简单说来,IPFilter(IP过滤数据库)就是帮助你的eMule或其他P2P软件过滤掉一些不安全的IP地址的玩意儿。
打住。以下文字中,除了第一段“使用方法”是针对普通用户的,其余文字均是IPFilter文件、级别、版本的一些较“深”的介绍,供“研究”之用。如果你只是一位急着找寻最新版IPFilter并使用的普通用户,而懒得去研究这么多文字,请至IPFilter目录 [1]下载最新版的Meuh6879 IPFilter与eMule Fans修改版IPFilter。
具体说来,IPFilter可以屏蔽Anti-P2P的服务器或客户端的恶意IP。这些Anti-P2P的恶意IP包括虚假、间谍服务器,vagga服务器,恶意IP,带有木马、间谍软件的攻击性IP、黑客等等不安全的IP地址。IPFilter将会防止其扫描P2P网络,使eMule不会连接上这些不良的IP,防止恶意IP对自己的连接与攻击。狭义上的“吸血”客户端IPFilter无法防止,还需要靠DLP等反吸血,但拒绝攻击性IP对自己也依然是一种保护。
以下的“过滤级别”和“不同版本”部分参考了网友小魔的经典文章《ipfilter介绍》,结合最新的情况叙述。《ipfilter介绍》应该是VeryCD BBS中的讨论贴,但现在VeryCD公司打击非VC客户端的讨论,BBS用户也早就散了,原链接失效而重定向至VC首页,这里有AUG在ied2k上的转载 [2]和elvis_w在VeryCD社区Mod大全小组的转载 [3](该小组由于讨论非VC Mod,遭到VeryCD公司打压,曾被封锁,至今说话不便)。
使用方法
支持IPFilter的有eMule(和其Mod)、aMule、MLDonkey等一些电驴软件,以及μTorrent、Vuze、BitTorrent、BitSpirit、BitComet、Halite等BitTorrent协议软件。
上述软件均可兼容使用不分级的、ipfilter.dat格式的IPFilter(但有的不支持“#”号开头的行注释,需要去掉)。一般来说,对于上述所有软件,把解压出来的ipfilter.dat文件拷贝到适当的目录下即可,然后再做一些适当的设置。具体每个软件ipfilter.dat放置的位置列举如下(仅供参考,一般还需要视你的操作系统、Win用户名、软件安装地址、软件版本等而定):
- eMule及其Mod:eMule目录下的config目录里(Vista、Win7以上,config目录默认在C:\Users\你的用户名\AppData\Local\eMule\config\中,这取决于你的设置,详细请见这里 [4])
- aMule:
~/.aMule/ipfilter.dat - μTorrent:
C:\Users\Administrator\AppData\Roaming\uTorrent\ - Vuze:
C:\Program Files\Vuze\ - BitTorrent:
C:\Users\Administrator\AppData\Roaming\BitTorrent\ - BitSpirit:
C:\Program Files\BitSpirit\config\ - BitComet:
C:\Program Files\BitComet\rules\ - Halite:
C:\Program Files\Halite\
如果在eMule及其Mod中使用分级别的IPFilter,还需要进入eMule选项的“安全”选项卡,把“过滤级别”设为你需要的等级。级别应视你的IPFilter来衡量选择,越高过滤得越多。官方eMule默认设置是127。另外还要选择是否“服务器也被过滤”,官方eMule默认未选。另外eMule及其Mod还可以自动更新IPFilter,详见这里 [5]。
推荐使用本站编辑修改制作的eMule Fans 版 IPFilter [1]。
这里还有几个小工具:
- ipfilter-updater.bat [6](一个手动快捷更新IPFilter的批处理文件)(将所有文件放在ipfilter.dat所在文件夹下。执行ipfilter-updater.bat即更新ipfilter.dat并备份旧文件)
- Listdrop [7](从ipfilter.dat通用格式转至guarding.p2p格式的小工具)
ipfilter.dat文件查看
ipfilter.dat文件可以当作普通文本,用记事本或者任何一款文本编辑处理软件都可以打开。推荐EditPlus等处理大文件较为迅速的编辑器。
这是典型和规范的一个ipfilter.dat中的一行:
75.43.1.200 - 75.43.1.207 , 90 , [L1]WARNER BROTHERS-061019211709
其实它就是一个逗号分隔的表格文件。第一竖行,75.43.1.200 - 75.43.1.207,表明IP段;第二竖行,90,表明过滤级别;第三竖行,[L1]WARNER BROTHERS-061019211709,描述了此IP段为何被列入。我们举的这行例子,意思就是说这段IP有可能是华纳兄弟公司(WARNER BROTHERS)的内部IP,甚至可能用来钓鱼,收集P2P使用者的数据。这个ipfilter.dat将它列入过滤级别90,为[L1]第一级别。
有些ipfilter.dat描述很简略,也没有写“[L1]”的级别描述。
有些ipfilter.dat,它们的第二竖行一律为000。这种就是不分级别的IPFilter。只能固定地、必须地过滤掉这些IP,无法设置放宽或加紧。
专业地管理、制作IPFilter,建议使用下文中提到的B.I.S.S组织所维护的blocklist manager [8]。
过滤级别
IPFilter过滤级别(Filter Level)可以让用户来自定义你需要的IPFilter的严格程度。eMule的“选项”->“安全”中可以设置将某一级别以下的所有IP都过滤掉(官方eMule以及几乎所有Mod均可设置,VeryCD公司的“阉割驴”easyMule无此选项,因而建议使用正规Mod)。级别越低的IP就越不安全、越“恶毒”。不同的IPFilter库的过滤级别所指示的松紧程度不一定相同,最常用的Meuh6879/R3Qu13M版本的IPFilter中的各个级别对应的是下表所示的这些意思(翻译者:AUG):
| 过滤 级别 |
级别描 述缩写 |
级别描述 | 级别描述[中文] |
|---|---|---|---|
| 60 | [BG] | Unallocated Address Space on IPv4 | 还未分配的IPV4地址段 |
| 70 | [BG] | Bogus AS Advertisements | 伪造的广告发送地址 |
| 80 | [BG] | Possible Bogus Routes | 很可能是伪造的路由器地址 |
| 90 | [L1] | Level1 | 第一级别 |
| 95 | [FK] | Fake Server | 虚假的服务器 |
| 97 | [MS] | Microsoft | 微软 |
| 99 | [HJ] | Hijacked | 被劫持的地址 |
| 109 | [L2] | Level2 | 第二级别 |
| 111 | [SW] | Spyware | 间谍软件 |
| 113 | [AD] | Ad Trackers | 广告软件节点 |
| 115 | [SD] | Spider | 蜘蛛(一般是搜索引擎的) |
| 117 | [TJ] | Trojan | 特洛伊(木马) |
| 119 | [TL] | TempList | 临时列表 |
| 160 | [LN] | Lan range | 局域网保留IP段 |
比如在eMule“选项”->“安全”中设置级别108。那么小于108(不包括等于108)的所有IP都将被过滤。在上表所示IPFilter中,过滤的IP段包括还未分配的IPV4地址段(60)、伪造的广告发送地址(70),一直到被劫持的地址(99)。而大于或等于108的所有IP都将被放行。
换句话说,你设置的级别越高,过滤的IP也就越多,因而也就越安全,但误杀也会增多。
eMule默认过滤级别是127。但根据网友jason_jiang和《ipfilter介绍》作者小魔的经验,误伤主要发生在109(Level2)区间,因而推荐的设置级别为108。
不同版本的IPFilter
很多网友制作的IPfilter(包括Meuh6879/R3Qu13M版本)都是根据专业团队制作的blocklist(即IP黑名单)制作的。当然他们这些blocklist也可以作为IPFilter直接用于eMule,但他们的格式不是最规范的eMule格式,一般也不分级。所以本人还是推荐使用网友根据这些blocklist制作的专门用于eMule的IPFilter。
原生blocklist
这些著名的blocklist版本有:
- B.I.S.S [9](Bluetack Internet Security Solutions)英国民间网络安全组织Bluetack。
其同时维护blocklistpro.com [10],在blocklistpro.com上下载的IPFilter和bluetack.co.uk是一样的。上文中我也推荐了他们的blocklist manager [8]作为管理制作IPFilter的工具。B.I.S.S较为专业,他们所有的blocklist列表在此(目录页 [11]):Ad Trackers [12]、Bogon Ranges [13]、DShield Recommended [14]、Edu Ranges [15]、Hijacked IP Blocks [16]、IANA Multicast [17]、IANA Private [18]、IANA Reserved [19]、Level 1 [20]、Level 2 Corp [21]、Microsoft Related [22]、Non-LAN [23]、Proxy [24]、Spiders [25]、Spyware [26]、Badpeers [27](该链接为旧版)、Level3 [28]、
Rangetest [29](已去除)。【注意:从2012年初开始,只有B.I.S.S的捐赠者方可至其论坛相关版面下载最新版的Badpeers、pipfilter和nipfilter列表,上文和下文中这3个列表的链接都是旧版,其他列表都是最新的】
B.I.S.S有三个常被拿来用到eMule上的IPFilter(pipfilter > nipfilter > Level1):
- pipfilter(Paranoid IPFilter) [30](该链接为旧版)。
Paranoid(偏执)版本。这个IPFilter是Bluetack上述所有blocklist的集合,是B.I.S.S中最严格的。有一定误杀,且不分级别。可以考虑使用。 - nipfilter(Normal IPFilter) [31](该链接为旧版)。
普通版本。其IPFilter中包含Bogon Ranges、DShield Recommended、Hijacked IP Blocks、IANA Multicast、IANA Private、IANA Reserved、Level 1、Level 2 Corp、Microsoft Related、Non-LAN List、Badpeers。不分级别,可以考虑使用。 - Level1 [32]。
Level1简版。主要针对的是各种反P2P机构,包括虚假服务器,间谍服务器等等。实际上它是一个blocklist而非真正的IPFilter,相当于很多eMule IPFilter的级别90[L1],所以可能会有所不足。
B.I.S.S还有两个列表,分别是:HOSTS [33],阻止有害的主机名映射到IP,使用时添加到你的hosts文件 [34]中;gnutella [35],用于Gnutella网络。
- pipfilter(Paranoid IPFilter) [30](该链接为旧版)。
- PeerGuardian [36]。
PeerGuardian软件分出的PeerBlock [37]软件的IP黑名单(放在了iblocklist.com [38]站点上)。严格,但对中国IP误杀较多。不好直接使用但可供参考。 - CIDR Report [39]。
CIDR Report上的IP汇报被Meuh6879/R3Qu13M的IPFilter所采用。其中bogons/freespace-quads [40]被作为级别60;bogus-as-advertisements [41]被作为级别70;Bogons [42]被作为级别80。这个只是列表,不是直接可用的IPFilter/blocklist。 - emule-security.net [43]。
emule-security.net上的fakeservers.txt [44]列表也是一个重要的参考。他们同时也提供了ipfilter [45],不分级且数量不少,也是一个参考文件。
eMule IPFilter
比较常用的、网友制作的、专门用于eMule的IPFilter版本有:
- Meuh6879/R3Qu13M。
Meuh6879/R3Qu13M定期制作的eMule IPFilter可以说是使用最广泛的,Xtreme、Pawcio等Mod都默认使用了它,也是eMule-Mods.de上推荐的IPFilter。它一开始由Meuh6879制作维护,在Meuh6879暂停维护后,由R3Qu13M帮助维护,现Meuh6879重归eMule社区,维护起了这款IPFilter。Meuh6879/R3Qu13M IPFilter是由B.I.S.S的和一些其他的blocklist、CIDR Report中的报告、一些防护软件中的list,加上他自己的一些IP整合而成的。封禁全面,安全等级高,虽有一定误伤,但它分级别可供设置。 - IPFilterX [46]。
这个项目除了给eMule Mod提供IPFilter外,也有uTorrent的IPFilter(uIpfilterX)和Peerguardian客户端的IPFilter(PeerGuardX)。这个6000多行不分级的轻型IPFilter也不是我们所推荐的。 - Ozzy IPFilter [47]。
emule-mods.de上的另一个IPFilter——Ozzy IPFilter看上去比Meuh6879/R3Qu13M还严格,但是却未分级,似乎也久未更新,因而不建议使用。不过ScarAngel用了这个版本的IPFilter(有改动)作为默认,更新地址在这里 [48]。 - 台灣土芒果。
台湾网友台灣土芒果(m-team上的帖 [49];eastshare上的帖 [50])在Meuh6879/R3Qu13M基础上制作的IPFilter,和Meuh6879/R3Qu13M一样严格,也分级别,剔除了一些误杀,根据自己的经验增加了一些IP段。挺不错的,也可以考虑使用。 - nlnjnj [51]。
网友nlnjnj采用PeerBlock(PeerGuardian)的Ads、P2P、Spyware、Fake Servers四个IP过滤规则,同时参考了台灣土芒果的版本,制作出的IPFilter。较严格,不分级别而全部为100(这有点不规范,eMule的过滤等级设置必须大于100才可使用此IPFilter)。推荐程度中上。 - zmhleo [52]。
网友zmhleo根据B.I.S.S的level1版黑名单,去除误伤,增加了网友反馈的疯狂检档的IP段。同时根据虚假服务器列表增加或修改。另外也参考了台灣土芒果的总结。此版本不分级别,具有中等的严格度。可以使用,国内用户用的也不少。 - eMule Fans 版 [1]。
我们的emulefans.com [53]编辑弄的IPFilter,旧版在Meuh6879/R3Qu13M的IPFilter基础上剔除了一些误杀并增加了一些IP。新版直接基于B.I.S.S.的list制作。
关于Meuh6879/R3Qu13M IPFilter的最新版地址
很奇怪,最常用的Meuh6879/R3Qu13M IPFilter的作者Meuh6879和R3Qu13M自己不在Sourceforge或者Googlecode开设一个项目。他一般就把IPFilter放在哪个网盘上,然后在eMule官方论坛上发个贴。
Meuh6879/R3Qu13M IPFilter的新版一般会被Pawcio作者放在eMule Pawcio Mod的Sourceforge项目 [54]中,所以它有时候也被称作Pawcio IPFilter,网文《ipfilter介绍》和不少中国骡友都如此称呼。原先ScarAngel Mod的IPFilter默认更新地址用的也是Sourceforge的Pawcio项目中的Meuh6879/R3Qu13M IPFilter的地址(现在ScarAngel使用了Ozzy),Xtreme至今也用Pawcio上的。但是现在最新的Pawcio项目页中的更新也跟不上Meuh6879或R3Qu13M的更新了。
著名eMule Mod站emule-mods.de上也常host [55]这个版本的IPFilter,但有时也跟不上更新,而且没有固定的链接可供自动更新。
由于Meuh6879/R3Qu13M IPFilter没有固定的链接,而且其中也有明显的对一些正常服务器的误杀,我们 [53]在googlecode上host了Meuh6879/R3Qu13M IPFilter以及它的“剔除误杀版” [56],本blog上发布的 [1]下载地址和长期维护更新地址都是来自googlecode的。用户可下载原版或剔除误杀版,或将它们作为自动更新地址。本blog上也会一直发布此IPFilter及其剔除误杀版的最新消息。