運營商可謂又神又鬼，神既是她 鬼又是她…

發現一個新惡意用户IP 14.135.72.168 無限換端口重複下載，慣用監聽端口51413 軟件號Transmission 4.05 磁链
magnet:?xt=urn:btih:AZFSFFMHX2QN65YM7D4TJLXDYVQUB5LP&dn=Rocky-9.4-x86_64-dvd

它們出現後並未馬上被ban, 是要等到 connecting 時才會被ban 嗎? 但它們很狡滑, 總像蜻蜓點水似的, 一下又變成 dis_connected 了.

近期發現一些系統資源種子之中 有好多惡意殭屍用户…Transmission 2.93/2.94名稱 而且一大羣… 進度永遠0

「反吸血」在Windows下使用Fort Firewall全自动批量屏蔽IP

原文地址：链接

关于Fort Firewall

在之前的教程中我们已经用Windows防火墙实现了类似的效果 教程：链接
其使用到了高版本Windows才具有的动态关键字来容纳IP地址 此外更新动态关键字需要手写脚本
使用难度较高易用性较差

而Fort Firewall 与Windows防火墙类似 使用 Windows筛选平台 进行过滤者意味着其也为系统级别的过滤
效率高 而且可以切断已经建立的连接 其依赖依筛选平台而非Windows防火墙

更重要的是其支持订阅IP列表 以及完全的图像界面操作
由于使用 Windows筛选平台 其可以在win7及以后的系统上使用

使用场景

比特彗星在2.10后已经支持IP过滤列表
而像qbittorrent对PBH等对外置反吸血程序支持效果较好
的客户端都不是非常需要防火墙进行拦截

但像 transmission 这样的客户端情况就不一样了
其虽然支持IP过滤列表 但是载入列表后无法切断已经建立的连接
需要重启任务/软件后才能生效 也正是因为这个原因PBH正在逐步取消对TR的支持

更不用说那些完全不支持IP过滤的BT客户端
而使用防火墙软件进行过滤 效率高更且适用于任何软件

安装Fort Firewall

下载地址：Github

下载安装程序 根据系统情况选择 这里使用的是64位版本

安装位置可自定义 之后可以选择安装为便携版

可以选择安装为便携版 这样配置文件就存储在程序目录下
而不是AppDat中 这里勾选便携版

便携版说明

此版本的 Fort Firewall 是便携式的，即无需安装。它将从您放置它的任何目录运行，甚至从 USB 闪存盘运行。

请不要删除“README.portable”文件，因为这将破坏应用程序的可移植性！

Fort Firewall 需要管理员权限才能安装驱动程序。

如何卸载便携式安装：

- 以管理员身份运行 Fort Firewall。
- 打开“我的 Fort”窗口并单击便携式：卸载按钮。
- 关闭正在运行的 Fort Firewall。
- 删除 Fort Firewall 应用程序的文件夹。

配置Fort Firewall

安装完成后首先需要修改 堡垒 的过滤模式
默认为自动学习 改为 “如果未被阻止或允许则忽略”

这样一来堡垒就不会主动拦截任何程序 只有在我们设置后才会拦截
如果在修改期间已经拦截了程序则应进行放行

修改拦截模式：

放行程序：
右键托盘图标》应用程序

订阅IP列表

右键托盘图标》选项》区域

编辑》添加
这里使用PBH的IP列表：链接

名称可自定义 这里使用“PBH_BAD-peers”
来源选择 “来自本地文件中的地址”
勾选 自定义URL 填写订阅地址：

https://bcr.pbh-btn.ghorg.ghostchu-services.top/combine/all.txt

配置自动更新规则

右键托盘图标》选项》选项》计划
勾选区域下载器 时间设置为1小时 确定以保存规则
在点击确定/应用后列表中的时间才会更新

设置规则

在订阅完成IP后我们还需要设置规则
右键托盘图标》选项》规则 编辑》添加

名称可自定义 这里使用“BT-BAN”
勾选之前订阅的区域 操作选择阻止

设置端口过滤

对于迅雷这样使用特定端口的客户端 我们可以通过端口号进行过滤

有关不同版本迅雷吸血情况的总结请看之前的教程：链接
此处过滤的是15000和15001这个两个端口

再新建一个规则 类型为 预设规则
名称可自定义 这里使用 “XL-port” 操作为 阻止
填写下列内容：

0.0.0.0/0:(15000,15001)
[::]/0:(15000,15001)

其表示过滤所有IPv4和IPv6地址中有15000和15001端口的流量
堡垒默认不处理内网流量 不用担心其会影响其他程序
编辑之前设置好的程序规则 将此预设规则叠加上去

现在可以分配规则了 右键托盘图标》应用程序
可以查看到针对应用程序的规则

如果BT客户端在此处已经有了规则 直接修改即可
若没有则需要手动添加

可以手写规则 但是更简单的方法是使用右键菜单进行快捷添加
找到要添加的程序 右键选择 “Fort Firewall…”

点击后会弹出编辑窗口 这里为了方便演示依然使用比特彗星
点击右侧的 纸卷图标 即可分配规则 每个程序应只能分配一条规则
要叠加多个规则 可以使用之前的附加预设规则的方式

检视效果

打开BT客户端 运行任务
托盘》统计数据》已阻止的连接
可以看到已经被过滤的连接

调整日志记录设置

调整日志设置已避免日志文件占用过多空间
流量记录日志可以改短保留时间

收集已经阻止的连接 选项可以关闭
需要进行诊断和故障排除时再打开 以节约磁盘空间

结尾

至此我们便完成了在Windows下使用Fort Firewall全自动批量IP屏蔽的设置

有錢有技術 舊版系統可用不？

这些办法都治标不治本，太复杂，小白根本不会。上次看一个小白说从peerbanhelper连接qbittorrent，研究了6个小时才搞定，有几个小白能这么坚持。

最主要的还是在BT协议族里添加种子黑白名单+反吸血广播和追加黑名单。

屏蔽的客户端直接在种子制作时写在info字典里。这样小白一下载，客户端直接自己屏蔽。

遇到伪装客户端，放血客户端，做种的人再追加广播一下。

做种的时候客户端在连接时通过BT拓展协议支持情况判断，不支持此拓展的直接断开连接。每次追加黑名单也要回应，不回应就直接断开连接。

功能启不启用由资源发布者决定。 小白不用知道，也不需要额外操作。

最簡單的 就是軟件自帶…

FORT防火牆仍然無法阻擋非15000/15001（非固定埠）吸血放血迅雷… UT用户深受其擾…迅雷用户太多 IP封不完…

TR有webUI 虽然没有qb的完事 但是也可以外挂反吸血脚本
通过客户端名称过滤

用防火墙主要是是出于分层处理的考虑
将具有端口特征的先进行过滤 减轻webUI的负担

不过TR最大的问题是 虽然有内置的过滤能力
但是不能切断已经建立的连接

分层防御设想

此处将防御分为两个维度即 中间设备（路由设备和/防火墙）和 BT客户端自身
而匹配条件分为 静态条件和动态条件

其中静态条件指的是像IP 端口 peerID 这样相对静止的条件
而动态条件则指的是 像传输进度 传输量比率 等 需要根据每个BT任务进行计算

所谓分层防御 就是将防御过滤的任务分摊到这两个维度上
即优先在中间设备处防御 优先使用静态条件防御
前两者处理不了的 再交给外置反吸血防御

以提高拦截效率 减轻BT客户端的负担

目前防御的主要任务都有由BT客户端自身负担
依靠其自身的WEBUI或其他接口和外置的反吸血程序通信
向外置程序 提供数据 并接收封禁指令

但随着需要封禁的客户端或IP地址的增多
处理效率变得越来低 BT客户端的响应时间越来越长

其实有很多连接可以在到达BT客户端之前就可以被拦截
通过IP和端口 这样的静态条件 其在路由设备和/防火墙 上就可以被检出并拦截
不需要让BT客户端自身来处理 可以提高拦截效率 减轻BT客户端的负担

当然有些特征必须要 BT客户端与对方连接上才能获取
比如 peerID 传输量等等 这些只能才客户端处进行防御

但对像 peerID 客户端名称 这样的相对静态特征完 全可以由客户端自身处理
无需传递给外部程序做判断后再通过屏蔽IP的方式屏蔽

需要交给 外置程序 处理应是像 做种阶段下载进度 传输比率 这样需要针对每个
种子进行计算的动态条件

这样的话可能不如用 DLL 加载反吸血模块，就像 eMule 的 DLP 一样，而不是使用 WebUI。这里的 DLL 反吸血模块等于 PeerBanHelper 不需要 WebUI 的版本

其实之前已经建议过 可自定义的客户端映射列表 支持通配符

如果实现的话 对peerid 和客户端名称的屏蔽就会变的非常简单

其使用简单 纯文本格式 可以非常方便的进行编辑修改和更新
而dll 动态链接库应该需要进行编译的 用起来并不方便

自动加动态反吸血？ 离谱。

bitcomet你能加，qbittorrent会听你的，给你加吗？tranmission会听你的给你加吗？新出现的客户端会给你加吗？ 其他客户端不加有个屁用。

让小白自己加，小白会吗？

你只有推送到bittorrent规范里，所有客户端都默认启动支持才行。

有没有搞错DLP 也是第三方 Mod 才有的啊，官方版也没有，可能也不是每个 Mod 都有。

无标题1346×1310 73.4 KB

而且这里的“动态”也不是像名称里所说的那么“动态”，DLP 插件本身也需要更新的。图里的“不良客户端标识”差不多等同于 BT 中的按客户端名称/Peer ID 封禁。

反吸血一直是个老大难问题 目前只能靠各客户端自己处理
只至于BC方面 目前最行之有效的方法其实 是可订阅和可自定义的客户端映射表

可自定义 保证了出现新的客户端用户可以进行自定义
可订阅 保证了客户端列表可以再无人干预的情况下 及时的进行更新

什么搞没搞错？ 我肯定知道它不是所有客户端都有。 正因为 “不是所有客户端都有”，所以我才说它根本没用。

反正我想了半天，要比较好的处理就是两个办法。

要么 弄个反吸血提案，然后把它变成bittorrent协议的一部分。
要么 在资源源头设定门槛，要积分才能看到磁力链接，并且过期停种。 这种就无所谓用什么客户端了。

官方她會跟你講 加反吸血違反BT分享原則 不獲採用…

我想PT已经可以实现这样的效果