На прошлой неделе в сети μTorrent (протокол uTP) продолжилось значительное увеличение трафика. По мнению специалистов из польского центра безопасности CERT, это может свидетельствовать о появлении инфицированных узлов и потока пакетов с поддельными IP-адресами.
Аномальный рост и изменение структуры трафика по uTP продолжается уже несколько месяцев. Например, вот статистика за 1 апреля 2011 года и за 1 апреля 2012 года:
2011.04.01: ----------- Пакетов: 103546 (8,7 МБ) UDP: 183 (~0,2% трафика) Аномалия: 0
2012.04.01: ----------- Пакетов: 2142296, (201 МБ) UDP: 957047 (~45% трафика) Аномалия: 393862 (~18% всего трафика ~41% UDP-трафика)
Как видим, доля uTP и связанных с ним пакетов значительно увеличилась, а весь трафик вырос в 23 раза.
Анализ IP-адресов источников трафика не даёт никаих наводок, потому что здесь наблюдается равномерное распределение по разным странам, в том числе Россия, Украина, Китай, Канада, США и проч.
Статистика по отдельным торрентам.
Исследователи не пришли к единому выводу о причинах аномалии. В качестве возможных вариантов они называют четыре: 1) сбор информации или замусоривание сети представителями правообладателей; 2) некий неудачный эксперимент или ошибка в программном обеспечении; 3) операция по маскировке сетевой активности путём генерации мусорного трафика; 4) эхо от атаки на другие сети.
Вполне возможно, что налицо DDoS-активность компании PiratePay. Этот российский стартап, финансируемый Microsoft, ставит целью «отравление» торрент-трафика, чтобы помешать работе обычных торрент-клиентов.
