#dev (ilita) | Обсуждение разработки I2Pd | i2pd development discussion | http://i2pd.website/

weko [19:21:27] <orignal> но понимаешь в чем дело как правило это соотвествует действительности

weko Тогда почему повторный даже через пару секунд показывает OK? Даже если пакеты не дошли, не значит, что не могут (потери в UDP бывают)

weko Может быть, иногда не везёт, что все 5 пиров - кал?

Vort weko: дело в том, что некоторым юзерам "везёт" больше, чем, другим. а такого быть не может

Vort скорее всего, нужно комплексную проблему глюков пиртеста разбивать на мелкие части и по кусочкам делать, иначе толку не будет

weko Tunnel creation success rate: 8%

weko Routers: 18106

weko Опять??

Vort Transit Tunnels: 24008

Vort видимо, до этого были тесты

weko У меня лимит

weko Сейчас видно другой способ

weko Спам туннелями

Vort я об этом и говорю - повышенное количество уже неделю как

Vort но было чуть чуть повышенное, а теперь - уже не чуть чуть

weko Вот откуда нагрузка

weko 1000 туннелей за 15 секунд забило

weko SSU2 - 7000 NTCP2 - 3000

Vort у меня SSU2 меньше. странно

Vort NTCP2 ( 3101 ) SSU2 ( 2912 )

Vort может, кластер узлов у тебя в SSU2 найдётся?

weko Нашёл странный баг - коннекшены дублируются

weko Или даже 3 бывают

Vort как проявляется?

weko Может он старый?

weko И на разные порты

weko На разные порты, но роутер и ip одинаковые

Vort кто старый?

Vort ну я видел, что специально так делали - рассказывал же про китайцев

Vort можно же несколько узлов с одним и тем же id запустить

Vort weko: это происходит часто или нет? со всем примерно адресами или только с какими-то определёнными?

tetrimer weko: >Tunnel creation success rate: 8%

tetrimer У меня сегодня на двух линуксовых машинах за файрволом - такие же эффекты: падение tcsr с 60% до 20% буквально за час.

tetrimer Сейчас ткнул на обеих машинах PeerTest - посмотрим...

Vort tetrimer: а дублирование коннектов как у weko есть?

tetrimer А где это смотреть?

Vort tetrimer: на вкладке Transports, раскрыть списки

Vort weko: последние сообщения видел?

tetrimer Ща...

weko Нет

weko Меня ж выкинуло

weko 139.224.* , 139.196.* , 120.55.* - вот тут такого много

weko Да вообще они как то группами

weko В каких то подсетях дохера, в других почти нету

weko Это не единственные

weko При чём часто один из дупликатов - slow

tetrimer Полных строковых дублей - нет, могу повыковыривать только адреса...

Vort weko: это только на SSU2 или и на NTCP2 ?

Vort weko: странные подсети. их у меня в SSU2 нету, только в NTCP2

Vort уже подозрительно

tetrimer У меня в SSU2: IpvT: 139.162.162.238:22517 ⇒ [1177:52]

weko В ntcp2 не вижу дубликатов по IP

weko Если и есть, то мало

tetrimer А в NTCP - 139-й сетки нет

Vort бля. это все подсети Китая

weko Даже это подсети в NTCP2 у меня не дублируются

weko Ну блять китайцы видимо

Vort weko: короч я думаю через тебя идёт вход атаки

Vort а через меня - нет

weko Один из входов

weko Да логично

weko Я говорил уже что это не все роутеры

weko Какие то выбираются

weko 14.29.*

Vort тоже дубли?

Vort это опять Китай. и у меня их почти нету - всего 3 коннекта

Vort weko: сколько примерно из этой подсети коннектов?

weko Дофига

Vort ну примерно. сотня, тыща?

Vort можно в текстовый редактор скопипастить и посмотреть на количество строк :)

weko 55

weko По сравнению с другими подсетями это много

Vort многовато, но не очень

Vort надо искать, откуда твои 7 тыщ

weko [10:05:22] <Vort> можно в текстовый редактор скопипастить и посмотреть на количество строк :)

weko Я в python .count("\n") написал

Vort то есть, эти 7 тыщ могут состоять как из обычных узлов, так и из атакующих

Vort пока что подозрение на DDoS от китайцев. но всё-таки 55 узлов - это не очень много. это на грани

Vort была бы тысяча - другое дело. тогда было бы явно

weko 55 из этого кластера

Vort количество транзитов, кстати, уменьшается

weko Остальные я не считал

weko И хз сколько кластеров всего

weko Сейчас смотрю

Vort вырубили атаку что ли?

Vort 50 минут атака была похоже

Vort weko: если не сохранил старый список, то сейчас уже можно не смотреть

Vort уже 10 минут атаки нету

weko Ну я не обновлял страницу

Vort сохрани куда-то в текстовый файл

Vort чтобы не потерять. вдруг пригодится

weko 101.200.*

Vort Название провайдера: ALISOFT

weko 112.74.*

weko Vort: тож китайцы?

Vort это не просто китайцы, а одна из самых крупных их компаний. похоже

Vort Aliexpress и т.д.

Vort хотя может и провайдер тоже так называется. не уверен

weko 116.62.*

weko 120.24-26.*

tetrimer У меня, если группировать, вот так примерно получается:

tetrimer 9 23.128

tetrimer 9 65.21

tetrimer 9 82.66

tetrimer 9 93.95

tetrimer 9 95.216

tetrimer 9 95.91

tetrimer 11 146.70

tetrimer 12 107.189

tetrimer 23 23.137

tetrimer Первая колонка - количество повторов, вторая - первые два октета сетки /16.

weko 120.76.*

Vort tetrimer: это данные на момент когда ещё была атака или когда уже прекратилась?

tetrimer Это уже на излете...

Vort атаки 20 минут уже нету

weko 120.76-78.*

tetrimer У меня - минут 15...

Vort weko: всё это ALI

weko Вот походу оттуда

tetrimer 120.79.192.94:9388

tetrimer 120.79.202.26:9956

tetrimer 120.88.121.72:23154

weko Явно не совпадение

Vort надо бы выяснить - то ли эти адреса раздают юзерам, то ли это - собственность компании Alibaba

Vort может они решили филиал aliexpress в i2p открыть? :D

weko Даже если не они источник атаки, это всё равно гавно

weko Разные порты на один роутер

weko Итого несколько коннекшенов к нему

Vort ну этот эффект я и раньше видел

Vort вроде решили не блочить такое. ну или не решили, а по факту

weko 180.106.83.198 - вообще пиздец

weko И несколько близко

Vort а вот это уже не ALI: Название провайдера: CHINANET-JS

weko 6 коннектов, все slow

weko [10:25:01] <Vort> а вот это уже не ALI: Название провайдера: CHINANET-JS

weko Но тут мало разных адресов

weko Просто скинул пиздец совсем

Vort может и баг из-за тормозов китайского интернета

Vort но атака точно была

Vort то есть, может быть баг + атака, а может быть просто атака

weko На разные порты оно

weko Точно не тормоза

Vort weko: а это не U узлы? был ли там [itag: ?

weko У большинства нету, кажется

Vort значит тогда несколько копий i2p запускали с одними и теми же ключами

weko Обновил страницу, 4800 SSU2

Vort weko: может стоит ещё забекапить netdb

Vort вдруг там что-то интересное у них в RI

Vort пока ещё не должно было очиститься - полчаса прошло

Vort флажки надо бы рассмотреть - может, это X узлы допустим. или флудфилы

weko Да не суть. Такое должно профилировщиком банится

weko На недельку минимум

Vort от атаки может понадобиться защита в ближайшее время. на переделку профилировщика может не быть времени

Vort так что чем больше информации сохранено для анализа - тем лучше

Vort удалить всегда можно если будет уже не актуально

tetrimer У меня вот румыны дублем отметились:

tetrimer nwvy: 79.118.91.98:28679 [5377:30805]

tetrimer nwvy: 79.118.91.98:28679 [944:142]

tetrimer caps=XfR;

weko tetrimer: интересно, ведь тут и порт один

orignal Transit Tunnels: 15708

orignal больше но не критично

tetrimer Ну да.

orignal так писал же тут чувак откуда тоннели

tetrimer RI я от него сохранил, если оно кому-то поможет.

orignal придарки с кисолицы сотни тоннелей прописывают

orignal разыне порты на один роутер это значит несколько узлов сидят за натом на одном IP

Vort "<~orignal> так писал же тут чувак откуда тоннели". я тоже писал. ссылку-то передал zzz, которую я просил передать?

Vort ну и найденные свидетельства наплыва китайцев тоже стоит учитывать

orignal какую?

Vort на сообщения Козлова

orignal это да

Vort ок

Vort weko: можешь проверить - ушла ли из списка коннектов основная масса узлов с Ali ?

Vort "<weko> 55 из этого кластера" - сейчас сколько?

orignal а они тут причем?

orignal они же китайским барахлом торгуют

Vort сомневаешься, что атаку организовала Alibaba Group?

Vort это предположение хоть и выглядит фантастическим, но другого пока что нету

orignal а им это зачем?

orignal они же просто торгаши

Vort может заказ государства выполняют

weko Vort: не обязательно организована

weko Мб они просто дают адреса

weko Vort: 0 коннектов с всех этих кластеров

Vort думаешь, могут предоставлять услуги хостинга?

weko NTCP2 тоже

Vort про 0 коннектов понял. значит, точно оттуда атака шла

Vort попорбую получше погуглить про этот диапазон адресов. не уверен, что получится, правда

orignal так а в чем атака если 0 коннектов?

orignal зафлуживание левыми роутерами?

Vort orignal: ну почитай логи ёпт. атака длилась 50 минут

orignal ну это счас профилируется

orignal скажи в одной фразе что было

orignal некогда

Vort был прыжок транзитов до 24к, длилось это 50 минут. скорее всего, атака шла с адресов некоего alisoft

Vort weko смог словить список коннектов в момент атаки. было дофига китайских адресов

Vort после того, как атака ушла, теперь этих адресов нету в списке

weko [14:46:58] <orignal> ну это счас профилируется

weko Нифига оно не профилируется. Должно было сразу таких забанить

orignal да но транзиты откуда взялись?

Vort так реальные роутеры были блин

orignal значит они с кем то соединялись

Vort надо вначале думать, а потом банить

orignal ты сказало 0 коннектов

orignal если реальные никто не будет банить

Vort 0 коннектов _после окончания_ атаки

Vort и это только одна из подсетей

Vort а их было штук 10

orignal а все понял

orignal ну так а в чем атака то я не понял?

orignal ну много транзитов насоздавали. и че?

Vort orignal: не заметил, как тебя из чата выкидывало?

Vort вот как раз в тот момент была атака

orignal ну выкидвает иногда и без атаки

Vort эту волну сеть более-менее выдержала, но фиг его знает что организаторы придумают в будущем

weko [14:51:17] <Vort> надо вначале думать, а потом банить

weko А чего думать? Там на одном адресе (и один роутер) имел разные порты для подключения. Думать не о чем

Vort ну нагенерят они ключей - легче станет что ли?

Vort а несколько узлов на одном IP - это нормально и иногда даже полезно

weko Я о том, что профилирования нет

weko И они реально отключились, а не их забанило

weko Vort: нормально, но нет же ещё системы, чтобы распределять свои туннели на них как на один роутер? Нету.

weko А тут роутер был один и тот же

weko Это факт

weko И их не забанило моментально

weko Тоже факт

weko Вывод - косяк

Vort если такой бан элементарно обходится, то делать его смысла мало - только код усложнять

weko Код усложнится если он изначально криво написан

Vort ну и сейчас есть метод выявления атакующих по этому признаку

weko А в хороший код добавить это - легко

Vort убрать признак - выявлять станет сложнее. а атака останется

weko И сложнее он от этого не станет

weko Vort: дак сейчас они исправят

weko Мы ж уже знаем

Vort такс, похоже, что они переименовались в Alibaba Cloud

Vort zh.wikipedia.org/wiki/%E9%98%BF%E9%87%8C%E9%9B%B2

Vort weko: можешь сверить айпишники - хотя бы один гарантированно в этом списке есть?

Vort alibabacloud.com/help/en/dts/user-guide/whitelist-dts-ip-ranges-for-your-user-created-database

Vort это, наверное, не все адреса. можно будет ещё поискать

` Хах, представил ситацию:

` - *Китайский блохер рассказывает о ш2з и инициирует китайский хаброэффект*

` - Тем временем в ш2зв-илите: "Китайские какеры отокують!11"

Vort они не только резко пришли, но и резко ушли

Vort weko: хотя можешь и не проверять. 99% что это они

Vort вот ещё списочек: bgp.he.net/AS37963#_prefixes

` <weko> Вывод - косяк

` * китайцефф вся netDb

Vort ещё одно их название: Aliyun Computing Co., LTD

` * у китайцефф теперь вся netDb за 50 минут

Vort aliyun.com редиректит на eu.alibabacloud.com/en

Vort так что да, таки хостинг. только вот сомневаюсь, что кому попало разрешено там арендовать сервера. скорее всего, это только для китайцев

Vort хотя на сайтике какие-то free trial...

Vort может атакующий набрал free серваков и гадил пока они не "кончились"? :)

Vort в Tor, кстати, ещё одну дырку прикрыли

Vort жаль только в Tor не удалось адреса атакующих словить

Vort они прекратили атаки после выхода прошлой обновы

Vort почитал я ещё немного про Alibaba Cloud - скорее всего, арендовать сервер может кто угодно

Vort вот чтобы сделать сайт в .cn зоне - там уже специальные условия нужны

Vort но для атаки на i2p это не нужно

Vort ru.wikipedia.org/wiki/%D0%9B%D0%B8%D1%86%D0%B5%D0%BD%D0%B7%D0%B8%D1%8F_ICP

orignal так я все же не понял в чем суть атаки

orignal ну засрали транзитами

Vort ну да

orignal опять джависты стали промежуточные узлы банить?

orignal я просто не понимаю механизма

` Экспертно утверждаю, что собрали всю netDb.

Vort а я не пойму, в чём сомнения

Vort в том, что это атака?

Vort может, не просто срали, а как-то по особому

Vort хотя, скорее всего, проверяли сеть на прочность

Vort если была бы атака на внутренний сервис, то мне кажется, так быстро они бы не отстали

Vort есть предположение, почему они делали много транспортных коннектов: у них же китайский фаерволл, он скорее всего режет скорость

Vort вот и гнали в несколько потоков

` не скорее всего а режет

` Да, пытались говнокислицу прогрузить в 100500 потокофф. шутка

Vort "<~orignal> опять джависты стали промежуточные узлы банить?" похоже, пока что только атакующие исследуют влияние перегрузок на сеть :)

orignal сомнение в том какой механизм атаки

Vort как именно количество транзитов влияет на сеть - вопрос интересный

orignal в i2pd никак

orignal а вот джависты банят тех от кого много запросов приходит

Vort что значит механизм? как количество туннелей влияет на сеть?

Vort или вопрос в том, делал ли атакующий что либо ещё кроме туннелей?

Vort по поводу влияния транзитов: они жрут трафик. понемножку, но жрут

Vort у кого-то может упираться в лимит физической сети и приводить к потерям пакетов

Vort а потери уже просаживают рейт

orignal так пустые транзиты с чего жрут? только запросы на построение но это ж мизер

Vort orignal: если юзер поставит лимит 2 мегабайта в сек, а его сеть больше 1 мегабайта в сек выдать не может, то congestion cap при перегрузке ведь не выставится?

Vort пинги через туннели вроде ж идут

Vort около 50 килобайт за 10 минут у меня туннель сжирает

Vort пустой

orignal не выставится

Vort возможно стоит думать, как такую ситуацию ловить. такой узел, как я понимаю, будет конкретно тупить и гадить сети

orignal так что он делает еще кроме запросов на простоение тоннелей?

Vort теперь только гадать можно. он может их держать

Vort побольше дестинейшенов сделать, включить узел и всё. сам не проверял, просто предполагаю

Vort по-хорошему, надо мониторить размеры транзитов. тогда можно будет сказать точно - сколько пустых, сколько полных

orignal там может это правда любитель срать на кислицу

orignal сделал несколько сотен тоннелей и срет

Vort точнее, сколько совсем пустых, сколько пустых с пингами и сколько с данными

Vort сотни серверов в Китае арендовать для этих целей?

Vort ну и это же не сотня туннелей. это прыжок количества по всей сети в 2 раза

Vort сколько точно сейчас транзитов по всем узлам не знаю, но явно миллионы

orignal так погоди это один узел срет или сотни?

Vort сотни. weko только из одной подсети насчитал 55 узлов во время атаки. а подсетей было штук 10

orignal и все срали кучей транзитов?

Vort похоже на то. "вход" атаки был у weko, у меня только сами транзиты

Vort кстати. это же значит, что атака была не такая уж простая

Vort просто включенный узел равномерно бы по всей сети гадил, а тут избирательно

Vort то есть, транзиты были по всей сети, а китайские транспортные коннекты - не везде

orignal я думаю построили первые тоннели а дальше уже через них

Vort вот на графиках виден эффект от атаки: ujtui6edpiqofdhuwdwo3trfrjznqgvzcagvofybu666wivwkdqa.b32.i2p/i2pd_stat-day.png

Vort значение Transit speed не прыгало, так что, может, действительно туннели были совсем пустые

orignal интересно дед хотя бы заметил?

Vort да у него вроде были какие-то графики

Vort но как часто он на них смотрит - без понятия

orignal счас почитаю

orignal тишина

Vort посмотрим, что будет дальше

Vort или атакующий решил, что оно не стоит того

Vort или это была тренировка перед полноценной атакой

orignal я просто не понимаю что тут вообще можно сделать

orignal в i2pd транзитный тоннель не потребляет вообще ничего

Vort разве что 16 битный лимит на 32 битный переделать :)

orignal 16 битный лимит чего?

Vort transittunnels

orignal аааа числа транзитных тоннелей

orignal да. стоит