मृत torrent tracker को फिर से चालू कर 30 लाख peers खोजने का अनुभव

 (kianbradley.com)
1 पॉइंट द्वारा GN⁺ 2025-06-18 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • लेखक ने बंद हो चुके torrent tracker domain को हासिल करके खुद opentracker चलाया
  • tracker को फिर से चालू करते ही 17 लाख torrents और 31 लाख peers ने अपने-आप कनेक्ट होने की कोशिश की
  • BitTorrent protocol में tracker एक केंद्रीकृत भूमिका निभाता है, और tracker न हो तो file sharing मुश्किल हो जाती है
  • Mainline DHT जैसी विकेंद्रीकृत alternatives मौजूद हैं, लेकिन उनकी अपनी सीमाएँ और कमजोरियाँ हैं
  • कानूनी जोखिम के कारण अंत में domain और VPS को हटा दिया गया

अवलोकन

  • लेखक Linux ISO आदि torrents डाउनलोड करते समय इस स्थिति पर पहुँचा कि ज़्यादातर trackers बंद पड़े थे
  • उसे पता चला कि “मृत” tracker domain (udp://open.demonii.si:1337/announce) रजिस्टर नहीं था
  • उसने वह domain खरीदकर VPS पर opentracker इंस्टॉल किया और वास्तविक tracker चलाकर देखा

BitTorrent tracker क्या है

  • tracker, BitTorrent protocol में peers (users) के बीच कनेक्शन बनाने में मदद करने वाली central service की भूमिका निभाता है
  • अगर tracker चालू न हो, तो users एक-दूसरे को ढूँढ नहीं पाते और file sharing संभव नहीं रहती
  • जब tracker का रखरखाव नहीं होता या उस पर कानूनी दबाव आता है, तो users को असुविधा होती है

विकेंद्रीकृत विकल्प (DHT) और उनकी सीमाएँ

  • Mainline DHT, tracker के बिना distributed network तरीके से peers खोजने में मदद करता है
  • DHT में bootstrap node पर निर्भरता, Sybil attack के प्रति संवेदनशीलता जैसी सीमाएँ हैं
  • लेखक ने जिस torrent का परीक्षण किया, उसमें DHT से भी peers नहीं मिले

tracker को खुद बनाने की प्रक्रिया

  • domain खरीदने के बाद उसे एक anonymous VPS से जोड़ा गया
  • opentracker (सबसे ज़्यादा इस्तेमाल होने वाला torrent tracker software) से tracker server जल्दी तैयार किया गया
  • सिस्टम चलने के बाद UDP 1337 port पर भारी मात्रा में traffic आने की पुष्टि हुई
  • सिर्फ एक घंटे में 17.3 लाख torrents और 31.5 लाख peers के connection attempts आँकड़ों में दिखे

tracker आँकड़े (Stats)

  • 1,735,538 torrents, 3,155,701 peers, 1,342,504 seeders (पूर्ण कॉपी रखने वाले), और 244,224 downloads पूर्ण होने के रिकॉर्ड मिले
  • TCP/UDP connections, announce, scrape आदि कई request types का डेटा संकलित किया गया
  • access और error stats का भी विश्लेषण किया गया, जिनमें कुछ parameter errors (400 Invalid Parameter) और थोड़ी संख्या में 404 Not Found errors थे

कानूनी मुद्दे

  • सार्वजनिक वेबसाइट, .torrent files का प्रचार, और ad revenue जैसी चीज़ें copyright उल्लंघन को बढ़ावा देने वाली गतिविधि मानी जा सकती हैं और कानूनी समस्या बन सकती हैं
  • सिर्फ tracker infrastructure चलाना कानूनी रूप से कितना जिम्मेदार ठहराया जा सकता है, यह अस्पष्ट है। लेकिन intent साबित करना मुख्य विवाद का बिंदु हो सकता है
  • लेखक को पता था कि इस tracker का इस्तेमाल मुफ्त और copyrighted, दोनों तरह के torrents कर रहे थे

अंतिम निष्कर्ष

  • कानूनी चिंताओं और real-name payment method (जैसे card payment) के कारण लेखक ने जल्दी ही VPS और domain को छोड़ दिया
  • उसने बताया कि अभी भी ऐसे कई unused tracker domains हैं जिन्हें इच्छुक लोग आसानी से रजिस्टर कर सकते हैं
  • open.demonii.si जैसे publicly registrable tracker domains का भी उल्लेख किया गया

समापन

  • यह BitTorrent ecosystem में centralized tracker infrastructure की भूमिका और उसकी कमजोरियों, तथा decentralized तकनीकों की सीमाओं को अनुभव के आधार पर दिखाता है
  • लंबे समय से बंद पड़े tracker domain को फिर से चालू करने पर भी तुरंत लाखों peers के connection attempts आना प्रभावशाली था
  • infrastructure चलाने से जुड़े कानूनी जोखिमों पर सावधानी बरतने की बात साझा की गई

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-06-18
Hacker News की राय

  • इस मामले में ट्रैकर को सीधे होस्ट नहीं किया जा रहा, सिर्फ आने वाले कनेक्शनों को देखा जा रहा है, इसलिए इसके गैरकानूनी होने की संभावना कम लगती है। ट्रैकर चलाने पर भी यह साबित करना आसान नहीं है कि वह वास्तव में अवैध है। opentrackr जैसी किसी चीज़ को होस्ट करना कुछ-कुछ सर्च इंजन चलाने जैसा है। मुख्य बात यह है कि आप कानूनी takedown requests का जवाब कैसे देते हैं। ट्रैकर खुद काफ़ी साधारण server software है। ऐसी चीज़ का अवैध माना जाना थोड़ा अजीब लगता है

    • “क्या यह कानूनी है?” से ज़्यादा व्यावहारिक सवाल है, “मुकदमा झेलने की कितनी संभावना है?” सिविल मुकदमा तो चीज़ कानूनी हो या नहीं, फिर भी हो सकता है। अगर वकीलों ने आपको target बना लिया तो मामला बहुत झंझट वाला हो जाता है
    • अगर आपने जानबूझकर किसी अपराध में मदद की, तो उसे खुद अपराध करने जैसा माना जाता है। अमेरिकी संघीय क़ानून (18 USC 2a, संदर्भ लिंक) के तहत सिर्फ यह कह देने से कि यह तो बस software है, गलत काम के लिए छूट नहीं मिलती। कुछ सुरक्षित कानूनी अपवाद मौजूद हैं, खासकर copyright से जुड़े मामलों में, लेकिन कुल मिलाकर किसी और के अपराध में मदद करना अपने-आप में भी अपराध माना जा सकता है। मैं वकील नहीं हूँ, लेकिन अपराध में मदद करने से बचना ही ठीक है
    • ट्रैकर (BitTorrent peers के बीच समन्वय के लिए server) और "tracker" (.torrent फ़ाइलें और magnet URI होस्ट करने वाली साइट) में फर्क करना चाहिए। वास्तव में कानूनी takedown कार्रवाई ज़्यादातर दूसरी चीज़ पर केंद्रित रही है, यानी .torrent फ़ाइलें या links होस्ट करने वाली साइटों पर
    • (मैं विशेषज्ञ नहीं हूँ, लेकिन) परिस्थिति के हिसाब से यह कानूनी भी हो सकता है और अवैध भी। अगर आप takedown request का जवाब नहीं देते, तो मामला अवैधता की तरफ़ झुक सकता है। उल्टा, अगर आप takedown requests का जवाब दें और hash को blacklist कर दें, तो ज़्यादातर मामलों में सब ठीक रहने की संभावना है। बेशक, यह jurisdiction पर भी निर्भर करता है और इस बात पर भी कि hash-IP:port mapping को ही वितरण/सहायता माना जाता है या नहीं (TPB मामले को देखें)। मेरी जानकारी में एक व्यक्ति ने कई सालों तक बड़ा ट्रैकर चलाया, takedown requests पर blacklist किया, और आज तक बिना दिक्कत के है
    • संगीत/फ़िल्म उद्योग ने कुल मिलाकर P2P से इतनी नफ़रत की कि 2000 के दशक में उसने लगभग पूरे P2P ecosystem को मार दिया। मुझे लगता है कि कभी न कभी इस पर फिर से चर्चा होनी चाहिए। अब जबकि licensing लेना आसान हो गया है, अगर DRM enforcement ठीक से हो तो ज़्यादा चिंता की ज़रूरत नहीं होनी चाहिए

  • बहुत से BitTorrent clients मौजूद हैं, और उनमें से काफ़ी unsafe languages में लिखे गए हैं। ऐसे में यह सवाल उठता है कि क्या कोई malicious tracker कुछ clients पर हमला कर सकता है। अगर ट्रैकर से असामान्य data मिले, तो शायद कुछ clients उसे सही तरह से handle न कर पाएँ और कमजोर behavior दिखाएँ

    • Transmission में CVE-2018-5702 नाम की DNS rebinding vulnerability की वजह से remote code execution संभव रहा था। इसलिए ट्रैकर के ज़रिए हमला एक वास्तविक risk है
    • ज़्यादातर users जिन torrent clients का इस्तेमाल करते हैं, वे libtorrent नाम की library के wrappers हैं। libtorrent अच्छी तरह tested और security-audited library है, इसलिए उस पर काफ़ी भरोसा किया जाता है
    • मैंने भी शौक़ में एक client बनाया था, और निष्कर्ष यही है: 'हाँ'। यह server से आने वाले input data को संभालता है और filesystem के साथ भी जटिल तरह से interact करता है। memory-safe language में भी इसे मुश्किल से ठीक से चलने लायक बनाना आसान नहीं होता, और C या C++ में इसे पूरी तरह सुरक्षित बनाना काफ़ी कठिन काम लगता है
    • Rust में न लिखे गए और भी बहुत से प्रोग्राम हैं, इसलिए शायद बहुत ज़्यादा चिंता की ज़रूरत नहीं है (या फिर यह भी कह सकते हैं कि हर software जोखिमभरा हो सकता है)
    • अच्छा होता अगर मूल लेख में इस तरह के technical threats को थोड़ा और explore किया जाता

  • आखिरकार इसका मतलब यह भी हुआ कि सिर्फ domain register करके और कुछ खास DNS records publish करके आप किसी भी मनचाहे IP पर DDoS कर सकते हैं

    • आम लोकप्रिय clients का announce interval काफ़ी लंबा होता है (लगभग 30 मिनट)। लेकिन अगर peers 30 लाख हों, तो अपने-आप में network load बन सकता है
    • मुझे नहीं लगता कि यह वास्तव में इतना गंभीर risk है। जिन BitTorrent clients का मैंने इस्तेमाल किया है, वे connection fail होने पर कम-से-कम 60 सेकंड रुकते हैं। अगर कोई dead tracker domain खरीदकर traffic किसी और के IP की तरफ़ मोड़ भी दे, तब भी उस port पर service चल नहीं रही होगी, और अगर tracker protocol भी इस्तेमाल न हो, तो लाखों clients आने पर भी क्या सच में बहुत बड़ी समस्या बनेगी, इस पर संदेह है

  • रोज़ अपडेट होने वाली tracker master list यहाँ है। इसका उपयोग करके और dead trackers भी ढूँढे जा सकते हैं

  • मेरा पहला सवाल यही है कि कितने BitTorrent clients में vulnerable parsing code है। क्या कोई malicious तरीके से domain register करके clients को infect कर सकता है?

    • Jon Evans के उपन्यास “Invisible Armies” की याद आती है, जिसमें लेखक ने P2P software के bugs/backdoors का इस्तेमाल करके systems पर क़ब्ज़ा करने वाला दृश्य लिखा है
    • utorrent v2.1 आज भी बहुत लोग इस्तेमाल कर रहे हैं, और उसमें vulnerabilities होना तय है

  • यह स्थिति कुछ-कुछ वैसी है जैसी तब हुई थी जब Cloudflare ने 1.1.1.1 IP address ले लिया था। जैसे ही domain खुला, बहुत सारे automated scripts और bots ने उस तरफ़ traffic भेजना शुरू कर दिया था

    • जिज्ञासा है कि Cloudflare ने वह address हासिल कैसे किया

  • मैंने पहले प्रयोग के तौर पर थोड़े समय के लिए एक personal tracker चलाया था। असली संचालन बहुत कम समय के लिए था, और मैंने tracker के काम करने का तरीका गहराई से नहीं समझा था (मैंने Rust में बने Aquatic tracker में webtorrent support की request करके उसे आज़माया था Aquatic लिंक)। मुझे जिज्ञासा है कि ट्रैकर वास्तव में क्या track करता है, और peer-to-peer information exchange से वह सीधे क्या जान सकता है। मेरा अंदाज़ा है कि वह बस hash या magnet value के आधार पर peers की मुलाकात कराता है। magnet में खुद कोई पहचान योग्य जानकारी होना ज़रूरी नहीं है (हालाँकि कई magnet links में इंसानों के पढ़ने लायक विवरण भी होते हैं)। ट्रैकर hash लेकर खुद उस फ़ाइल को डाउनलोड करके जाँच सकता है, लेकिन जब तक वह वास्तव में डाउनलोड न करे, तब तक यह ठीक-ठीक जानना मुश्किल है कि content क्या है। मैं जानना चाहता हूँ कि magnet link में peer matching के लिए वास्तव में कौन-से तत्व ज़रूरी हैं, और क्या ट्रैकर इंसानों के पढ़ने वाले fields को ignore या block करके तटस्थ रह सकता है

    • ट्रैकर सिर्फ torrent के info hash से काम करता है। वह file name, description, content list या ऐसी कोई चीज़ नहीं संभालता। उदाहरण के लिए opentracker whitelist और blacklist दोनों modes को support करता है। ज़्यादातर open trackers (जैसे torrent.eu, opentrackr.org आदि) blacklist mode में चलते हैं और लगभग सभी users को लगभग हर तरह का content खोजने देते हैं
    • ट्रैकर वास्तव में यह जान सकता है कि वह कौन-सा content track कर रहा है। मैं पहले एक TV program tracker चलाता था, जो हर user का upload/download ratio तक track करके manage करता था

  • रूस, चीन, ईरान आदि में domain register करके Alibaba पर साइट होस्ट कर दो। अमेरिका से कानूनी दबाव डालें भी तो वह उन देशों तक पहुँचते-पहुँचते लगभग बेअसर हो जाता है। व्यवहार में वहाँ कानूनी कार्रवाई करना बहुत मुश्किल है

  • मैं वकील नहीं हूँ, लेकिन मेरी समझ में अमेरिका के भीतर content-neutral tracker चलाना कानूनी है। हालांकि दूसरे देशों में यह निश्चित रूप से अवैध हो सकता है, और VPS की location तथा TLD country (.si आदि) के हिसाब से भी फ़र्क पड़ता है

    • खोजने पर ऐसे trackers के उदाहरण मिलते हैं जिन्हें अमेरिकी क़ानून प्रवर्तन ने ज़बरदस्ती बंद कराया (EliteTorrents, 2005, संबंधित लेख)। शायद और भी मामले होंगे। बहुत से trackers सिविल मुकदमों (जैसे MPAA जैसी संस्थाओं के damages claims) की वजह से भी बंद हुए। अगर पूरी list में ज़्यादातर copyright content है, तो अमेरिका में भी उसे कभी भी बंद कराया जा सकता है
    • पहले .si पर चलने वाला एक बड़ा public tracker था। स्लोवेनिया में जो लोग लगभग 20 साल से online हैं, उन्होंने उसे शायद कम-से-कम एक बार इस्तेमाल किया होगा। यह tracker सिर्फ कानूनी notice से गायब नहीं हुआ था
    • VPS cockbox.org आधारित जगह पर है (मूल लेख देखें), और कहा जाता है कि इस कंपनी का मुख्यालय Moldova में है

  • अगर कोई suprnova domain (जो 2004 में बंद हो गया था) फिर से खरीद ले, तो क्या अब भी पुराने downloads फिर से शुरू किए जा सकते हैं, बशर्ते कुछ seeders अभी भी जिंदा हों? और क्या DHT से पहले के दौर में बने torrents पर भी इसका असर पड़ेगा? मैं यह भी जानना चाहता हूँ कि DHT इतना “historical” है या नहीं कि बहुत पुराने torrents को भी cover कर सके

    • DHT सचमुच “historical” है। यानी torrent कब बनाया गया, इससे फर्क नहीं पड़ता; अगर infohash मेल खाता है तो यह काम करेगा। हालाँकि private trackers पर बने torrents में आमतौर पर “private” flag चालू होता है, इसलिए वे DHT, PEX जैसी कुछ सुविधाओं से बाहर रहते हैं। इस flag को हटाया जा सकता है, लेकिन DHT चलने के लिए seeder की तरफ़ से भी यह flag हटना चाहिए
    • अगर client में DHT enabled है, तो यह किसी भी समय काम कर सकता है। अगर पुराने seeders ने भी नए version के clients में upgrade कर लिया हो, तो metadata अपने-आप DHT में share हो सकता है
    • सैद्धांतिक रूप से, ऊपर जैसी स्थिति पूरी तरह संभव है