Drei Informatiker von der University of Washington haben sich das genauer angeschaut (PDF-Download). Ich stelle hier mal kurz den Inhalt dar, genauer steht's natürlich im Artikel. Zuerst eine kurze Erklärung der Funktionsweise von BitTorrent. Damit ein P2P-Netzwerk funktionieren kann, braucht man zwei Informationen: Den eigentlichen Inhalt (z.B. der Mitschnitt einer Radio-Sendung), und eine Angabe, wer diesen Inhalt anbietet. Die älteren P2P-Netzwerke wie Napster verfügten über einen zentralen Index der Inhalte, der auf einem Server gehostet wurde. BitTorrent dagegen hat keinen solchen zentralen Index. Die nötige Information, wer eine Datei (bzw. einen Teil der Datei) anbietet, ist in einem Metafile auf mehreren Servern verteilt gespeichert. Dieses Metafile wird
Torrent genannt. Es enthält Angaben über die eigentliche Datei (Name, Größe), sowie einen Tracker. Dieser Tracker ist der Teil, der angibt, welche Peers über welchen Teil der Datei verfügen. Diese Tracker sind auf Webservern gespeichert. Sobald ein Peer einen Teil einer Datei erhalten hat, meldet er dies dem Tracker. Von jetzt an kann er anderen Peers diesen Teil übermitteln. Die Menge aller Peers, die die selbe Datei austauschen, wird Schwarm genannt. Ein Schwarm bezieht sich also immer nur auf eine bestimmte Datei (Genauer: einen Torrent. Dieser enthält in der Regel mehrere Dateien). Wie nicht anders zu erwarten werden die Peers anhand ihrer IP identifiziert. Die Liste der Peers, die an einer bestimmten Datei interessiert sind, ist im
Tracker enthalten. Jetzt kommt der entscheidende Teil: Diese IP-Liste besteht unabhängig davon, ob der betreffende Peer tatsächlich Dateien ausgetauscht hat oder nicht. Sobald er sich am Tracker angemeldet hat, wird in der in der Liste geführt.Was tun die Überwacher? Sie crawlen die
Tracker und speichern die IPs. In aller Regel überprüfen sie jedoch nicht, ob der betreffende Nutzer tatsächlich etwas heruntergeladen hat. Diese Methode ist daher sehr fehleranfällig, denn im Prinzip kann man eine beliebige IP in den Tracker schreiben, jedenfalls bei manchen Trackern. Das kann auch ein Netzwerkdrucker oder eine Webcam sein.Es gibt nun einige Blacklists von solchen Überwachern, etwa PeerGuardian. Leider zeigen die Forscher, dass diese Blacklists nicht besonders gut sind. Das Spannende: Theoretisch lassen sich die Überwacher recht gut identifizieren. Das geht so: Man muss eine Vielzahl von Schwärmen crawlen. Überwachungs-IPs zeigen darin folgende Auffälligkeiten:
- die IP taucht in mehr als 10 Schwärmen auf
- die ersten 24 Bits der IP-Adresse (das
Netzwerk-oder/24-Präfix) stammt aus einer IP-Range, die Geschäftskunden zugewiesen wurde und keine Privatkunden hat
- die IP antwortet nicht auf Verbindungsversuche
Theoretisch ist es also möglich, eine wirklich gute Blacklist zu basteln. Allerdings wäre der Traffic sehr, sehr hoch. Zudem gäbe es ein Problem: Werden
Tracker zu häufig kontaktiert, stellt das für sie eine DDOS dar. Man müsste also die Anfragen aus verschiedenen IP-Ranges starten. Eine solche Blacklist wäre demnach nur durch eine Vielzahl von Teilnehmern zu realisieren, vermutlich in Form eines Protokolls.
