本文写于2024年11月初。因为事件中有部分截图没有保存,一直丢在草稿箱里。

一些前提:网络是500M家庭宽带,半年前测速过下行至少可以跑满384Mbps;家里有20台左右设备会连接网络(电脑、游戏主机、NAS设备、手机、平板等)。

事情的起因是家里网络突然变得很卡。一开始我并没有在意,只是觉得可能是运营商网络波动。但是有一天我使用Safari浏览器在b站看电影时,播放到某个时间点,整个网络都变得无比卡顿。电影在缓冲,而我拿起手机刷微博,微博也刷不出来。这时我意识到该排查一下网络问题了。

登录光猫查看,发现并不是光纤的问题,信号还在正常范围内。破天荒地进主路由器看一眼,有个设备正在疯狂上传,一度把上行带宽都占满,并且在一个月的时间内上传了超过17.2TB的数据。要知道,家里所有设备的数据加起来——即使不去重——可能都还不到7TB。

Inasxxxx设备大量上传

这个设备的主机名叫Inasxxxx,其中xxxx是MAC地址的后4位。我对着这个界面楞了半天,没认出来这到底是个什么设备。最后想起来,应该是朋友之前买的联想NAS(具体名字似乎叫做联想个人云A1)。在主路由上把设备限速之后网络故障瞬间恢复,我于是微信联系朋友让他临时关机。

等朋友回来之后,我们将设备重新开机,一段时间内没有观察到大量上传,但经过一两个小时后这个现象再度出现。并且这些上传看起来类似BT做种,设备即使在被限速的情况下也会占足大约1k个左右的UDP连接。

经过在联想NAS的管理app(是的,这个NAS设备只能通过app来管理……)反复查看,可以确定这台NAS只有本地功能启用,其他功能的情况是:

  • 百度网盘,没有传输任务;
  • 迅雷下载,根本没有使用过,点击进入提示是同意用户协议的界面;
  • 其他第三方功能,包括节点小宝、玩辰提速、玩物下载等,也都是根本还没有同意用户协议的状态;

反复折腾后,发现联想论坛上有人提到过这个问题,并且出现时间与我们遇到的接近,都是10月份开始。

虽然我非常困惑,为什么用户还没有同意第三方应用的使用协议,这些应用就可以开始在用户的设备上运行,但折腾了几十分钟之后,最终在这里找到了如何关闭这些第三方功能。

把所有第三方功能都关闭之后,这台设备终于停止了疯狂上传。至于联想是出于什么考虑,让这些第三方功能在不经过用户同意服务协议的情况下就可以无限制地占用用户的机器和网络资源,这就不得而知了。总之对于非主流NAS赛道的设备,还是尽量避免购买吧。

P.S. 巧合的是,在排查完这个问题的第二天,宽带运营商的客户经理就给我打电话,询问是不是在跑PCDN,并提示如果再次出现大流量上传可能会封禁宽带账号。

P.S.S. 其实使用浏览器在b站看电影也会产生大量上传,因为b站在网页端播放器也引入了PCDN。我就是在联想NAS设备大量上传的同时,恰巧也在b占看电影,导致严重的网络问题,才能发现联想这个偷油贼。如果是Safari浏览器,可以使用如下Surge规则屏蔽Safari浏览器的STUN连接:

[Rule]
AND,((PROTOCOL,STUN), (PROCESS-NAME,/System/Volumes/Preboot/Cryptexes/Incoming/OS/System/Library/Frameworks/WebKit.framework/Versions/A/XPCServices/com.apple.WebKit.Networking.xpc/Contents/MacOS/com.apple.WebKit.Networking)),REJECT-DROP

P.S.S.S. 建议定期检查主路由器的流量监控,如果家中设备出现类似的大量上传,请及时增加流控规则进行限速,避免宽带账号被运营商误封。