世界是你们的,也是我们的,但是归根结底是流氓们的

世界是你们的,也是我们的,但是归根结底是流氓们的 2007-12-6 0:08:12

每天有十几到二十几万IP流经波普，其中50%-70%是文件盗链产生的流量，尽管大部分的不速之客被防盗链拒之门外，甚至没有访问到波普的页面，但他们仍然产生了可观的垃圾流量，给服务器带来了负担，值得认真对待一下，这几天我们开发新的防盗链。

在服务端防盗不是件难事，最初我们的想法是根据用户请求中的http头信息来判断用户是否是在本站的页面上下载文件，根据http头中的信息，我们还可以给一些客户端软件“开后门”，从itunes等podcast订阅软件过来的请求不作屏蔽。然而流氓软件颠覆了这个简单和理想的策略，迅雷发过来的http头完全是伪造的，不仅把客户端伪装成winxp,IE6让你无法认出它，而且记录了第一个成功下载用户的Referrer，以后所有下载该文件的迅雷客户端都将伪装成这个Referrer，使你的防盗链以为他们都是从你网站上下载的正常用户，很显然，迅雷的意图就是要让大家的防盗链防不了他。

为了突破防盗链可以伪造http头，那么会不会为了这个目的连用户的cookie都读过去帮助其它下载者突破某些需要登录才能下载的网站呢？毕竟迅雷是个客户端软件，它有能力这样做，而且很显然，迅雷不是个有职业操守的，不然就不会干流氓这一行。我们测试了一下，没有发现cookie被分享，毕竟cookie属于大家公认的用户隐私，传播cookie很明显是触犯法律的。在测试过程中，我们几次发现只要文件曾经用迅雷下载过，之后使用迅雷可以不访问网站就能下载到我们独有的测试文件（也就是迅雷所说的坏链也能下载）。

以前以为迅雷能够下坏链，是因为他能找到多个文件源，然而我们把唯一的源关掉，它都能下，只能说明它把文件保存到了自己的服务器上。这是一件侵犯用户隐私和知识产权的行为，即使用户使用迅雷是自愿的，迅雷至少应该向用户说明使用迅雷存在这样的风险。我原本打算出国游放松一下，没想到旅行社带我去的是伊拉克，我小命都难保，你说我要是知道我还会愿意去吗？

举个例子，某企业为了应对突发的状况，临时将机密视频放在服务器给某个远程的工作人员下载，下完之后就从服务器上删除了，很不幸的是该工作人员是用迅雷下载这些机密文件的。于是该机密文件在大家都不知情的情况下保存到了迅雷的服务器上，并且自动提取了视频文件头中的文字信息，截取了视频中几帧图片以方便迅雷用户检索。（这是迅雷对每一段视频都会作的例行公事）。好了该企业的机密现在可以通过狗狗轻松检索到了，不需要“一传十，十传百”，它已经成了人人都可以免费获取的密码。

互联网的流氓何其相似：
1、
骗子百度
百度会假惺惺的告诉你，遵守通用的rotbot规则，然而尽管你的robot文件声明了不要收录，他还是要收录你没有商量，如果你的秘密被他的爬虫抓取到，全世界的华人都可以轻松搜索到。

大盗迅雷
迅雷懒得跟你假惺惺，他不是骗子是大盗，他会想办法溜门撬锁，并且针对你的防范的改进不断升级自身的武功，不达目的誓不罢休。

2.
CC攻击
百度爬虫整天爬啊爬，一秒钟可以派出几十个爬虫，爬出几十万人同时在线的效果，爬得你的服务器瘫痪，爬得你的idc机房抱怨你流量太高要向你追收费用。就这样，爬上一个月也没收录多少页面，仿佛搜索不是它的本意，CC攻击才是他的目的，以致于一些动态内容多的网站譬如rss网站，不得不封掉百度的爬虫IP，甘愿放弃百度收录会带来的访问量。

DDOS
迅雷不搞cc攻击这种小儿科，他干更大的买卖，直接用来自四面八方成千上万迅雷客户端的下载堵死你的线路，如果你不采取措施，发到你服务器上的下载请求只会是越来越多越来越多没有尽头。

3.
劳改犯
百度以前为了避免抓到的mp3地址中坏链太多，就把抓取到的mp3都保存在自己的服务器上，用户下载的时候伪装成是从其它网站下载。未经许可，复制传播他人作品牟利，构成侵权，屡次被人告，于是收敛了，有机会再伺机而动。

黑社会
迅雷做着百度以前的事，百度被警察盯上了，不能再明目张胆偷东西，迅雷接过接力棒，P2P的面具使大家都以为他还是个停留在灰色地带的坏小孩，没想到他早就突破了法律底线作着不可告人的勾当。

世界是你们的，也是我们的，但归根结底还是流氓们的。

文本日志>>

收藏评论(1) 浏览(270)

为该节目打分支持

共

人评分平均

分加波币

个