简单的 BT Tracker 连接检测

RT @kgen: 大家 BT 下载的时候，不要开着 VPN，发达国家的版权投诉猛如虎。版权方会主动放出一些正版的 BT 种子，然后收集所有连接来源 IP，投诉或索赔。

这对于 VPN 提供商来说也是一个很头疼的问题。现在的 BT 客户端为了避免被封，已经经进化出了各种加密、混淆手段，直接检测 P2P 流量很困难。不过，大多数时候，客户端都在下载是都会同时连接一些 BitTorrent tracker 服务器。这些服务器数量有限且地址、端口号相对固定，可以非常容易地收集，并直接通过 IP 地址和端口号判断而不必对流量内容进行深度检测。探测到了就扔炸弹。是一个简单易行的判断用户是否正在使用 BT 的方法。

这个方法已在某家梯子站上部署了有一段时间了。鉴于它误报率（false postive rate）低但漏报率（false negtive rate）高，检测到的「处罚」会比较严厉——发现连接就立即挂断这条 VPN 连接。效果似乎还不错，仅有的几次投诉经过排查，发现都是在这套机制的某些环节失效时发生的。

当时为了方便操作，写了几个脚本。现在重新整理了一下，放在了 GitHub 上。这个脚本主要用于从 BT 种子文件里收集 trackers 的地址，然后解析域名得到对应的 IP 地址、协议和端口号。脚本本身并不进行检测等操作，只是为了方便配置防火墙而写。

示例先在各处收集一些 BT 种子，这些种子文件中通常会包含一个或多个的 trackers。可使用./trackers.py torrent获得 trackers 的 URL 列表，重复的地址会被自动剔除：

1. $ ./trackers.py torrent *.torrent > trackers.txt
   
2. 
   
3. $ cat trackers.txt
   
4. > http://tracker.yify-torrents.com
   
5. > udp://tracker.justseed.it:1337
   
6. > udp://tracker.openbittorrent.com:80
   
7. > http://nyaatorrents.info:3277
   
8.   ......

复制代码

防火墙通常需要匹配 IP 地址而非域名，并且一个域名可能对应多个 IP。这个脚本提供了解析 tracker URL 的功能，每个地址会被解析为一个或多个 IP 地址 – 协议 – 端口 的组合：

1. $ ./trackers.py raw trackers.txt
   
2. > 188.166.82.104 tcp 6881
   
3. > 94.23.217.90 udp 1337
   
4. > 179.43.146.110 udp 80
   
5.   ......

复制代码

使用 ipset 来匹配这些连接是一个不错的选择。可以使用./trackers.py ipset直接生成 ipset 规则，这些规则可经由ipset restore导入系统：

1. $ ./trackers.py ipset trackers trackers.txt > ipset.rules
   
2. 
   
3. $ cat ipset.rules
   
4. > create -exist trackers hash:ip,port family inet
   
5. > add -exist trackers 188.166.82.104,tcp:6881
   
6. > add -exist trackers 94.23.217.90,udp:1337
   
7. > add -exist trackers 179.43.146.110,udp:80
   
8. > ...
   
9. 
   
10. # ipset restore -file ipset.rules

复制代码

另外，虽然不是很推荐这么做，从收集 trackers 到导入 ipset 的操作也可以一步完成：

1. # ./trackers.py torrent *.torrent | ./trackers.py ipset trackers - | ipset restore

复制代码

导入 ipset 后，可以使用 iptables 匹配这个 ipset，进行进一步操作。例如可使用iptables -j LOG记录下连接 trackers 的行为：

1. # iptables -N TRACKERS
   
2. # iptables -A FORWARD -m set --match-set trackers dst,dst -j TRACKERS
   
3. # iptables -A TRACKERS -m limit --limit 1/sec --limit-burst 10 \
   
4.   -j LOG --log-level info --log-prefix trackers
   
5. # iptables -A TRACKERS -j DROP

复制代码

一些发行版本使用了 syslogd 管理日志，可以修改它的配置，将连接记录转发至其他程序进行进一步处理。例如文章开头所说的，通过日志中记录的源 IP 识别出对应的用户，然后将其断线。

https://github.com/sorz/bt-tracker-helper/blob/master/trackers.py

1. #!/usr/bin/env python3
   
2. from urllib.parse import urlparse
   
3. from socket import getaddrinfo, AF_INET, SOL_TCP
   
4. from functools import lru_cache
   
5. import argparse
   
6. import sys
   
7. 
   
8. 
   
9. def _bencode_read_string(f):
   
10.     """Read a Bencoded byte string from current position of f."""
    
11.     length = 0
    
12.     s = f.read(1)
    
13.     while s != b':':
    
14.         if not s.isdigit():
    
15.             raise ValueError('Length of string expected but %s found.' % s)
    
16.         length = length * 10 + int(s.decode())
    
17.         s = f.read(1)
    
18.     if length == 0:
    
19.         raise ValueError("Length of string expected but ':' found.")
    
20.     return f.read(length).decode()
    
21. 
    
22. 
    
23. def parse_torrent(f):
    
24.     """Parse a torrent file, return a list of all trackers on it."""
    
25.     trackers = []
    
26.     if f.read(1) != b'd':
    
27.         raise ValueError('Torrent not start with a dictionary.')
    
28.         
    
29.     key = _bencode_read_string(f)
    
30.     if key == 'announce':
    
31.         trackers.append(_bencode_read_string(f))
    
32.         key = _bencode_read_string(f)
    
33.      
    
34.     if key == 'announce-list':
    
35.         if f.read(1) != b'l':
    
36.             raise ValueError('"announce-list" not contain a list.')
    
37.         
    
38.         while f.read(1) == b'l':
    
39.             trackers.append(_bencode_read_string(f))
    
40.             if f.read(1) != b'e':
    
41.                 raise ValueError('Item of "announce-list" contain '
    
42.                                  'multiple value.')
    
43.     return trackers
    
44. 
    
45. 
    
46. def _tracker_conn_info(url):
    
47.     """Given a URL of trackers, return a list of
    
48.     tuples [IP address, protocol (tcp or udp), port].
    
49.     """
    
50.     url = urlparse(url)
    
51.     addrs = nslookup(url.hostname)
    
52.     proto = url.scheme
    
53.     if proto == 'http':
    
54.         proto = 'tcp'
    
55.     elif proto != 'udp':
    
56.         raise ValueError('Unknown tracker protocol: %s' % proto)
    
57.     port = url.port
    
58.     if url.port is None:
    
59.         port = 6881
    
60. 
    
61.     return [(addr, proto, port) for addr in addrs]
    
62. 
    
63. 
    
64. @lru_cache()
    
65. def nslookup(domain):
    
66.     """Look up DNS for the domain name, return a list of IPv4 addresses."""
    
67.     infos = getaddrinfo(domain, 1, AF_INET, proto=SOL_TCP)
    
68.     return [info[4][0] for info in infos]
    
69. 
    
70. 
    
71. def generate_rules(f, func_print):
    
72.     """Read tracker URLs from f, print firewall rules
    
73.     via func_print(addr, proto, port).
    
74.     """
    
75.     trackers = set()
    
76.     for url in f:
    
77.         url = url.strip()
    
78.         if url[0] in '#;"':
    
79.             continue
    
80.         try:
    
81.             new_trackers = set(_tracker_conn_info(url)) - trackers
    
82.         except (ValueError, OSError) as e:
    
83.             print('Failed to resolve ', url, ':', e, file=sys.stderr)
    
84.             continue
    
85. 
    
86.         for tracker in new_trackers:
    
87.             func_print(*tracker)
    
88.             
    
89.         trackers |= new_trackers
    
90. 
    
91. 
    
92. def action_torrent(args):
    
93.     trackers = set()
    
94.     for f in args.files:
    
95.         try:
    
96.             new_trackers = set(parse_torrent(f)) - trackers
    
97.             f.close()
    
98.             for tracker in new_trackers:
    
99.                 print(tracker)
    
100.             trackers |= new_trackers
     
101.         except (ValueError, UnicodeDecodeError, IOError) as e:
     
102.             print('Failed to parse file', f.name, ':', e, file=sys.stderr)
     
103. 
     
104. 
     
105. def action_ipset(args):
     
106.     print('create -exist %s hash:ip,port family inet' % args.setname)
     
107.     def print_command(addr, proto, port):
     
108.         print('add -exist %s %s,%s:%s' % (args.setname, addr, proto, port))
     
109.     generate_rules(args.trackers, print_command)
     
110. 
     
111. 
     
112. def action_iptables(args):
     
113.     table = ''
     
114.     if args.table is not None:
     
115.         table = ' -t %s' % args.table
     
116.     def print_command(addr, proto, port):
     
117.         print('iptables%s -A %s -d %s -p %s --dport %s -j %s' % \
     
118.               (table, args.chain, addr, proto, port, args.target))
     
119.     generate_rules(args.trackers, print_command)
     
120. 
     
121. 
     
122. def action_raw(args):
     
123.     generate_rules(args.trackers, print)
     
124. 
     
125. 
     
126. def parse_args():
     
127.     parser = argparse.ArgumentParser(description='BitTorrent Trackers '
     
128.                                                  'firewall helper.')
     
129.     subparsers = parser.add_subparsers(dest='action')
     
130.    
     
131.     tor = subparsers.add_parser('torrent',
     
132.                                 help='parse tracker URLs from torrent files.')
     
133.     tor.add_argument('files', nargs='+', metavar='FILE',
     
134.                      type=argparse.FileType('rb'),
     
135.                      help='a torrent file.')
     
136.                      
     
137.     TRACKERS_KWARGS = dict(metavar='TRACKER-LIST',
     
138.                            type=argparse.FileType('r'),
     
139.                            help='a file contains tracert URLs line by line, '
     
140.                                 'or "-" for stdin.')
     
141. 
     
142.     ips = subparsers.add_parser('ipset', help='generate ipset restore file.')
     
143.     ips.add_argument('setname', metavar='SETNAME',
     
144.                      help='the setname of ipset.')
     
145.     ips.add_argument('trackers', **TRACKERS_KWARGS)
     
146. 
     
147.     ipt = subparsers.add_parser('iptables', help='generate iptables commands.')
     
148.     ipt.add_argument('-t', '--table', metavar='TABLE',
     
149.                      help='which iptables tables add rules to.')
     
150.     ipt.add_argument('chain', metavar='CHAIN',
     
151.                      help='which iptables chain add rules to.')
     
152.     ipt.add_argument('target', metavar='TARGET',
     
153.                      help='which iptables target rules jump to.')
     
154.     ipt.add_argument('trackers', **TRACKERS_KWARGS)
     
155. 
     
156.     raw = subparsers.add_parser('raw', help='print plain server connection info.')
     
157.     raw.add_argument('trackers', **TRACKERS_KWARGS)
     
158. 
     
159.     return parser.parse_args()
     
160. 
     
161. 
     
162. def main():
     
163.     args = parse_args()
     
164. 
     
165.     if args.action == 'torrent':
     
166.         action_torrent(args)
     
167.     elif args.action == 'ipset':
     
168.         action_ipset(args)
     
169.     elif args.action == 'iptables':
     
170.         action_iptables(args)
     
171.     elif args.action == 'raw':
     
172.         action_raw(args)
     
173.     else:
     
174.         print('Usage: %s -h/--help' % sys.argv[0], file=sys.stderr)
     
175.         sys.exit(2)
     
176. 
     
177. 
     
178. if __name__ == '__main__':
     
179.     main()

复制代码

https://blog.sorz.org/p/bt-tracker-helper/