eMule等软件的IPFilter(IP过滤库)详解


简单说来,IPFilter(IP过滤数据库)就是帮助你的eMule或其他P2P软件过滤掉一些不安全的IP地址的玩意儿。

打住。以下文字中,除了第一段“使用方法”是针对普通用户的,其余文字均是IPFilter文件、级别、版本的一些较“深”的介绍,供“研究”之用。如果你只是一位急着找寻最新版IPFilter并使用的普通用户,而懒得去研究这么多文字,请至IPFilter目录下载最新版的Meuh6879 IPFilter与eMule Fans修改版IPFilter。

具体说来,IPFilter可以屏蔽Anti-P2P的服务器或客户端的恶意IP。这些Anti-P2P的恶意IP包括虚假、间谍服务器,vagga服务器,恶意IP,带有木马、间谍软件的攻击性IP、黑客等等不安全的IP地址。IPFilter将会防止其扫描P2P网络,使eMule不会连接上这些不良的IP,防止恶意IP对自己的连接与攻击。狭义上的“吸血”客户端IPFilter无法防止,还需要靠DLP等反吸血,但拒绝攻击性IP对自己也依然是一种保护。

以下的“过滤级别”和“不同版本”部分参考了网友小魔的经典文章《ipfilter介绍》,结合最新的情况叙述。《ipfilter介绍》应该是VeryCD BBS中的讨论贴,但现在VeryCD公司打击非VC客户端的讨论,BBS用户也早就散了,原链接失效而重定向至VC首页,这里有AUG在ied2k上的转载elvis_w在VeryCD社区Mod大全小组的转载(该小组由于讨论非VC Mod,遭到VeryCD公司打压,曾被封锁,至今说话不便)。

使用方法

支持IPFilter的有eMule(和其Mod)、aMule、MLDonkey等一些电驴软件,以及μTorrent、Vuze、BitTorrent、BitSpirit、BitComet、Halite等BitTorrent协议软件。

上述软件均可兼容使用不分级的、ipfilter.dat格式的IPFilter(但有的不支持“#”号开头的行注释,需要去掉)。一般来说,对于上述所有软件,把解压出来的ipfilter.dat文件拷贝到适当的目录下即可,然后再做一些适当的设置。具体每个软件ipfilter.dat放置的位置列举如下(仅供参考,一般还需要视你的操作系统、Win用户名、软件安装地址、软件版本等而定):

  • eMule及其Mod:eMule目录下的config目录里(Vista、Win7以上,config目录默认在C:\Users\你的用户名\AppData\Local\eMule\config\中,这取决于你的设置,详细请见这里
  • aMule:~/.aMule/ipfilter.dat
  • μTorrent:C:\Users\Administrator\AppData\Roaming\uTorrent\
  • Vuze:C:\Program Files\Vuze\
  • BitTorrent:C:\Users\Administrator\AppData\Roaming\BitTorrent\
  • BitSpirit:C:\Program Files\BitSpirit\config\
  • BitComet:C:\Program Files\BitComet\rules\
  • Halite:C:\Program Files\Halite\

如果在eMule及其Mod中使用分级别的IPFilter,还需要进入eMule选项的“安全”选项卡,把“过滤级别”设为你需要的等级。级别应视你的IPFilter来衡量选择,越高过滤得越多。官方eMule默认设置是127。另外还要选择是否“服务器也被过滤”,官方eMule默认未选。另外eMule及其Mod还可以自动更新IPFilter,详见这里

推荐使用本站编辑修改制作的eMule Fans 版 IPFilter

这里还有几个小工具:

  • ipfilter-updater.bat(一个手动快捷更新IPFilter的批处理文件)(将所有文件放在ipfilter.dat所在文件夹下。执行ipfilter-updater.bat即更新ipfilter.dat并备份旧文件)
  • Listdrop(从ipfilter.dat通用格式转至guarding.p2p格式的小工具)

ipfilter.dat文件查看

ipfilter.dat文件可以当作普通文本,用记事本或者任何一款文本编辑处理软件都可以打开。推荐EditPlus等处理大文件较为迅速的编辑器。

这是典型和规范的一个ipfilter.dat中的一行:

75.43.1.200 - 75.43.1.207 , 90 , [L1]WARNER BROTHERS-061019211709

其实它就是一个逗号分隔的表格文件。第一竖行,75.43.1.200 - 75.43.1.207,表明IP段;第二竖行,90,表明过滤级别;第三竖行,[L1]WARNER BROTHERS-061019211709,描述了此IP段为何被列入。我们举的这行例子,意思就是说这段IP有可能是华纳兄弟公司(WARNER BROTHERS)的内部IP,甚至可能用来钓鱼,收集P2P使用者的数据。这个ipfilter.dat将它列入过滤级别90,为[L1]第一级别。

有些ipfilter.dat描述很简略,也没有写“[L1]”的级别描述。

有些ipfilter.dat,它们的第二竖行一律为000。这种就是不分级别的IPFilter。只能固定地、必须地过滤掉这些IP,无法设置放宽或加紧。

专业地管理、制作IPFilter,建议使用下文中提到的B.I.S.S组织所维护的blocklist manager

过滤级别

IPFilter过滤级别(Filter Level)可以让用户来自定义你需要的IPFilter的严格程度。eMule的“选项”->“安全”中可以设置将某一级别以下的所有IP都过滤掉(官方eMule以及几乎所有Mod均可设置,VeryCD公司的“阉割驴”easyMule无此选项,因而建议使用正规Mod)。级别越低的IP就越不安全、越“恶毒”。不同的IPFilter库的过滤级别所指示的松紧程度不一定相同,最常用的Meuh6879/R3Qu13M版本的IPFilter中的各个级别对应的是下表所示的这些意思(翻译者:AUG):

过滤
级别
级别描
述缩写
级别描述 级别描述[中文]
60 [BG] Unallocated Address Space on IPv4 还未分配的IPV4地址段
70 [BG] Bogus AS Advertisements 伪造的广告发送地址
80 [BG] Possible Bogus Routes 很可能是伪造的路由器地址
90 [L1] Level1 第一级别
95 [FK] Fake Server 虚假的服务器
97 [MS] Microsoft 微软
99 [HJ] Hijacked 被劫持的地址
109 [L2] Level2 第二级别
111 [SW] Spyware 间谍软件
113 [AD] Ad Trackers 广告软件节点
115 [SD] Spider 蜘蛛(一般是搜索引擎的)
117 [TJ] Trojan 特洛伊(木马)
119 [TL] TempList 临时列表
160 [LN] Lan range 局域网保留IP段

比如在eMule“选项”->“安全”中设置级别108。那么小于108(不包括等于108)的所有IP都将被过滤。在上表所示IPFilter中,过滤的IP段包括还未分配的IPV4地址段(60)、伪造的广告发送地址(70),一直到被劫持的地址(99)。而大于或等于108的所有IP都将被放行。

换句话说,你设置的级别越高,过滤的IP也就越多,因而也就越安全,但误杀也会增多。

eMule默认过滤级别是127。但根据网友jason_jiang和《ipfilter介绍》作者小魔的经验,误伤主要发生在109(Level2)区间,因而推荐的设置级别为108。

不同版本的IPFilter

当然,上面说的级别差异也取决于ipfilter.dat文件,在Meuh6879/R3Qu13M版本等一些较为严格或者说是制作比较精良的IPFilter中会有体现。有些非常松的ipfilter.dat是没有分级别的,比如下面所说的轻型IPFilterX,仅6000多行,未分级。再比如VeryCD公司阉割驴easyMule的,只有约两百来行,也完全无必要分级别了(而easyMule软件中也确实没有级别选择选项,根本无法换用有级别的IPFilter)。虽然误杀少,但也充分暴露了自己,留下了安全隐患,也给Anti-P2P组织留下了后门(看来VeryCD公司一点都不在乎这个,天朝就是好,呵呵)。

很多网友制作的IPfilter(包括Meuh6879/R3Qu13M版本)都是根据专业团队制作的blocklist(即IP黑名单)制作的。当然他们这些blocklist也可以作为IPFilter直接用于eMule,但他们的格式不是最规范的eMule格式,一般也不分级。所以本人还是推荐使用网友根据这些blocklist制作的专门用于eMule的IPFilter。

原生blocklist

这些著名的blocklist版本有:

  • B.I.S.S(Bluetack Internet Security Solutions)英国民间网络安全组织Bluetack。
    其同时维护blocklistpro.com,在blocklistpro.com上下载的IPFilter和bluetack.co.uk是一样的。上文中我也推荐了他们的blocklist manager作为管理制作IPFilter的工具。

    B.I.S.S较为专业,他们所有的blocklist列表在此(目录页):Ad TrackersBogon RangesDShield RecommendedEdu RangesHijacked IP BlocksIANA MulticastIANA PrivateIANA ReservedLevel 1Level 2 CorpMicrosoft RelatedNon-LANProxySpidersSpywareBadpeers(该链接为旧版)、Level3Rangetest(已去除)。

    注意:从2012年初开始,只有B.I.S.S的捐赠者方可至其论坛相关版面下载最新版的Badpeers、pipfilter和nipfilter列表,上文和下文中这3个列表的链接都是旧版,其他列表都是最新的】

    B.I.S.S有三个常被拿来用到eMule上的IPFilter(pipfilter > nipfilter > Level1):

    • pipfilter(Paranoid IPFilter)(该链接为旧版)。
      Paranoid(偏执)版本。这个IPFilter是Bluetack上述所有blocklist的集合,是B.I.S.S中最严格的。有一定误杀,且不分级别。可以考虑使用。
    • nipfilter(Normal IPFilter)(该链接为旧版)。
      普通版本。其IPFilter中包含Bogon Ranges、DShield Recommended、Hijacked IP Blocks、IANA Multicast、IANA Private、IANA Reserved、Level 1、Level 2 Corp、Microsoft Related、Non-LAN List、Badpeers。不分级别,可以考虑使用。
    • Level1
      Level1简版。主要针对的是各种反P2P机构,包括虚假服务器,间谍服务器等等。实际上它是一个blocklist而非真正的IPFilter,相当于很多eMule IPFilter的级别90[L1],所以可能会有所不足。

    B.I.S.S还有两个列表,分别是:HOSTS,阻止有害的主机名映射到IP,使用时添加到你的hosts文件中;gnutella,用于Gnutella网络。

  • PeerGuardian
    PeerGuardian软件分出的PeerBlock软件的IP黑名单(放在了iblocklist.com站点上)。严格,但对中国IP误杀较多。不好直接使用但可供参考。
  • CIDR Report
    CIDR Report上的IP汇报被Meuh6879/R3Qu13M的IPFilter所采用。其中bogons/freespace-quads被作为级别60;bogus-as-advertisements被作为级别70;Bogons被作为级别80。这个只是列表,不是直接可用的IPFilter/blocklist。
  • emule-security.net
    emule-security.net上的fakeservers.txt列表也是一个重要的参考。他们同时也提供了ipfilter,不分级且数量不少,也是一个参考文件。

eMule IPFilter

比较常用的、网友制作的、专门用于eMule的IPFilter版本有:

  • Meuh6879/R3Qu13M
    Meuh6879/R3Qu13M定期制作的eMule IPFilter可以说是使用最广泛的,Xtreme、Pawcio等Mod都默认使用了它,也是eMule-Mods.de上推荐的IPFilter。它一开始由Meuh6879制作维护,在Meuh6879暂停维护后,由R3Qu13M帮助维护,现Meuh6879重归eMule社区,维护起了这款IPFilter。Meuh6879/R3Qu13M IPFilter是由B.I.S.S的和一些其他的blocklist、CIDR Report中的报告、一些防护软件中的list,加上他自己的一些IP整合而成的。封禁全面,安全等级高,虽有一定误伤,但它分级别可供设置。
  • IPFilterX
    这个项目除了给eMule Mod提供IPFilter外,也有uTorrent的IPFilter(uIpfilterX)和Peerguardian客户端的IPFilter(PeerGuardX)。这个6000多行不分级的轻型IPFilter也不是我们所推荐的。
  • Ozzy IPFilter
    emule-mods.de上的另一个IPFilter——Ozzy IPFilter看上去比Meuh6879/R3Qu13M还严格,但是却未分级,似乎也久未更新,因而不建议使用。不过ScarAngel用了这个版本的IPFilter(有改动)作为默认,更新地址在这里
  • 台灣土芒果
    台湾网友台灣土芒果(m-team上的帖eastshare上的帖)在Meuh6879/R3Qu13M基础上制作的IPFilter,和Meuh6879/R3Qu13M一样严格,也分级别,剔除了一些误杀,根据自己的经验增加了一些IP段。挺不错的,也可以考虑使用。
  • nlnjnj
    网友nlnjnj采用PeerBlock(PeerGuardian)的Ads、P2P、Spyware、Fake Servers四个IP过滤规则,同时参考了台灣土芒果的版本,制作出的IPFilter。较严格,不分级别而全部为100(这有点不规范,eMule的过滤等级设置必须大于100才可使用此IPFilter)。推荐程度中上。
  • zmhleo
    网友zmhleo根据B.I.S.S的level1版黑名单,去除误伤,增加了网友反馈的疯狂检档的IP段。同时根据虚假服务器列表增加或修改。另外也参考了台灣土芒果的总结。此版本不分级别,具有中等的严格度。可以使用,国内用户用的也不少。
  • eMule Fans 版
    我们的emulefans.com编辑弄的IPFilter,旧版在Meuh6879/R3Qu13M的IPFilter基础上剔除了一些误杀并增加了一些IP。新版直接基于B.I.S.S.的list制作。

关于Meuh6879/R3Qu13M IPFilter的最新版地址

很奇怪,最常用的Meuh6879/R3Qu13M IPFilter的作者Meuh6879和R3Qu13M自己不在Sourceforge或者Googlecode开设一个项目。他一般就把IPFilter放在哪个网盘上,然后在eMule官方论坛上发个贴。

Meuh6879/R3Qu13M IPFilter的新版一般会被Pawcio作者放在eMule Pawcio Mod的Sourceforge项目中,所以它有时候也被称作Pawcio IPFilter,网文《ipfilter介绍》和不少中国骡友都如此称呼。原先ScarAngel Mod的IPFilter默认更新地址用的也是Sourceforge的Pawcio项目中的Meuh6879/R3Qu13M IPFilter的地址(现在ScarAngel使用了Ozzy),Xtreme至今也用Pawcio上的。但是现在最新的Pawcio项目页中的更新也跟不上Meuh6879或R3Qu13M的更新了。

著名eMule Mod站emule-mods.de上也常host这个版本的IPFilter,但有时也跟不上更新,而且没有固定的链接可供自动更新。

由于Meuh6879/R3Qu13M IPFilter没有固定的链接,而且其中也有明显的对一些正常服务器的误杀,我们googlecode上host了Meuh6879/R3Qu13M IPFilter以及它的“剔除误杀版”本blog上发布的下载地址和长期维护更新地址都是来自googlecode的。用户可下载原版或剔除误杀版,或将它们作为自动更新地址。本blog上也会一直发布此IPFilter及其剔除误杀版的最新消息。

16条评论隐藏

  1. #1 smallpotato
    2010年4月20日 周二 23:29 | 回复

    谢谢科普贴,,认真学习~

  2. #2
    2010年4月21日 周三 01:16 | 回复

    新增加了中文网友制作的3个版本的IPFilter的介绍,分别是台灣土芒果、nlnjnj和zmhleo的。这三个都不错

  3. #3 leecher blocker
    2010年4月21日 周三 09:24 | 回复

    已屏蔽全部北美ip段,韩国段,以色列段,正在考虑屏蔽中国段的路过~~~~ 😛

  4. #4 half unselfish sharer
    2010年4月21日 周三 12:01 | 回复

    台湾土芒果不知该怎样下

  5. 2010年4月21日 周三 12:09 | 回复

    又长知识了,不过还要在嚼嚼

  6. #6
    2010年4月21日 周三 23:55 | 回复

    勘误:ScarAngel用的是Ozzy(有更改),旧版才用的R3Qu13M。不过Xtreme至今用的都是Pawcio Sourceforge上的R3Qu13M版

    @half unselfish sharer 奇怪,eastshare现在上不去。m-team上也有他的帖子: http://www.m-team.cc/forum/viewthread.php?tid=27230
    他提供的网盘下载:
    http://sharebee.com/b6c79d47

  7. 2010年4月22日 周四 10:22 | 回复

    在认真考虑uT用哪个。。。

  8. 2010年4月22日 周四 17:58 | 回复

    奥兹的是会随着原版更新的。

  9. #9
    2010年4月23日 周五 04:33 | 回复

    @feathia 没有看到Ozzy到底把他的新版IPFilter放在哪里了,
    emule-mods.de上的是07.01.2009更新的。不知道stulle传在sourceforge的scarangel上的是不是最新的。 💡

  10. #10 half unselfish sharer
    2010年4月23日 周五 12:26 | 回复

    台湾土芒果似乎把服务器都过滤干净了,剩下的服务器就只有寥寥几个了

  11. 2010年4月23日 周五 12:55 | 回复

    @囧

    SA的项目里那个是新的。

  12. #12 dongzi_24
    2010年4月27日 周二 00:14 | 回复

    呃……需要复习

  13. #13 wxflwr
    2010年5月10日 周一 19:33 | 回复

    有适合uT用的IPfilter吗?

  14. #14 throll
    2010年9月5日 周日 09:10 | 回复

    @wxflwr
    看你要不要用nipfilter,去B.I.S.S下載….怕太嚴的話,跟我一樣改用Level1 ipfilter(一樣去B.I.S.S下載).防護弱了點,但不會有誤殺

    P.S.版主麻煩更新一下資訊,B.I.S.S已經有出可以直接用的Level1 ipfilter

  15. 2011年5月10日 周二 09:32 | 回复
  16. #16 Lord,i will
    2013年2月20日 周三 11:06 | 回复

    顶了,太有用了。。。学习中、 :mrgreen:

发表评论

您的Email将不会显示出来。头像请至Gravatar.com注册上传。*号标注项为必填。

*
*
*
标签用法
字数:0