分页: 9 / 17
Re: amule-dlp 开发动态(欢迎小白测试真正的动态版本 )
发表于 : 2011-02-28 22:20
由 achen.han
Bill Lee 写了:庆祝 aMule-2.2.6-DLP-0.0.2 开发版本在连续运行30小时35分钟后由用户手动正常关闭。
这次测试主要是检验动态加载antiLeech的稳定性,另外同时检验了4302版本逻辑上的正确性。
4302版本在检测准确性上已经达到稳定的水平了,没有发现误杀,漏网之鱼也不多了(主要是官方的antiLeech代码也存在漏杀,antiLeech 和 Leecher 的军备竞赛呀!)。
本来还想借这次机会寻找一个出现概率很低的bug, 但还是没有遇到。不知道是不是在前面的开发中已经把它弄没了。
正挂机检测。
感谢lz的辛勤劳动。
Re: amule-dlp 开发动态(欢迎小白测试真正的动态版本 )
发表于 : 2011-03-02 23:42
由 achen.han
2011-03-02 13时52分36秒: [HelloTag [DodgeBoards](12)] Client
http://www.dbgo.com on IP:Port 58.140.70.8:16204 using Unknown Unknown
2011-03-02 13时52分37秒: [Ghost Mod] Client
http://www.dbgo.com on IP:Port 58.140.70.8:16204 using eMule Unknown
2011-03-02 14时28分01秒: [GhostMod] Client
http://emule-project.net [=7JS] on IP:Port 87.69.218.15:5773 using eMule v0.49b
2011-03-02 16时29分20秒: [Bad MODSTRING] Client [CHN][VeryCD]yourname on IP:Port 222.136.129.165:10625 using easyMule2 20091225 v2.0b - easyMule2 20091225 easyMule2 20091225
2011-03-02 19时12分45秒: [HelloTag [DodgeBoards](12)] Client
http://www.dbgo.com on IP:Port 58.140.70.8:16204 using Unknown Unknown
2011-03-02 19时12分45秒: [Ghost Mod] Client
http://www.dbgo.com on IP:Port 58.140.70.8:16204 using eMule Unknown
2011-03-02 23时28分34秒: [AEdit] Client
http://emule-project.net on IP:Port 85.242.202.46:26626 using eMule v0.50a
2011-03-02 23时29分57秒: [Bad MODSTRING] Client [CHN][VeryCD]iZyYH`N on IP:Port 59.50.127.198:12703 using eMule v0.48a - xl build61 xl build61
挂了一天ban了几个,AEdit 是什么意思,不懂。
Re: amule-dlp 开发动态(欢迎小白测试真正的动态版本 )
发表于 : 2011-03-03 13:23
由 Bill Lee
achen.han, 这些都是正常的。你一天才 ban 了这几个,是 LowID 吧。
AEdit 就是一个 ghost mod, antiLeech.cpp 的代码注释里已经说了。
Re: amule-dlp 开发动态(欢迎小白测试真正的动态版本 )
发表于 : 2011-03-03 22:04
由 Bill Lee
开发版本:aMule-2.2.6-DLP-0.0.3 - 实现动态替换 antiLeech
"Reload" 按钮已经被加到 DLP 设置中,可以在运行时替换 antiLeech.
替换方法:
代码: 全选
mv /usr/lib/antiLeech.so /usr/lib/antiLeech.so.bak
cp antiLeech.so /usr/lib/antiLeech.so
然后打开 amule-dlp 的设置,在 DLP 选项卡里猛击 "Reload" 按钮!看看 amule 的日志,是不是出现了 "Succeed loading antiLeech!" ?
目前暂不支持从远程控制更新 antiLeech.
Re: amule-dlp 开发动态(欢迎小白测试真正的动态版本 )
发表于 : 2011-03-03 22:17
由 achen.han
是LowID,多谢指教。正在看emule的协议,看完后再分析antileech代码。
再请教bill一个问题:
看谍战片经常有这样的情节:特务包装了自己,从语言生活方式各方面都跟革命同志一样,看不出任何破绽,在取得信任大家放松警惕后,就开始用“咱们玩躲猫猫吧“等暗语寻找潜伏在革命队伍中的其他特务。
站在leech的角度,如果我把客户端伪装得跟标准emule一样,在取得对方信任后,再施展一些小动作,如发自己设计的非标准协议包来试探对方客户端达到社区吸血效果。现在有没有这样的吸血螺?如有,我们有没有办法反制?
先谢了!
Re: amule-dlp 开发动态(开发版本 v0.0.3 - 实现运行时动态替换antiLeech )
发表于 : 2011-03-03 22:28
由 枫叶饭团
先顶了。。又更新了
Re: amule-dlp 开发动态(开发版本 v0.0.3 - 实现运行时动态替换antiLeech )
发表于 : 2011-03-04 9:33
由 Lavande
密切关注中,daemon版本是不是也实现这个功能了?
Re: amule-dlp 开发动态(开发版本 v0.0.3 - 实现运行时动态替换antiLeech )
发表于 : 2011-03-04 12:03
由 Bill Lee
achen.han, 这个情况目前还没有出现。
比如你检测到的
代码: 全选
2011-03-02 13时52分36秒: [HelloTag [DodgeBoards](12)] Client http://www.dbgo.com on IP:Port 58.140.70.8:16204 using Unknown Unknown
这个就是一个吸血骡,它在 Hello Package (握手包)中附加了一个编号为 0x12 的非标准项目,用来“联系其他特务“。于是,在 DLP 中就有专门针对 HelloTag 和 InfoTag 的检测,比如渣雷就用了一个0xd2 的 HelloTag, 检测到时会出现以下记录:
代码: 全选
2011-03-04 11时53分44秒: [HelloTag [Chinese Leecher](d2)] 用户 [CHN]e 位于 111.226.186.194:0,使用 eMule 20080409
另外由于 eMule 中规定所有被修改过的客户端都必须发送一个 modstring, 那么,如果一个客户端的 modstring 为空(即声称自己是标准客户端),然后有非标准的功能(比如:非标准的 HelloTag, username padding ),就会被判定为 Ghost mod. 例如:
代码: 全选
2011-03-04 11时54分54秒: [GhostMod] 用户 http://emule-project.net [1E-A] 位于 85.250.133.24:3000,使用 eMule v0.49b
另外,也有些吸血骡通过特定的用户名(比如:"[QQDownload]" )或特定的 userhash 来识别。
其实以前大多数检测都是命中 bad modstring (典型的为渣雷) 和 bad username (快车和QQ旋风), bad hellotag(渣雷和一些国外的吸血骡). 最近 Ghost mod 的命中明显增加了。
Re: amule-dlp 开发动态(开发版本 v0.0.3 - 实现运行时动态替换antiLeech )
发表于 : 2011-03-04 12:08
由 Bill Lee
Lavande, daemon 版本的在线替换需要通过远程控制 (amulecmd) 操作,这个功能还没有加上。如果需要通过 WebServer 控制,那么就需要懂 php 的人帮忙了。
(为了在 GUI 加上一个按钮,我不得不花很长时间来看 wxWidgets 的文档。接下来有空就在 CLI 里加个控制 DLP 的命令,准备增加两个: dlp version 和 dlp reload. )
Re: amule-dlp 开发动态(开发版本 v0.0.3 - 实现运行时动态替换antiLeech )
发表于 : 2011-03-05 0:49
由 achen.han
感谢 bill 耐心指教,长了不少知识。
站在敌人的角度考虑问题,未来社区吸血骡可能采用更为隐蔽的方法突破剿杀:
1 将客户端特征码随机夹在数据流中试探对方,如是同伙,记录userhash到本地数据库中以备后用,代价是高的CPU资源消耗。我们要反制,同样需要连续不断地监测过滤数据流中的特征码,CPU消耗太大。随着计算机能力的提高,不是没有可能。
2 在安装软件时通过注册建立密码保护的集中式userhash数据库。吸血骡一方面以完全正常的协议与其他客户端交互达到逃避反吸血目的,另一方面通过专门设计的协议查询线上的userhash数据库而识别同伙。个人感觉我们反吸血对这个没太好办法,总不能让官方emule给我们每个骡子颁发一个CA证书,或我们耍流氓手段DDOS吸血骡userhash数据库服务器吧。
技术反制是一方面,就象军备竞赛一样最终两败具伤。舆论宣传,让更多不明真相的人认清吸血骡的真相而加入正规电骡也是我们要努力做的。
不过个人对正规emule在国内的发展比较悲观:
国人几千年“胜着为王,败着为寇”的思想熏陶加上儒教体系几乎为零的公德教育,一般人行其事来“为达目的不择手段,只看结果不究过程“。如何让用惯渣雷的人理解”我为人人,人人为我“的共享理念?教育是途径,现在的教育看不到一点希望。
另一个因素,和谐大棒高高在上,现阶段正规emule属小众,当局没放在眼里。G-F-W一直对P2P没有好的办法反制,如果有一天电骡发展壮大后,当局不会坐视不管,借用冈村宁次的一句话:"想不到华北XXX如此猖獗",后面就是非常手段了。和谐国内,低调才能生存。
我个人也就只能保持一份情操,低调地宣传真相,默默地感染朋友。愿emule走好。
Re: amule-dlp 开发动态(开发版本 v0.0.3 - 实现运行时动态替换antiLeech )
发表于 : 2011-03-05 13:03
由 Bill Lee
achen.han, 第一种方式实现可能很困难, ed2k 协议传输都是二进制数据,传输的数据可能是任何内容,所以随机加入的 magic number 很难和真正的数据区分。
第二种方式相当于公开了一份“特务”名单,leecher 可以查数据库,DLP 肯定也可以,到时候检测 leecher 就更方便了,只要对着一份黑名单检测就够了。
至于宣传,倒是可以把 nickname 改成“VeryCD不是eMule”或“eMule官网:http://www.emule-project.net”之类的,这是第一步。很多人连“eMule官方”的概念都搞错。
Re: amule-dlp 开发动态(开发版本 v0.0.3 - 实现运行时动态替换antiLeech )
发表于 : 2011-03-06 21:19
由 Bill Lee
在远程控制中加入重载antiLeech命令
不必多说了
代码: 全选
amulecmd$ reload antileech
再检查一下 log 看看是否成功:
由于 WebServer 也使用 External Control 与 amule 通信,现在要在 WebServer 加上 reload 功能也并非难事,但是,我不懂 php, 连 html 都只懂一点点。这个工作需要懂 php 的人来做。
Re: amule-dlp 开发动态(amulecmd$ reload antileech 已经添加,等php高手帮忙)
发表于 : 2011-03-08 13:03
由 SmallV
运行
sudo apt-get install g++ binutils-dev libcrypto++-dev libgtk2.0-dev libgd2-xpm-dev libgeoip-dev libupnp3-dev zlib1g-dev libwxbase2.8-dev libwxgtk2.8-dev
提示:
代码: 全选
正在读取软件包列表... 完成
正在分析软件包的依赖关系树
正在读取状态信息... 完成
g++ 已经是最新的版本了。
zlib1g-dev 已经是最新的版本了。
有一些软件包无法被安装。如果您用的是 unstable 发行版,这也许是
因为系统无法达到您要求的状态造成的。该版本中可能会有一些您需要的软件
包尚未被创建或是它们已被从新到(Incoming)目录移出。
下列信息可能会对解决问题有所帮助:
下列软件包有未满足的依赖关系:
libgtk2.0-dev : 依赖: libglib2.0-dev (>= 2.25.8) 但是它将不会被安装
依赖: libgdk-pixbuf2.0-dev (>= 2.21.0) 但是它将不会被安装
依赖: libpango1.0-dev (>= 1.20) 但是它将不会被安装
依赖: libatk1.0-dev (>= 1.29.2) 但是它将不会被安装
依赖: libcairo2-dev (>= 1.6.4-6.1) 但是它将不会被安装
E: 破损的软件包
求解
Re: amule-dlp 开发动态(开发版本 v0.0.3 - 实现运行时动态替换antiLeech )
发表于 : 2011-03-08 13:22
由 rediscover
Bill Lee 写了:achen.han, 第一种方式实现可能很困难, ed2k 协议传输都是二进制数据,传输的数据可能是任何内容,所以随机加入的 magic number 很难和真正的数据区分。
第二种方式相当于公开了一份“特务”名单,leecher 可以查数据库,DLP 肯定也可以,到时候检测 leecher 就更方便了,只要对着一份黑名单检测就够了。
至于宣传,倒是可以把 nickname 改成“VeryCD不是eMule”或“eMule官网:http://www.emule-project.net”之类的,这是第一步。很多人连“eMule官方”的概念都搞错。
如果人家有私有的中心服务器呢?
Re: amule-dlp 开发动态(amulecmd$ reload antileech 已经添加,等php高手帮忙)
发表于 : 2011-03-08 17:43
由 Bill Lee
rediscover, 如果是私有的中心服务器(没有开放注册),要是它的规模不大,那么它对 ed2k 网络的影响应该不会太大。官方版本的 eMule 都有好友通道的功能呢。