V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ztmzzz
V2EX  ›  宽带症候群

遇到 BT 恶意客户端,对方 ip 显示为我的本机地址

  •  
  •   ztmzzz · 111 天前 · 764 次点击
    这是一个创建于 111 天前的主题,其中的信息可能已经有所发展或是发生改变。
    今天下载番剧的时候发现,有一个恶意客户端在刷上传流量。一看 ip 是个 10.1.xx.xx 的内网地址,由于 pbh 默认信任内网地址,因此没有封禁。这个内网地址是我本机 k8s 的 vxlan.calico 地址,用 iftop 查找到对方是 58.216.63.0/24 的地址。
    试着用 nodeport 暴露 bt 端口,结果显示的地址变成了 192.168.xx.xx ,也就是我的本机内网地址。因此可以断定是遇到神奇的恶意客户端了。不晓得对方是如何隐藏自身 ip 的,虽然本机直接抓包啥的都能看到,qbittorrent 却看不到。
    对方的客户端为 aria2/1.33.1 和 qBittorrent 4.6.3 ,有多个 ip 在一起刷。
    解决方法是在 pbh 的配置文件中,ignore-peers-from-addresses 项删除内网地址。
    第 1 条附言  ·  111 天前
    绷不住了,拿 windows 测了一下没问题。我猜测是 k8s 的哪个默认配置有问题吧,因为我能看到其他用户的正确 ip ,就这个客户端的 ip 看不到,就想当然以为是有个恶意客户端了。
    6 条回复
    Trim21
        1
    Trim21  
       111 天前 via Android
    是不是流量被你本地某个转发了,然后就被识别为内网地址了?

    bt 协议并没有什么办法伪装自己的 ip ,qb 只能从 tcp 连接或者 udp 包的来源读到对方的地址,如果显示为内网说明流量确实是从外网经过你的某个进程绕了一圈才到的 qb 。
    ztmzzz
        2
    ztmzzz  
    OP
       111 天前
    @Trim21 #1 确实是这个可能,但就这个客户端的看不到,为了找这原因熬夜到现在了。我这是 k8s 上跑的 qb ,一直正常,也不知道啥毛病。
    ztmzzz
        3
    ztmzzz  
    OP
       111 天前
    给我整不会了
    Trim21
        4
    Trim21  
       111 天前 via Android   ❤️ 1
    bt 协议的连接有两种,一种是出去的,一种是进来的。如果连进来的链接是你 k8s 转发进来的,那就会显示为入口节点的 ip 。
    ztmzzz
        5
    ztmzzz  
    OP
       111 天前 via iPhone
    @Trim21 也就是说 k8s 默认本机转发了一道,之前一直正常是因为对方都是 bt 客户端,互相有数据交流。现在遇到个只下载的,就显示本机的 ip 了。连 nodeport 都要 k8s 转发一次,所以会显示 192.168 的 ip 。
    ztmzzz
        6
    ztmzzz  
    OP
       111 天前 via iPhone
    是我学艺不精了,k8s 要配置过才能得到真实 ip 。看到原来一切正常就想当然了。贴子已下沉。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2686 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 03:43 · PVG 11:43 · LAX 19:43 · JFK 22:43
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.