这是一个创建于 431 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天下载番剧的时候发现,有一个恶意客户端在刷上传流量。一看 ip 是个 10.1.xx.xx 的内网地址,由于 pbh 默认信任内网地址,因此没有封禁。这个内网地址是我本机 k8s 的 vxlan.calico 地址,用 iftop 查找到对方是 58.216.63.0/24 的地址。
试着用 nodeport 暴露 bt 端口,结果显示的地址变成了 192.168.xx.xx ,也就是我的本机内网地址。因此可以断定是遇到神奇的恶意客户端了。不晓得对方是如何隐藏自身 ip 的,虽然本机直接抓包啥的都能看到,qbittorren 却看不到。
对方的客户端为 aria2/1.33.1 和 qBittorrent 4.6.3 ,有多个 ip 在一起刷。
解决方法是在 pbh 的配置文件中,ignore-peers-from-addresses 项删除内网地址。
试着用 nodeport 暴露 bt 端口,结果显示的地址变成了 192.168.xx.xx ,也就是我的本机内网地址。因此可以断定是遇到神奇的恶意客户端了。不晓得对方是如何隐藏自身 ip 的,虽然本机直接抓包啥的都能看到,qbittorren 却看不到。
对方的客户端为 aria2/1.33.1 和 qBittorrent 4.6.3 ,有多个 ip 在一起刷。
解决方法是在 pbh 的配置文件中,ignore-peers-from-addresses 项删除内网地址。
第 1 条附言 2024-08-05 02:16:57 +08:00
绷不住了,拿 windows 测了一下没问题。我猜测是 k8s 的哪个默认配置有问题吧,因为我能看到其他用户的正确 ip ,就这个客户端的 ip 看不到,就想当然以为是有个恶意客户端了。
 | 1 Trim21 2024-08-05 01:49:59 +08:00 via Android 是不是流量被你本地某个转发了,然后就被识别为内网地址了? bt 协议并没有什么办法伪装自己的 ip ,qb 只能从 tcp 连接或者 udp 包的来源读到对方的地址,如果显示为内网说明流量确实是从外网经过你的某个进程绕了一圈才到的 qb 。 |
 | 2 ztmzzz OP @Trim21 #1 确实是这个可能,但就这个客户端的看不到,为了找这原因熬夜到现在了。我这是 k8s 上跑的 qb ,一直正常,也不知道啥毛病。 |
| 3 ztmzzz OP 给我整不会了  |
| 4 Trim21 2024-08-05 02:29:52 +08:00 via Android  1 bt 协议的连接有两种,一种是出去的,一种是进来的。如果连进来的链接是你 k8s 转发进来的,那就会显示为入口节点的 ip 。 |
| 5 ztmzzz OP @Trim21 也就是说 k8s 默认本机转发了一道,之前一直正常是因为对方都是 bt 客户端,互相有数据交流。现在遇到个只下载的,就显示本机的 ip 了。连 nodeport 都要 k8s 转发一次,所以会显示 192.168 的 ip 。 |
| 6 ztmzzz OP 是我学艺不精了,k8s 要配置过才能得到真实 ip 。看到原来一切正常就想当然了。贴子已下沉。 |
Select Language