-worker.exe
2156
1.180.24.8
52
3,177,657
3,177,709
123pan-service-worker.exe
2156
1.180.25.5
39
3,114,845
3,114,883
123pan-service-worker.exe
2156
1.180.24.166
32
3,042,343
3,042,376
123pan-service-worker.exe
2156
1.180.24.7
26
2,793,016
2,793,042
123pan-service-worker.exe
2156
1.180.25.135
39
2,555,230
2,555,269
123pan-service-worker.exe
2156
1.180.24.10
19
1,921,715
1,921,734
123pan-service-worker.exe
2156
8.141.88.129
41
25,616
25,657
123pan-service-worker.exe
2156
47.108.201.30
332
1,451
1,783
123pan-service-worker.exe
2156
101.36.169.99
2,754
1,321
4,075

常规文件上传

按 “发送(字节/秒)" 降序排序.
名称
PID
地址
发送(字节/秒)
接收(字节/秒)
总数(字节/秒)
123pan-service-worker.exe
23068
59.47.235.96
7,284,656
1,966
7,286,623
123pan-service-worker.exe
23068
potplayertv.daum.net
1,351
1,258
2,610
123pan.exe
2148
potplayertv.daum.net
760
691
1,450
123pan.exe
22720
potplayertv.daum.net
385
263
648
123pan.exe
22720
203.107.60.254
368
1,704
2,072
123pan-service-worker.exe
23068
203.107.60.254
229
2,604
2,833

「闲置算力共享赚积分」(PCDN 客户端)功能开启

按 “发送(字节/秒)" 降序排序.
名称
PID
地址
发送(字节/秒)
接收(字节/秒)
总数(字节/秒)
123pan.exe
15688
42.248.192.116
1,205,493
0
1,205,493
123pan.exe
15688
42.248.192.117
1,205,493
0
1,205,493
123pan.exe
15688
42.248.192.115
1,205,493
0
1,205,493
123pan.exe
15688
42.248.192.112
678,083
9
678,092
123pan.exe
15688
42.248.192.113
678,083
9
678,092
123pan.exe
15688
42.248.195.219
678,083
9
678,092

IP 信息

  1. 常规文件下载:
      • 1.180.25.9: AS4134, 1.180.0.0/14 , 中国电信, 内蒙古呼和浩特.
      • 36.102.218.145 : AS4134, 36.102.0.0/16, 中国电信, 内蒙古呼和浩特.
  1. 常规文件上传:
      • 59.47.235.96 : AS137688, 59.47.224.0/20, 中国电信, 辽宁本溪.
  1. PCDN 功能开启:
      • 42.248.192.116 等: AS4134, 42.248.192.0/21 , 中国电信, 辽宁锦州.
  1. 123云盘的离线下载服务器对等点 IP (来源):
      • 123.186.146.159: AS137688, 123.186.128.0/19, 中国电信, 辽宁本溪.
再去拿这些 IP 段有效部分去 BT 社区报告的恶意流量 IP 列表里检索, 不难发现这四个业务里使用的 IP 全部都在这些恶意 IP 包含的段里面. 即使本次事件里没有, 只要用 Google 搜索 BitTorrent 加上有效位就能出来记录.

后话

所以, 现在最多只能证明123云盘客户端的离线下载功能确实在从 BT 网络里面「吸血」, 不过就和上文说到的一样, 这是 BT 社区早就众所周知的事情. 大家早就习惯性屏蔽包括迅雷和百度网盘在内的客户端 ID 了, 123云盘的离线下载功能确实是「吸血」, 但不能称之为 “攻击”.
再不济, 我只能阴谋论似地假设: 除非是因为123云盘所有用户发起的的所有 BT 下载任务被 BT 网络里的所有对等点屏蔽了, 于是123云盘不得不开始篡改客户端 ID 规避这些屏蔽以继续进行从 BT 网络里「吸血」, 以至于开始模仿某个名不见经传的魔改客户端的怪异 ID 来持续「吸血」, 最后吸得 BT 社区都受不了了, 开始声讨123云盘. 真是耐人寻味.
不过最后看来, 国内人人都在用的流行在线平台早就用了 PCDN 来降低成本, 最后喊打的原因却是因为吸血似乎终于吸到自己头上了. 据我所知, 123云盘目前确实只有北方数据中心, 辽宁本溪就是他们的节点网络之一, 因为母公司明赋云 PCDN 的业务优势使得他们有了做网盘的勇气, 而不用从其他服务商租借资源来烧钱经营这类盈利周期极长, 回报率极差的业务. 中国内地的 PCDN 供应商不计其数, 明赋云只是其中的一个, 算中国北方做得较为成功的一家.
到现在, 大概是拜运营商的省间结算和对 PCDN 的严查严打所赐, 这场对 BT 网络的攻击都还没有停下来的迹象.
 

© CXPLAY 2024