Pengalaman Menghidupkan Kembali Tracker Torrent yang Sudah Mati dan Menemukan 3 Juta Peer

 (kianbradley.com)
1 poin oleh GN⁺ 2025-06-18 | 1 komentar | Bagikan ke WhatsApp
  • Penulis memperoleh domain tracker torrent yang sudah mati lalu menjalankan opentracker sendiri
  • Setelah tracker dihidupkan kembali, 1,7 juta torrent dan 3,1 juta peer otomatis mencoba terhubung
  • Dalam protokol BitTorrent, tracker berperan terpusat, dan tanpa tracker berbagi file menjadi sulit
  • Ada alternatif terdesentralisasi seperti Mainline DHT, tetapi tetap memiliki keterbatasan dan kerentanan
  • Karena risiko hukum, pada akhirnya penulis menghapus domain dan VPS tersebut

Gambaran umum

  • Saat mengunduh torrent seperti Linux ISO, penulis menemukan bahwa sebagian besar tracker sudah mati
  • Ia menyadari bahwa domain tracker yang "mati" (udp://open.demonii.si:1337/announce) belum terdaftar
  • Domain tersebut lalu dibeli, dan di sebuah VPS penulis memasang opentracker untuk benar-benar menjalankan tracker

Apa itu tracker BitTorrent

  • Tracker menjalankan fungsi layanan terpusat dalam protokol BitTorrent yang membantu koneksi antarpengguna atau peer
  • Jika tracker tidak beroperasi, pengguna tidak dapat menemukan satu sama lain sehingga berbagi file menjadi tidak mungkin
  • Ketika tracker tidak dipelihara atau mendapat tekanan hukum, pengguna pun mengalami ketidaknyamanan

Alternatif terdesentralisasi (DHT) dan keterbatasannya

  • Mainline DHT mendukung pencarian peer melalui jaringan terdistribusi tanpa tracker
  • DHT memiliki keterbatasan seperti ketergantungan pada bootstrap node dan kerentanan terhadap serangan Sybil
  • Dalam kasus torrent yang diuji penulis, peer juga tidak dapat ditemukan melalui DHT

Proses membangun tracker sendiri

  • Setelah membeli domain, penulis menghubungkannya ke VPS anonim
  • Dengan opentracker (perangkat lunak tracker torrent yang paling banyak digunakan), server tracker dapat dibangun dengan cepat
  • Setelah sistem dijalankan, terlihat lalu lintas dalam jumlah besar masuk melalui port UDP 1337
  • Hanya dalam satu jam, statistik menunjukkan percobaan koneksi dari 1,73 juta torrent dan 3,15 juta peer

Statistik tracker (Stats)

  • Tercatat 1.735.538 torrent, 3.155.701 peer, 1.342.504 seeder (salinan lengkap), dan 244.224 riwayat unduhan selesai
  • Data juga dikumpulkan untuk berbagai jenis permintaan seperti koneksi TCP/UDP, announce, dan scrape
  • Statistik akses dan error turut dianalisis; ada sejumlah kecil kesalahan parameter (400 Invalid Parameter) dan error '404 Not Found'

Isu hukum

  • Situs web yang dibuka untuk umum, promosi file .torrent, dan pendapatan iklan dapat menjadi masalah hukum sebagai tindakan yang mendorong pelanggaran hak cipta
  • Jika hanya mengoperasikan infrastruktur tracker, tanggung jawab hukumnya cenderung ambigu. Namun, pembuktian niat bisa menjadi titik persoalan
  • Penulis menyadari bahwa tracker ini digunakan baik oleh torrent gratis maupun yang memiliki hak cipta

Kesimpulan akhir

  • Karena kekhawatiran hukum dan metode pembayaran atas nama asli (seperti pembayaran kartu), penulis segera membuang VPS dan domain tersebut
  • Masih ada banyak domain tracker tak terpakai, dan pengguna yang tertarik dapat mendaftarkannya dengan mudah
  • Disebutkan pula domain tracker yang bisa didaftarkan secara publik seperti open.demonii.si

Penutup

  • Tulisan ini menyampaikan secara empiris peran dan kerentanan infrastruktur tracker yang terpusat dalam ekosistem BitTorrent, sekaligus keterbatasan teknologi terdesentralisasi
  • Sangat mengesankan bahwa ketika domain tracker yang sudah lama mati dihidupkan kembali, jutaan peer langsung mencoba terhubung
  • Penulis juga membagikan peringatan mengenai risiko hukum dalam mengoperasikan infrastruktur

Bacaan terkait

1 komentar

 
GN⁺ 2025-06-18
Komentar Hacker News

  • Dalam kasus ini, rasanya kecil kemungkinan dianggap ilegal karena yang dilakukan bukan meng-host tracker secara langsung, melainkan hanya melihat koneksi yang masuk. Bahkan kalau pun menjalankan tracker, tidak mudah membuktikan bahwa itu benar-benar ilegal. Meng-host sesuatu seperti opentrackr mirip dengan menjalankan mesin pencari. Poin kuncinya adalah bagaimana menangani permintaan penghapusan secara hukum. Tracker itu sendiri hanyalah perangkat lunak server yang cukup sederhana. Rasanya agak aneh jika hal seperti ini dianggap ilegal

    • Daripada bertanya “apakah ini legal?”, pertanyaan yang jauh lebih praktis adalah “seberapa besar kemungkinan akan digugat?”. Gugatan perdata bisa saja datang terlepas dari legal atau tidaknya. Kalau sudah dijadikan target oleh pengacara, urusannya bisa sangat merepotkan
    • Jika dengan sengaja membantu tindak kriminal, itu dapat dianggap setara dengan melakukan tindak kriminal tersebut sendiri. Menurut hukum federal AS (18 USC 2a, tautan referensi), fakta bahwa sesuatu hanyalah perangkat lunak tidak otomatis membebaskan dari tanggung jawab atas tindakan yang salah. Memang ada beberapa pengecualian hukum yang aman, khususnya terkait hak cipta, tetapi secara umum membantu kejahatan orang lain sebaiknya dianggap sebagai tindak kriminal itu sendiri. Saya bukan pengacara, tetapi menghindari membantu tindak kriminal adalah pilihan yang aman
    • Perlu dibedakan antara tracker (server untuk koordinasi antar peer BitTorrent) dan "tracker" (situs yang meng-host file .torrent dan magnet URI). Dalam praktiknya, tindakan penghapusan hukum lebih banyak berfokus pada yang kedua, yaitu situs yang meng-host file .torrent atau tautannya
    • (Saya bukan ahli, tetapi) ini bisa legal atau ilegal tergantung situasinya. Jika tidak menanggapi permintaan penghapusan, arahnya bisa menjadi ilegal. Sebaliknya, jika menanggapi permintaan penghapusan dan memasukkan hash ke daftar hitam, kemungkinan besar aman. Tentu saja, itu juga tergantung yurisdiksi dan apakah hubungan hash-ke-IP:port itu sendiri dianggap sebagai distribusi/bantuan pelanggaran (lihat kasus TPB). Sepengetahuan saya, ada seseorang yang menjalankan tracker besar selama bertahun-tahun dan mem-blacklist permintaan penghapusan, dan sampai sekarang masih baik-baik saja
    • Industri musik/film secara umum membenci P2P dan menurut saya pada 2000-an mereka praktis membunuh ekosistem P2P. Menurut saya ini perlu dibahas lagi suatu saat. Di era ketika perolehan lisensi sudah lebih mudah, selama penegakan DRM dilakukan dengan baik seharusnya tidak perlu terlalu khawatir

  • Ada berbagai klien BitTorrent, dan cukup banyak di antaranya ditulis dengan bahasa yang tidak aman. Dalam situasi seperti itu, muncul pertanyaan apakah tracker berbahaya dapat menyerang sebagian klien. Jika menerima data abnormal dari tracker, saya rasa beberapa klien mungkin tidak bisa menanganinya dengan baik dan menunjukkan perilaku yang rentan

    • Dalam kasus Transmission, pernah ada eksekusi kode jarak jauh akibat kerentanan DNS rebinding yang dikenal sebagai CVE-2018-5702. Menurut saya, serangan melalui tracker memang merupakan risiko yang nyata
    • Sebagian besar klien torrent yang dipakai pengguna hanyalah pembungkus dari pustaka bernama libtorrent. libtorrent adalah pustaka yang telah diuji dengan baik dan juga pernah diaudit keamanannya, sehingga cukup dapat dipercaya
    • Saya juga pernah membuat klien sebagai hobi, dan kesimpulannya adalah 'ya'. Ia memproses data masukan dari server dan juga berinteraksi secara kompleks dengan filesystem. Bahkan dengan bahasa yang aman terhadap memori pun sulit membuatnya berjalan dengan benar, dan membuatnya sepenuhnya aman dalam C atau C++ terasa sebagai pekerjaan yang cukup rumit
    • Ada banyak program lain juga yang tidak ditulis dengan Rust, jadi rasanya tidak perlu terlalu khawatir (atau bisa juga dilihat bahwa semua perangkat lunak berpotensi berbahaya)
    • Saya berharap ancaman teknis seperti ini dibahas lebih jauh dalam tulisan utamanya

  • Pada akhirnya, ini berarti hanya dengan mendaftarkan domain dan mempublikasikan catatan DNS tertentu saja, seseorang bisa melakukan DDoS ke IP yang diinginkan

    • Siklus announce klien populer umumnya cukup panjang (sekitar 30 menit). Namun jika ada 3 juta peer, itu sendiri bisa menimbulkan beban jaringan
    • Saya ragu ini benar-benar risiko yang separah itu. Klien BitTorrent yang pernah saya pakai biasanya menunggu setidaknya 60 detik setelah koneksi gagal. Bahkan jika seseorang membeli domain tracker mati dan mengarahkan koneksi ke IP orang lain, jika tidak ada layanan yang berjalan di port tersebut dan tidak memakai protokol tracker, saya masih bertanya-tanya apakah jutaan klien yang datang benar-benar akan menimbulkan masalah besar

  • Ada masterlist tracker yang diperbarui setiap hari di sini. Dengan itu, mungkin juga bisa mencari tracker mati tambahan

  • Pertanyaan pertama saya adalah berapa banyak klien BitTorrent yang memiliki kode parsing yang rentan. Saya bertanya-tanya apakah seseorang bisa mendaftarkan domain secara jahat lalu menginfeksi klien

    • Ini mengingatkan saya pada novel Jon Evans berjudul “Invisible Armies” dan adegan di novel itu ketika penulis menggambarkan pengambilalihan sistem dengan memanfaatkan bug/backdoor dalam perangkat lunak P2P
    • utorrent v2.1 masih dipakai banyak orang sampai sekarang, dan jelas ada kerentanan di sana

  • Situasi ini mirip dengan saat Cloudflare mengambil alamat IP 1.1.1.1. Begitu domainnya terbuka, banyak skrip otomatis atau bot membanjiri alamat itu dengan trafik

    • Saya penasaran bagaimana Cloudflare bisa memperoleh alamat itu

  • Dulu saya pernah sebentar menjalankan tracker pribadi sebagai eksperimen. Operasional nyatanya sangat singkat, dan saya tidak mendalami betul cara kerja tracker (saya mencobanya setelah meminta dukungan webtorrent untuk tracker Aquatic yang dibuat dengan Rust tautan Aquatic). Saya penasaran apa sebenarnya yang dilacak oleh tracker, dan apakah dari pertukaran informasi antar peer ia bisa mengetahui sesuatu secara langsung. Dugaan saya, tracker hanya mempertemukan peer berdasarkan hash atau nilai magnet saja. Magnet itu sendiri menurut saya juga tidak harus mengandung informasi identitas apa pun (meskipun banyak tautan magnet memang memuat deskripsi yang bisa dibaca manusia). Tracker mungkin bisa menerima hash lalu mencoba mengunduh file terkait untuk memeriksanya sendiri, tetapi tanpa benar-benar mengunduh, rasanya sulit mengetahui konten sebenarnya. Saya ingin tahu elemen apa dari magnet link yang benar-benar penting untuk pencocokan peer, dan apakah tracker bisa mengabaikan atau memblokir field yang bisa dibaca manusia untuk tetap netral

    • Tracker hanya menangani info hash dari torrent. Ia tidak menangani nama file, deskripsi, daftar konten, atau apa pun semacam itu. Misalnya, opentracker mendukung mode whitelist maupun blacklist. Sebagian besar open tracker (misalnya torrent.eu, opentrackr.org, dll.) dijalankan dengan pendekatan blacklist dan mengizinkan hampir semua pengguna menemukan (hampir) semua konten
    • Tracker sebenarnya bisa mengetahui konten yang sedang dilacak. Tracker acara TV yang dulu pernah saya jalankan bahkan melacak dan mengelola rasio upload/download tiap pengguna

  • Cukup daftarkan domain di Rusia, Tiongkok, Iran, dan sebagainya, lalu host situsnya di Alibaba. Begitu tekanan hukum dari AS sampai ke negara-negara itu, praktis tidak akan banyak gunanya. Dalam praktiknya, respons hukum di sana hampir tidak mungkin dilakukan

  • Saya bukan pengacara, tetapi setahu saya menjalankan tracker yang netral terhadap konten di AS adalah legal. Namun, di negara lain itu bisa saja jelas ilegal, dan bisa berbeda tergantung lokasi VPS serta negara TLD (.si dan sebagainya)

    • Kalau dicari, ada kasus tracker yang ditutup paksa oleh aparat hukum AS (EliteTorrents, 2005, artikel terkait). Mungkin ada kasus lain juga. Banyak tracker juga ditutup melalui gugatan perdata (misalnya tuntutan ganti rugi dari organisasi seperti MPAA). Jika sebagian besar daftar itu berisi konten berhak cipta, tracker tetap bisa ditutup di AS
    • Dulu ada tracker publik besar yang dijalankan di .si. Siapa pun yang punya pengalaman online di Slovenia selama hampir 20 tahun kemungkinan pernah memakainya setidaknya sekali. Tracker ini tidak hilang hanya karena pemberitahuan hukum
    • VPS-nya berada di cockbox.org (sesuai isi tulisan utama), dan perusahaan ini katanya berkantor pusat di Moldova

  • Jika seseorang membeli kembali domain suprnova (yang tutup pada 2004), saya penasaran apakah unduhan lama bisa dilanjutkan jika masih ada seeder yang hidup. Saya juga ingin tahu apakah torrent yang dibuat sebelum era DHT akan terpengaruh. Saya ingin tahu apakah DHT cukup “historis” untuk mencakup torrent lama

    • DHT benar-benar bersifat “historis”. Artinya, selama infohash cocok, ia akan bekerja tanpa memandang kapan torrent dibuat. Hanya saja, torrent yang dibuat di private tracker biasanya memiliki flag “private”, sehingga dikecualikan dari beberapa fitur seperti DHT, PEX, dan lain-lain. Flag ini bisa dihapus secara manual, tetapi agar DHT berfungsi, pihak seeder juga harus melepas flag tersebut
    • DHT akan selalu bekerja jika klien mengaktifkan fitur itu. Jika seeder lama juga telah memperbarui ke klien versi baru, metadata dapat dibagikan ke DHT secara otomatis
    • Secara teori, situasi seperti di atas sangat mungkin terjadi