IRCaBot 2.1.0
GPLv3 © acetone, 2021-2022
#dev
/2023/02/05
~AreEnn
~R4SAS
~acetone
~orignal
~villain
&N00B
+Xeha
+relaybot
DUHOVKIN
Guest7184
Leopold
Most2
Nausicaa
Ruskoye_911
Vort
anon2
b3t4f4c3
karamba_i2p
nemiga
not_bob_afk
plap
poriori
profetikla
soos
teeth
un
weko_
whothefuckami
nonl-l-etc-etal_ [07:35:51] <nonl-l-etc-etal_> линию наметил
nonl-l-etc-etal_ [07:35:59] <nonl-l-etc-etal_> развивать телеграм
nonl-l-etc-etal_ [07:35:59] <Sarda> На чем?)
nonl-l-etc-etal_ [07:36:04] <nonl-l-etc-etal_> на сайте и2п
nonl-l-etc-etal_ [07:36:13] <Sarda> Аа.Молодец)
nonl-l-etc-etal_ [07:36:24] <Sarda> Ты кто?)
nonl-l-etc-etal_ [07:36:38] <nonl-l-etc-etal_> ретрошара бы хорошая но дико жрёт память и сливает айпи
nonl-l-etc-etal_ [07:36:40] <nonl-l-etc-etal_> я гипн
nonl-l-etc-etal_ [07:36:48] <Sarda> Аа)
nonl-l-etc-etal_ [07:36:55] <nonl-l-etc-etal_> а телеграм получше ретрошары закоден
nonl-l-etc-etal_ нада повышать доступность криптовалют для хомяков
Vort всегда считал телеграм централизоанным сервисом, привязанным к мобилкам (то есть, не анонимным). разве что-то поменялось? и чем тут может помочь i2p? быть просто проксей?
nonl-l-etc-etal_ Vort: телеграм с кастом сервером и указанием адреса сервера уже далеко не централизованный сервис. и там не мобилки а иды в колонке таблицы, похожие на тлф номера, и вместо смс кода 12345 константа в коде
nonl-l-etc-etal_ через и2п коннект был отлажен к серверу
Vort ок, понял, спасибо. я думал, что у него открыт только кусок кода
nonl-l-etc-etal_ щас стоит задача собрать устаревший кусок сервера
Vort если есть и клиент и сервер в доступе, то хорошо
nonl-l-etc-etal_ Vort: китаец написал замену серверу на голанге и мускуле
nonl-l-etc-etal_ там не все фичи, но почти все
nonl-l-etc-etal_ старый клиент телеги
nonl-l-etc-etal_ там много чего нет
nonl-l-etc-etal_ всяких свистелок
orignal i2p помогал когда хуйло пытался телеграм блокировать
nonl-l-etc-etal_ ну я хочу криптовалюты встроить
nonl-l-etc-etal_ кошель прямо в клиента
nonl-l-etc-etal_ некастодиальный
nonl-l-etc-etal_ мультивалютный, чтобы ни одна экосистема не была главной точкой удара слабым звеном
nonl-l-etc-etal_ через плагины с апи
nonl-l-etc-etal_ как в браузерах сделать расширения
nonl-l-etc-etal_ времени много у меня, была бы продуктивность только
nonl-l-etc-etal_ эхххххх делу время, потехе час
R4SAS orignal: слушай, ощущение что опять с http проксей или стримами началась хрень
R4SAS как это было года 3 назад
R4SAS будто ответы не пролезают со стороны сервера, либо до сервера запрос не доходит
R4SAS или же ответ не верно обрабатывается проксей
R4SAS конечно я кое что проверю...
R4SAS проверил, на стороне HTTP.cpp и HTTPProxy.cpp не менялось ничего такого что могло бы сломать работу
R4SAS так что опять стримы поломали
R4SAS не знаю насчет воспроизводимости на лине, но на винде оно есть
R4SAS можно конечно попросить удаленную сторону перезапустить ш2зв, но это немного сложнее
R4SAS у меня обойти это получается только полностью перезапустив ш2зв
orignal ну так надо понятьб
orignal а что с reg кстати?
orignal в стримах кстати тоже ничего не менялось кроме сжатия SYN пакетов
R4SAS orignal: в плане? у меня отвечает
R4SAS если ты о BOB, то пока что не смотрел
orignal ну та же проблема
orignal да про него
R4SAS вроде пока что всё живо
R4SAS последняя проверка была 25 минут назад
nonl-l-etc-etal и2пграм сервер собрался, запустился, теперь клиента собрать в вмке
nonl-l-etc-etal мож ещё их фиксать придётся , по кр мере сервер
weko Ш2зграм, прикол
ncop новая беспрецедентная атака на сеть. судя по stats.i2p в 04:05 UTC+0 резко привалило несколько тысяч новых роутеров. последней версии роутеров стало не 50%, а за час 65%. То есть откуда то пришло новых
ncop роутеров оценочно 15-20 тысяч. Estimated total routers показывает уже не 125 тысяч, а 300 тысяч роутеров, хотя это скорее ошибка метода прогнозирования. Многие сайты тупо не открываются вообще уже полчаса.
ncop Некоторые открываются раз в 15 минут. TCSR упал до 15%. Сам stats.i2p не открывается уже. У кого есть возможность просьба собрать статистику. Может быть это идёт с небольшого числа узлов. Или ещё какую
ncop информацию полезную получится раздобыть.
Vort что-то мой SSU2-only узел конкретно глючить начало. выглядит как очередная атака
Vort Tunnel creation success rate: 14%
Vort логи забиты error - NetDb: ... destination requested, but no tunnels found. это из-за низкого TCSR ?
ncop я думаю vice versa - это низкий TCSR потому что отлупы
ncop кавычка, у тебя тоже сеть глючит?
` ncop, конкретнее?
` Со времён перехода на SSU2 и "ОтАки" у всех, можно скОзать, сеть глючит.
Vort ну вчера TCSR был около 40%
Vort а теперь опять упал
` Vort, тогда пожалуй да, тоже глючит.
` Раньше у меня роутер старовал с условных 70% "TCSR", а потом "падало". А вот сёдня стартОнул с.. 10%
` (зато сейчас аж 12%)
Vort старт с 10% - это следствие EWMA
` Vort, а вот с "EWMA" прошу помощи расшифроффки, не догадываюсь.
Vort ну новый алгоритм усреднения TCSR
Vort берёт значение от балды, потом уточняет
` Vort, он был введён в 2.45.1 (или ранее)?
` У меня релизная только версия.
ncop Vort, у меня не было рестарта и последние 2 недели ниже 30% не опускалось. Теперь же 16%
Vort следующим коммитом после 2.45.1. Но вроде в некоторые бинарники всё равно попал
ncop Vort: не было рестарта, говорю же. Упал с 50% до 16%. Сейчас 18-19. Некоторые иипсайты до сих пор не открываются. Попробовал популярный торрент - скорость 5КБ в секунду суммарно с 20 сидами. Сеть не
ncop дотягивает до уровня 2015 года.
` Вопрос по венде. Возможно скоро перееду на это загнивающее гэйство.
` А что там по "дескрипшонам"? opefiles и вот эти вот все прочие [limits].
` Wenda 11 Pro/Home еси шо
Vort `: в винде нет лимита на дескрипторы. сколько хочешь делай
Vort ncop: я не спорю с тем, что атака. просто поясняю, откуда берутся 10% при старте
ncop Не отрывается большинство сайтов из каталога notbob по фильтру stable (GREAT)
ncop во как
` Исчо вопрос. Что по жизни i2pd на SSD? i2pd будет надругаться на все ресурсы?
` ncop, решение проблемы есть.
Vort если сайты на стандартных 3х хопах, то логично. у меня для SOCKS туннелей чаще нету, чем есть
` П.С, SSD не для SQL. Точное соотношение чтения:записи сейчас не скОжу, но как для ОС короче.
Vort i2pd в netdb постоянно пишет, подозреваю, что SSD это может не понравиться
Vort хотя файлы там мелкие, так что не знаю
Vort вот за логи лучше на самые "шумящие" уровни не переводить. но это, вроде, и так понятно
` А, всё, ладно. Постоянно забываю, что для i2pd оставлю "прежний" пэка, пусть там пыхтит, а я есишо подключусь как-нибудь через.
weko Tunnel creation success rate: 5%
weko Total tunnel creation success rate: 30%
weko Ребяяяяяь
weko Это как?
Vort ну посмотри сообщения выше
Vort новая волна атаки
ncop Это не новая волна атаки. Это цунами б**ть
` weko, это в "транке" появилось "тотал"?
Vort `: если включить специально только
ncop Вы не смотрите только Tunnel creation success rate. Вы сайт откройте. торрент скачайте. Вы увидите что сети очень очень плохо.
weko Вижу
weko Пиздец
weko ncop: я уже понял это
` ncop, у меня RetroShare(c)(R)[TM] вместо торрентофф. И да, работает плохо, сегодня.
weko `: в транке обычный TCSR заменили на алгоритм с скользящим среднем , а прошлый я вернул под названием Total, включается в конфиге
` Вчера через меня там транзит пёр в 300КБ\с, а сисяс 20КБ/с..
weko `: ну что, накаркал про схлопывание?
` weko, в конфиге где-то закомментирован? Или из "скрытых" -_-
weko `: скрытый)))
ncop у меня торренты ВООБЩЕ не работают. теперь 2-3 кбайта в секунду. Ещё раз призываю всех максимально собирать логи, чтобы потом было с чем работать при анализе ситуации
weko stats.i2p не открывается
` weko, я не каркал, а это-о-о, это, как его, предсказание древних анонимофф.
weko Про логи согласен
Vort ncop: есть ли ещё какая-то проблема кроме того, что не набирается туннелей?
Vort нет туннелей - не идут данные, логично, блин
weko Но тут прикол в том что не сделано нормальных вещей для анализа
Vort "Но тут прикол в том что не сделано нормальных вещей для анализа" даже графики (почти) никто не собирает
weko Routers: 19140
weko Ребят это пиздец
weko 5 процентов успех это жопа полная
weko Vort: а нужно делать и это явный толчёк
weko Толчок*
ncop Vort: клиентских тоннелей у меня то хватает, набираются, потому что 18% -- это не 0 процентов. Но все эти тоннели очень плохого качества. Большинство иипсайтов вообще не открывается, торренты - 3-5
ncop кбайт в секунду.
` У меня ещё минут 10 назад было 13%, а теперь опять 10%.
Vort что там у вас по транзитному трафику?
Vort у меня узел же в полузабаненном состоянии, так что я не вижу
ncop Vort: так что не исключаю что это атака не просто на сеть, а ещё и попытка кого то сдеанонить. Хотя сомнительно, но не исключаю
` Vort, 250КБ/с на полтыщи.
weko ncop: у тебя релиз?
weko Трафик как обычно
weko Походу в этот раз другой способ
weko Тред NetDb долбится в 100%
ncop Vort: Транзит слабый - 100 кбайт сек, а тоннелей много - уперлось в максимум 3000 тоннелей.
Vort "все эти тоннели очень плохого качества" - вот это странно. когда попадает на i2pd узлы, то должен быть нормальный туннель 10 минут
ncop weko: релиз
Vort ну не надо низкий максимум ставить. это уже несколько месяцев как понятно
weko По крайней мере я только что видел тред NetDb - 100%
Vort и я писал про ошибки netDB
weko Хотя обычно этот тред 5%
weko Короче походу это атака на флудфилы
Vort не может ли это быть особенность DDoS`а...
ncop NTCP2 - 500 штук. SSU2 - 1500 штук
weko Возможно кто то решил засрать кучей RI
Vort weko: логи включены?
weko 2700/2200
weko Vort: сейчас включу
weko Какой уровень включать?
Vort меня исторические данные интересовали )
weko info пока что
weko Надеюсь места на диске хватит
Vort "Возможно кто то решил засрать кучей RI" вот смотрю я на список IP в очередной раз и не вижу ничего подозрительного
Vort где эти все тысячи новых узлов?
` 9%
weko Vort: нет смотри
weko Засрать не реальными RI
` Стабильная тенденция отрицательного роста
weko А пустышками
Vort weko: ну а я о чём
weko `: у тебя среднее просто поеазывает
Vort я не вижу кластеров
weko В реальности 5-6%
weko Vort: да тут кластеры не при чём
` weko, кстати хочу заметить и обратить внимание. Что на моём роутере при моих настройках у меня Routers обычно это 5к. А сейчас 12к.
weko Видишь не видишь не сутт
weko Тут главное что какие то узлы отправляют в сеть кучу не существующих RO
weko RI*
weko `: ну дак а у меня 19к
ncop Vort: на stats.i2p . Было - сейчас stats.i2p не открывается. В моей консоли было роутеров 5-6 тысяч, сейчас 8 с половиной
weko У лося 19 было ещё вчера, интересно сколько у него сегодня
Vort ncop: может, атакующий в состоянии надурить stats.i2p ?
weko Я прямо таки вижу упор треда в сотку
weko На пару секунд
Vort создавался ли stats с учётом того, что его будут пытаться дурить?
weko А так 10-30 висит
weko Когда вчера и раньше было 5
` Лично у меня нет обращения к stats (если к нему обращение происходит только в рамках "подписки").
weko У меня даже лиссет stats не находит.
Vort `: мы о другом
weko Да, на stats.i2p есть статистика (как ни странно)
weko И вот мы её хотим глянуть
` Vort, понимаю что о другом. Думаю, что в состоянии.
ncop Vort: может быть. но во первых вот сейчас все в чате пишут что у них тоже стало больше чем обычно. Во вторых если атакующий может обдурить stats.i2p, значит скорее всего атакующих знает какими именно
ncop роутерами владеет zzz, а это новость похуже чем просто засираение сети транзитом
weko А уже всО
weko Так ребят
weko Я понял концепцию атаки
weko Заспамили именно фейковыми флудфила
weko Флудфилами
Vort Routers: 10098 Floodfills: 7085
Vort многовато, да
weko Floodfills: 7717
weko Обычное число - 1700-1900
weko ncop: тут то я согласен
weko Бэкдор в джава роутерах это пиздец
weko Vort: "многовато" ?!?! Это пиздец!!! Ахтунг!!
ncop получается что не просто несколько тысяч роутеров, а несколько тысяч(если не десятков тысяч) флудфилов!!!!!
Vort orignal же ругался на плохие флудфилы, вот атакеры почитали, подумали )
` К слову в GNUnet вроде от такого "спама RI" вроде как защищён. Там, вроде, каждый "роутер" делает какой-то майнинг (грубо выражаясь, деталей не помню), относительно продолжительное время.
` Подтверждаю "спам флудфилами".
weko Vort: кстати, если это туркменцы, то они могут вполне читать этот чат
` Тоже недакватный рост.
weko Надо делать чистку
Vort да кто угодно может читать
weko Как то
weko Может сделать какой то чат в xmpp?
weko Хз)
Vort security through obscurity? не смеши
weko Не
weko Просто лучше хоть что-то предпринять
weko Чем ничего
weko Вроде чистятся Флудфилы
weko Но новые прибывают
weko Был рейт 5
weko Стал 7
Vort у меня, кстати, потребление CPU в пределах нормы
` <weko> Может сделать какой то чат в xmpp?
` Только RetroShare(c)(R)[TM] !111)00
Vort иногда прыжки на 5% в течении ~секунды
weko На самом деле какер не дурак. Нашёл не деделанное место и бьёт по нему
Vort я сейчас профайлером гляну
Vort вижу тред, который "прыгает"
weko Да явно какер пополняет
Vort ха!
Vort вот что жрёт CPU (если я не ошибся):
Vort i2p::data::RouterInfo::IsUnreachable
Vort i2p::data::NetDb::GetClosestFloodfill
Vort weko: вот это твои прыжки до 100%
` 7%
` Всё, посоны, не чокаясь.
` )00
` Первый пошёл
` Потеряли посона
Vort weko: увидел мои сообщения про CPU ?
` скорее всего нет
weko Увидел
weko Кикать начало
` weko, что по "TCSR"?
weko [10:36:30] <Vort> i2p::data::RouterInfo::IsUnreachable
weko [10:36:30] <Vort> i2p::data::NetDb::GetClosestFloodfill
weko Подтверждает увиденные данные.
weko `: 7% скользящеее
Vort вот как у меня эти прыжки видны
` weko, тоже 7%
weko `: вот накаркал ты
weko Блин
weko ori
weko orignal: R4SAS есть кто живой?)
` weko, я только носитель древних знаний..
Vort спят небось ещё
weko Vort: да часовой пояс другой
Vort да я тоже говорил, что атака была слишком простая
Vort ну вот теперь чуть посложнее
Vort и это явно не предел
` Главная атака на I2P предстоит, если в сеть войдут реальные "халявщики", а не моментные спамы.. Как и завещали древние анонимусы..
` когда в сеть войдут*
` Великое схлопывание is coming!
` )00
weko `: гадтд!!
Vort я помню, как предрекали падение рутрекера из-за отмены рейтинга
Vort а вот нифига и не упало тогда
` Уже 8.7к флудфилофф на 11к роутерофф
weko `: благо ты не флудфил
` И растут флудфилы дальше
` Blinded message
weko Тут главное сколько у флудфилов других флудфилов
` weko, у меня тостер.
` Пожалел сеть)00
` 9.2к флудфилофф, однако
weko orignal: R4SAS нужно срочно делать хотя бы минимальный профилировщик и делать релиз
weko Если шиз не успокоится конечно
Vort вначале думать. а потом делать )
Vort не хватало ещё новых дыр навертеть
` У меня роутеры растут одновременно с флудфилами. То есть 1:1, то есть в роутерах появляются только новые флудфилы
weko Vort: скажи чего тут думать
weko Проблема в отсутствии профилирования флудфилов
weko Вот и всё
Vort weko: я же сказал - чтобы исправлениями не наделать ещё больше проблем
weko Vort: ну дак это понятно
weko Предложи вариант лучше чем этот
Vort "ну дак это понятно" вот и чудненько
Vort я не критикую вариант
Vort просто предлагаю не спешить. ну или хотя бы спешить не сильно
weko Пока лось спит у нас есть время подумать
ncop stats.i2p заработал. И судя по всему количество нарастает и не перестаёт. Гарантировано прилетело 14 тысяч новых роутеров - и это только то что точно есть в БД у роутеров zzz. А самих роутеров скорее
ncop всего гораздо больше. Повторяю - атака ПРОДОЛЖАЕТ НАРАСТАТЬ, ПИКА НЕ ВИДНО
weko ++stats.i2p заработал
weko Вижу пик
weko Это пизлец
Vort "прилетело 14 тысяч новых роутеров" или пустышек. это важно различать
` 10к флудфилофф, дратути
weko Миллион "роутеров"
weko Vort: естественно это пустышки
ncop weko: не вижу пика, где ты видишь?
weko ncop: самый верхний график
weko Там миллион пишет
weko Больше
` weko, что "характерно", что reg.i2p работает без затыкофф. А вот stats падает. А где stats используется чаще чем reg.i2p? *намёки*
` жава-прайд наносит очередной удар
` >_<
` ладно, это больше наброс
weko `: джава роутер имеет бэкдор, понимаешь тут и так всё понятно
Vort zzz: are you aware of new wave of attack?
weko Vort: я им писал уже
weko Молчат
Vort ок
ncop Самый верхний график - это суперсинтетический график. Что он там показывает вообще непонятно. Особено в случае таких резких колебайний. 1 миллион роутеров? Сомневаюсь. Даже пустышек. Так что
ncop пик не пройден
weko Видимо спят тоже
weko ncop: понятно что не пройден
weko Но верхний же график не показывает больше чем есть?
Vort у меня CPU уже до 15% прыгает, кстати
weko Он показывает в интерполяции на всю сеть, по фиг знает каким алгоритмам
ncop weko: ты сам ответил на свой же вопрос.
weko ncop: понятное дело
weko Но всё равно число запредельное
weko Лесенка
weko Кстати спам именно с новой версией
Vort обновились
weko Нет могут просто ставить новую
weko В RI
Vort в Tor, кстати, тоже атаки были волнами
Vort и тоже с "передышкой" на несколько дней
ncop не знаю как, но торренты положены на лопатки. некоторые сайты можно открыть, но торренты вообще умерли. Может быть потому что торренты в первую очередь на джаве, или потому что торренты в
ncop первую очередь в США и атака идёт на США - не зна. Но факт есть факт, половина сайтов открывается, а торренты умерли совсем.
weko ncop: атака идёт на всю сеть
Vort при атаках на Tor было чётко видно, когда атакующий менял тактику
Vort вначале был трафик, потом коннекты, потом ещё что-то
Vort вот теперь и в i2p переход от тупого трафика к более избирательному засиранию
Vort я считаю для i2p важно то, насколько архитектурно сеть защищена от атак
Vort технически же залатать баги - это хоть и работа, но не самое страшное
weko Vort: архитектурно такой проблемы не должно быть
weko Но профилировщица нету
weko Вот и проблемы
weko Хотя должен быть
Vort weko: если профилировщика будет достаточно для защиты, то это будет хорошо
weko Vort: ну от такой херни уж точно
Vort а я говорю и о будущей херне
weko Будущая уже не будет такой критичной
Vort хе...
weko Ну максимум если ещё какая недоделка в клиенте (а не в протоколе)
weko Нет ну может быть что то
weko Но не настолько пиздец
weko Тут уже совсем "ахуеть"
weko Во первых насколько я знаю RI приходит напрямую, не через туннели
weko А значит можно найти кто это делает
weko Нужно смотреть с каких айпи много гавна приходит
weko И банить
ncop weko: 5-10 тысяч роутеров которые запатчены так, что создают огромное количество тоннелей, но для каждого роутера - немного. может быть даже низкоскоростных. И самостоятельно их не отличишь никак,
ncop только если сравнивать с нескольких роутеров. Но сеть деградирует сильно. Вот тебе и атака. правда надо будет 3-4 тысячи ip из разных подсетей, но это тоже не большая проблема для 3ёх буквенных
weko ncop: ну тут я согласен что это фиг найдёшь, когда много айпишек спамит
weko Но я не думаю что такая ситуация у нас
weko ncop: хотя есть некоторые идеи как таких ловить, но надо думать
ncop weko: так что придётся делать тоже самое что сделал zzz - блеклисты. Но по самостоятельной подписке и с возможностью брать у нескольких. Ну вот у тебя например 4-5 роутеров и ты сможешь выловить
ncop 10-30% атакующих i2p. потом если доверяешь ещё кому то - подписываешься и на его блеклист. И так далее. Ну с механизимами защиты тоже можно подумать, например выставлять понятие особо доверенный
ncop блеклист, доверенный, не очень доверенный. И накладывать ограничения. например от недовереных не брать вообще данные если вдруг блеклист распух. Или блокировать ip только если он пришёл как
ncop минимум от 3ёх недоверенных или 2ух доверенных или 1го особо доверенного.
weko ncop: есть идея
weko Хз насколько хорошая
weko Но я напишу
weko смотри, чтобы какерам не спалиться, им нужно строить туннели через самих себя тоже
weko *думаю, что это даёт*
weko ncop: твою идею понял
weko Звучит хорошо
ncop weko: ничего. Только если не выловить какеров очень тихо и начинать гадить им же. Так чтобы они и не поняли что на самом деле они только через себя трафик гоняют.
weko ncop: смотри они будут гонять и через себя туннели а значит будут сами разгружать свою нагрузку
weko А если ещё сделать лимит туннелей с одного роутера как я раньше рассказывал
weko То будет достаточно низкий порог их возможностей без палева
weko Floodfills: 1887
weko Атака кончилась
weko Что странно
weko Хотя мю и нормально
ncop weko: ещё атака - просто забивать тупо трафиком. не количеством тоннелей, а объёмом. но не огромным на 1 тоннель, а ровномерно. И их же не отличишь от обычных пользователей. Тогда спасёт только
ncop профилирование с тестированием, пропуск через них своего транзитного трафика и давать приоритет для жирных тоннелей тем кто тоже позволяет через себя транзит пропускать. но при этом
ncop остальных не реджектить, а давать меньше скорость. Но для этого надо внедрять тяжёлый механизм шейпинга, что сделать тяжело и оригнал пока не готов
weko Просто такой быстрый конец намекает на то, что это может быть какой то (очень странный) баг
relaybot 13weko: ncop: ну про трафик тоже речь былп
relaybot 13weko: Я про это тоже уже писал
relaybot 13weko: Предлагаю разные варианты
relaybot 13weko: У меня и про детектирование атаки сивиллы идея была
weko Видно тут падение
weko Предлагал*
weko Ты прав тут
ncop weko: "Атака кончилась" - не кончилась, а немного стихла. пока что всё всё равно плохо.
weko Нет, чётко видно что флудфилы вернулись в норму
weko Вот и процент вверх пополз
weko Tunnel creation success rate: 14%
Vort не от того ли "кончилась", что мы начали о выявлении IP адресов пустышек говорить? :)
Vort надеюсь, хоть кто-то ведёт нормальные логи RI
Vort чтобы понять откуда оно пёрло даже после того, как перестало
weko Vort: ахахахахаха))
weko Да, точнее начали говорить про вычисление какеров
weko По тому, откуда идёт гавно
weko Vort: ++))
weko Надо логировать всё вот это дерьмище
weko Кстати довольно таки быстрое упало
weko Я даже заметить не успел
ncop мною написано 2 раза просьба о логировании
weko Вот и от меня
weko Логировать можно в формате "действие":"айпи адрес":"количество действий"
Vort ну это специальные узлы нужны
weko Может сделать форк "i2pd-dev"
weko Всё таки
weko Как уже была идея
Vort если просто тупо включить логи, то это, скорее всего будет малополезно
weko Процент быстро лезет вверх.
weko Vort: смотри я написал, нужно по айпи логировать всё
weko И смотреть потом аномалии за промежуток времени
weko Конкретный
weko Когда идёт атака
weko Привет, какеры, если чат читаете...)
weko Хм
weko Тред NetDb всё равно скачет
weko Хотя не должен вообще
Gate у меня рейт за ночь упал с 15 до
Gate 8-9
weko У тебя средний пишет если релиз
weko Память 242мб
Gate git clone github.com/PurpleI2P/i2pd и далее make это транк?
weko cd build
weko cmake .
weko make
weko Транк
Gate ну попробую транк компильнуть, и на прод поставить
weko Tunnel creation success rate: 20%
weko Норм
weko Вырос до нормальных значений
Vort можно же и без cmake?
Vort я просто make`ом собираю
Vort есть у cmake какие-то особые преимущества сейчас?
ncop weko: кстати у меня тоже память стало занимать 190 МБ. Было 150 до атаки. память течёт медленно, но вот за полдня резко скакнуло. До 150 добирался за 2 недели, а тут со 150 до 190 за несколько часов
weko У меня 150 обычно значение, еле еле добиралось до 170
weko Ну вообще логично что потребление выросло
weko Vort: не стоит
weko У меня была какая то проблема
weko Когда забыл сделать
Vort я имею в виду сборку вообще без cmake
Vort без cd build то есть
weko Vort: ну я об этом
weko Я один раз забыл и не работало
Vort почему ты говоришь "забыл"? это разные методы
Vort можно так, можно эдак
weko А ты про это
weko Ну удобнее
weko Спамит в директорию build
weko И вывод покрасивше
Vort понятно
weko Там же он файлы создаёт
weko Пусть их в build кладёт
ncop weko: 150 МБ норма если у тебя X и макс транз тоннелей около 3000. А если на транзит O или P и на количество тоннелей = 2500, то 150 МБ этого много. Значит течёт
weko У меня транзитных туннелей 7000
ncop * X и макс транз тоннелей около 10000
weko У меня максимум 65535
Vort утечки не количеством определяются, а его динамикой
weko У одного чела было 23к, у мен, было 21к туннелей
weko Vort: а, я когда писал джавистам, у меня в нике _ было, а там +m
weko Дрозд живой...
ncop weko: дрозд тебе говорил не о том что атаки нет, а о том что на тот момент у него всё ещё было повышенное количество флудфилов, то есть он говорил что атака не окончена
weko Аааа
Vort у меня, кстати, тоже держалось дольше, чем у weko
weko Хм
weko Странно
weko Интересно
weko ncop: но тогда почему у меня вернулось в нормальное значение , при чём очень быстро
weko Хмммм
ncop weko: так, записываем в блокнот, weko в школе учил немецкий, или вообще плохо учился. Ещё один шаг к деанону =)
weko Да я беглым взглядом читал просто)
ncop Vort: у меня тоже держалось дольше на 20 минут, и тоже быстро вернулось.
weko Не заметил over
weko Хм, очень странно.....
Vort вот что у меня сейчас. если вдруг надо. Routers: 5383 Floodfills: 1674
weko Это странно потому что у меня начал рости процент сразу после возвращения количества в норму
Vort weko: сколько сейчас рейт?
Vort у меня Tunnel creation success rate: 25%
ncop если быть точным - держалось сначала минут 5-7 на уровне 5000 фф, потом ещё минут 10-15 на уровне 2500. А скорость и связность восстановилась только минут через 40-50 после того как weko объявил об
ncop окончании атаки
ncop Tunnel creation success rate: 42%
Vort интересно, что "волна" так по-разному проходит у разных юзеров
Vort видно, что событие одно и то же. но влияет по-разному
ncop Routers: 7249 Floodfills: 1680
weko Floodfills: 1766
Vort похоже, что 1.6к - это нормальное значение. я и раньше его замечал
weko Vort: ну дак да
weko Это нормальное значение
weko Оно очень долго такое было
ncop Vort: очень долго значение крутилось около 1490 +-2. Чаще минус 2, если ты понимаешь о чем я. Я вполне серьёзно. Такое ощущение что кто-то балансировал количеством роутеров чтобы поддерживать
ncop определённое значение. Я не шучу. Понятно что значение подобрать тяжело, но очень долго крутилось вокруг этого числа
weko Странно
Vort я не настолько понимаю механизмы работы i2p, чтобы делать из этого какие-то выводы
ncop Может r4sas в релизы каждый раз добавлял патчик if ff_count > 1400 and ff_count < 1590 then ff_count:= 1483 + base(random(0:10))
weko Ахахахахаха))
whothefuckami weko: чево сделал?
weko whothefuckami: ?
weko Ну ты же хотел сделать ограничение портов
weko Тоесть ты сказал что сделаешь
whothefuckami Я тебе скидывал патч
whothefuckami Который уже всё сделал
whothefuckami Ты вроде запустил
weko А, я думал ты PR сделаешь
whothefuckami И сказал что не крашнуло
whothefuckami У меня нет гитхуб аккаунта
weko Ладно, сделаю сам...
whothefuckami Так что да, делай ты
whothefuckami Тут за вчера много истории прилетело
whothefuckami Было что-то важное, что надо прочитать?
R4SAS weko, Vort: чего происходило то?
R4SAS сейчас ничего не наблюдаю
weko R4SAS: атака со спамом фейковых FF RI
weko 7-8к флудфилов быдл
weko было*
whothefuckami А что сеть?
whothefuckami Выстояла?
whothefuckami Упала?
weko 5% TCSR))
weko whothefuckami: смотри лог
weko Вообще читайте лог, там всё подробно
whothefuckami И как от такого защищаться....
weko whothefuckami: сделать профилировщик
weko Читай лог
weko Уже всё сказали
R4SAS у меня нет статистик каких либо
R4SAS везде где посмотрел фф в районе 1800
weko Это щас
R4SAS но графики забаны, да
R4SAS забавны*
R4SAS я вижу вижу
weko Вот и ещё netDb тред в 100% уходил
weko И в средем был 10-30%
weko Хотя обычно 5
R4SAS видно что плацдарм начали набирать вчера в районк 18 часов
weko Возможно
weko Похоже на то
weko Может быть это запустили роутеры которые атакцющие
whothefuckami Если в системе несколько dns
whothefuckami Как оно выбирает, какой выбрать?
whothefuckami Может по аналогии сделать?
R4SAS whothefuckami: че?
R4SAS а че, в гугле забанили?
whothefuckami Да :((((
weko При чём тут i2pd?
R4SAS а вообще, как видно, ш2зв вообще спокойно пережевал всё что происходило
R4SAS ни где не отвалилось, ирк и рег даже не телепало
whothefuckami (да только сеть не работала)
R4SAS если бы сеть не работала, то всех бы отсюда вывалило
whothefuckami хз у меня торренты отвалились
R4SAS на какой стороне?
R4SAS клиента, роутера, или чего?
R4SAS или пиры пропали?
whothefuckami 04/02 21:04:05 Stopping all torrents and closing the I2P tunnel.
whothefuckami 04/02 21:04:05 Unable to connect to I2P
whothefuckami ш2зснарк не очень информативный
R4SAS это уже в коде снарка смотреть надо
ncop у меня пропало 50% пиров, а остальные пиры на всех торрентах суммарно выдавали на скачивание 5 - 10 кбайт в секунду, на раздачу 50 - 100 кбайт сек. Хотя специально были добвалены ходовые раздачи.
ncop некоторые треккеры были недоступны, DHT работал
R4SAS почему он посчитал что не может подрубиться к ш2зв и отрубился
ncop Числовые значения - это суммарные показатели на все торренты. Одинаково что в BiglyBT, что в снарке. Так что торренты легли почти полностью. моя гипотеза - потому что почти все торрентёры сидят на
ncop джаве. Ну и джава роутеры не выдерживают вообще атаки.
zzz good morning weko Vort
weko If it is good
zzz nice "weather" today ))
zzz you have a sample "fake" RI?
weko Weather: Hurricane
zzz not really hurricane season :)
weko I hope
weko Eruption
weko [14:31:20] <zzz> you have a sample "fake" RI?
weko I have some logs, I can watch there
zzz all my routers are back to normal
weko For now it is
weko But check stats.i2p
zzz sure, I see
weko I seen 7-8k floodfills, some person reported about 9k
zzz we know floodfill 0.9.57... but what else?
zzz same IP? or fake IP?
weko But I don't think what we can find something intesting in this RIs...
zzz take a look. they are all expired from my netdb
weko Okay, one sec, I will
weko I suggest simple solution - don't use floodfill at all, before we hadn't test it
weko *go to look*
zzz one of my routers, back to normal: stats.i2p/docs/router.knownPeers.png
weko All the routes of this mountain - floodfills
weko Oh, i2pd doesn't log full RI
weko Only hash
weko Floodfills: 5313
weko Again
weko zzz:
weko Tunnel creation success rate: 13%
weko Again
weko zzz: same scenario
weko stats.i2p also show same behavior
weko Many kicks from IRC
weko zzz: so, I think it is hurricane season
nonl-l-etc-etal2 weko: гугли что такое irc netsplit
weko We need hotfix
weko nonl-l-etc-etal2: а, мне не показало
weko Обычно показывает простг
weko Да и тут не похоже на то
weko При нетсплите всех одновременно
weko [14:46:07] <weko> Oh
weko [14:46:10] <weko> Floodfills: 5313
weko [14:46:13] <weko> Again
weko [14:46:15] <weko> zzz:
weko [14:46:44] <weko> Tunnel creation success rate: 13%
weko [14:46:44] <weko> Again
weko [14:47:08] <weko> zzz: same scenario
weko [14:47:33] <weko> stats.i2p also show same behavior
nonl-l-etc-etal2 вообще-то да, пинг таймаут ошибки, а не квит
zzz ok, good, let me look for example RI
weko zzz: I just copy my NetDb, for future analysis
zzz NTCP2-only, random IP, cost: 3, XfR
weko We need detect source
weko And make hotfix
weko Tunnel creation success rate: 7%
zzz Java routers are doing pretty good
weko How many floodfils you have Noe?
weko Now*
weko Floodfills: 8406 ...
zzz 5242
weko zzz: also very many
weko 10k
weko 11k
weko 12k
weko Ohhhhh
weko 13k
weko 14k
weko R4SAS: пиздец
weko 15k
weko NetDb тред 100
weko 100%
weko Походу irc.ilita.i2p отвалилсч
weko Oh it is increasing again
weko zzz: have you any suggestions?
zzz not yet
orignal че случилось?
orignal то что тут вылетало этоу меня проблема на впс была
orignal да вижу засрали флудфилами
fidoid Floodfillful today...
fidoid Однако, здравствуйте.
orignal однако за i2p взялись серьезно
orignal по флудфилам вопрос номер раз
orignal какой процент из них ipv4
orignal если процент высокий тогда вопрос номер 2
orignal из какого диапазона
orignal засираение флудфилами не может быть вызвано багом
orignal это явная атака
fidoid У меня такой информации нет. Я сварщик ненастоящий, просто количество в rrd пишу.
orignal так это не только тебе
orignal анализ ситуации нужен
fidoid Мои .b32.i2p открывались во время пика. rutracker.i2p тоже открывался. На 4rum минут 30 не мог зайти.
orignal ну так такое количество флудфилов
fidoid Транзит на моих роутерах периодически уходил за 200-300Мбит/с.
orignal на совпадают списки у участников
fidoid При том, что количество транзитных туннелей было меньше, чем в последнее время в среднем.
odin Привет а это только у меня резко упал рейт до 1%
odin причем на трех узлах
fidoid Да, и рейт упал почти в 0.
odin еле сюда подключился
orignal у всех
orignal у меня тоже 4%
odin пока непонятно в чем проблема?
odin выше просто не вижу дискуссию
orignal понятно
orignal какие то ослоебы атакуют сеть
fidoid 4 февраля с 19 до 23 по МСК был всплеск роутеров с 10тыс. до 24тыс. Но без роста количества флудфиллов.
orignal на сей раз кучей флудфилов
odin опять двадцать пять
orignal вот с флудфилами надо понять
orignal нормальные ли они или кривые
weko orignal: дед говорит рандомные ip
weko orignal: у меня было 15.8k флудфилов максимум
weko orignal: кривые конечно
fidoid У меня 23 с полвиной тысячи почти.
weko Прямо сейчас или максимум?
weko Флудфилов
weko ori
weko orignal: я предлагаю самое эффектное, это нн использовать FF пока он не проверен на работоспособность
orignal ipv4 ,
weko zzz:
weko ipv4?
orignal почему думаешь что кривые?
weko orignal: потому что скачки
weko Там лесенка на stats
weko Откуда столько флудфилов вообще
weko За пару десятком минут десяток тысчч
weko тысяч*
weko orignal: понимаешь были бы нормальный, TCSR не упал бы
weko Нормальные*
weko orignal: читал лог? Я писал что NetDB тред имеет пики в 100%
weko И в среднем 10-30%
weko [16:31:02] <weko> orignal: читал лог? Я писал что NetDB тред имеет пики в 100%
weko [16:31:14] <weko> И в среднем 10-30%
weko Когда обычно 5%
orignal так это все понятно почему
weko А мне не понятно
orignal кто то заваливает сеть роутерами
weko Что там в тредк такого
orignal вопрос тут вот в чем
weko Да это понятнт
orignal откуда они стольтко адрес надыбали
weko Почему тред столько кушает не ясно
orignal в том треде как раз обработка ротуеров
weko Там же нету криптографии?
weko orignal: это не реальный адреса
orignal распаковка и проверка подписей
orignal есть
weko Это рандом но сгенереные
orignal Verify
whothefuckami Может это 1 ip, но тыща роутеров на нём?
weko orignal: а, окей
weko Тогда понятно
orignal что зеачит не реальные?
weko whothefuckami: нет, айпи разные
whothefuckami А вы как узнали?
orignal ты пробовал их телнетом.
weko orignal: окей если бы были реальные, почему TCSR падает до 5%?
weko У них флаги XfR
weko Вот почему падает тогда
whothefuckami Да как вы узнали, какие у них флаги
whothefuckami Что они на разных ip
whothefuckami Где это в веб морде?
weko whothefuckami: дед выше писал
weko Читайте логи блин
orignal да потому что узлы в тоннеле не могут друг друга найти
weko whothefuckami: нету этого в вебморде
orignal потому что у всех флудфилы разные
orignal потому что их слишком нмого
whothefuckami weko: я был в отлупе
orignal whothefuckami на веб морде есть есть все в папке netdb
weko whothefuckami: major.i2p
orignal сделай поиск по ним у кого в caps есть буква f
weko orignal: типо миллион флудфилов? Я не верю в это
weko Зачем атакуещему реально поднимать флудфилы, когда можно их не поднимать с тем же результатов
weko Результатом*
orignal потому и надо разобраться
orignal прежде чем строить гипотезы
orignal дать ответы на вопросы которые я сформулировал
weko Ну просто в твоём варианте это должно быть очень много реальных флудфилов
orignal если у них левые IP то проблема решается быстро
weko Что не реалистично
weko orignal: ну дак я её и предлагал
orignal поэтому нужен ответ на вопрос
weko orignal: нет, это в любом случае надо сделать
weko А тут можно сделать, и сразу проверить
orignal а если настоящие?
orignal а если эти флудфилы валидыне?
weko Ну либо пройтись по ним через nc
weko orignal: ну дак решение заключается в том, что мы не используем RI никак до тех пор, пока мы не проверили что он реальный
weko Тоесть без проверки не использовать
orignal ну так ты с флудфилом не соединишься просто если у него адрес не реальный
weko orignal: ну а я о чём
weko Если адрес не работает удаляем
weko Другой вопрос что нужно лимитировать сколько приходит RI с одного айпи
orignal мы так и делам вообще то
orignal если никакой адрес не работает мы снчала исключаем потом удаляем
weko orignal: но вот что, нужно не использовать до тех пор, пока не проверили первый раз
weko Если один раз ответил значит валидный
orignal так не получится
weko Тут буквально минут за 10-20 количество вырастает в до 15 тыщ
weko orignal: почему
orignal ты используешь много чаще чем соединяешься непостредственно
orignal если кратко
orignal сам подумай
orignal ты строишь тоннели и как правило через уже существуюшие линки
weko Ну и что...
weko Не вижу причин почему нельзя игнорировать пришедший RI до тех пор, пока он не проверен
orignal ты используешь а сам не соединяешься
orignal ой все
orignal голову включи
weko Ну дак проверить то мы можем
weko И ничего не будет
weko Вот мы флудфил, зачем нам при поиске отвечать флудфилами, в которых мы не уверены
weko Нам наспамили флудфилами - так зачем их отсылать пока мы не уверены что они работают
orignal если ты наченешь строить тоннели только через те с которыми недавно соединялся то ....
orignal дальше закончи мысль с позиции анонимности
orignal ты майор в середине тоннеля
orignal чтобы узнать кто хохяин толннеля ты посмотришь список тех кто сеодинялся с тобой недавно
orignal это уже другая тема
orignal видишь ли
orignal когда к тебе прилетает флудфил как правило прилетает именно с него
weko orignal: не недавно! Мы ПРОСТО не используем флудфилы, которые мы не проверили ни разу. Ты сам же сказал, что они проверяются
weko orignal: в данном случае нет
orignal что проверяетcя? подпись?
orignal или что?
weko orignal: что они вообще отвечают
orignal что нет?
weko Один раз ответил - значит можем использовать
orignal тогда когда тебе нужно к нему обратиться
orignal никто специально ничего не проверяет
weko orignal: ну дак а надо бы
orignal никто не станет специально запрашивать
orignal вот что действительно нужно сделать это IP адрес проверить
weko А я о чём?,
weko Мы проверяем что по этому адресу реально есть роутер
weko А если нету значит мы удаляем
whothefuckami Так пусть флудфил 1 раз ответит правильно
orignal нет не надо
whothefuckami А потом пусть не отвечает вообще
orignal ты азебал
whothefuckami А если мы проверили, он там есть. А потом бах, и его нет?
weko whothefuckami: так через туннели?
weko whothefuckami: если хотя бы раз ответил это значит уже не левый адрес
whothefuckami не понял
whothefuckami А, вы про левые
whothefuckami Бывает
weko [16:54:01] <orignal> ты азебал
weko Я просто не понимаю. По моему фильтрация левых адресов это достаточно просто. Мы должны считать все RI по умолчанию не провернными и не использовать
weko [16:56:15] <weko> [16:54:01] <orignal> ты азебал
weko [16:56:15] <weko> Я просто не понимаю. По моему фильтрация левых адресов это достаточно просто. Мы должны считать все RI по умолчанию не провернными и не использовать
orignal насчет левых аждресов да
orignal надо проверять при сеодинении
orignal если публикет адрес что совпадает IP
weko Насчёт этого не знаю
weko Но вообще факт что один адрес может отправить кучу RI и роутер их примет странный
orignal еще раз медленно и по буквам
orignal никто не станет сам опращивать роутеры
orignal сам
orignal только если нужно соединиться
orignal проверку IP да седать надо
orignal я добавлю
orignal если ее еще там нету
orignal если пришло соединение с IP и роутер оттуда публикует то долке быть такой же
weko orignal: не использовать я имею ввиду:
weko Для не флудфилов - не не отдавать другим роутерам
weko Для флудфилов - не отдавать при поиске RI, лиссетов и самим не искать на них роутеры и лиссеты.
weko И вообще то верно, если роут��р отдаёт свой RI, тогда можно считать его доверенным сразу
orignal ты так всю сеть поломаешь просто
weko Ну и конечно ограничить получаемые RI с одного адреса
orignal если не будешь отдавать флудфилы с которыми сам не пылася соединиться
orignal потому что как правило ты отдаешь те с которыми не пытеашься соединитья
weko orignal: но мы то будем пытаться, если нам пришёл новый RI, то мы его не отдаём пока не уверены что он валидный
weko Достаточно одного ответа
weko Мы же ко всем в среднем флудфилам из базы обращаемся
orignal ты надо мной изведваешься что ли?
orignal нет к большинству мы не обращаемся
orignal смысла нет
weko Для них есть что-ли "чёрный список"?
weko Иначе не понятно почему. Есть же поиск новых роутеров
weko При нём мы образуемся к случайному флудфилу
orignal ну так это капля в море
weko orignal: хм. Ладно
weko Тогда понятней
orignal пока ты такими опросами случано попадешь на свежедобавлнный флудфил у тебя несколько сотент раз запросят
orignal а ты предлашаешь не отдавать как будто его у тебя нет
weko Ладно тут я понял
weko Согласен
weko Я просто кое что другое понял
weko Хотя тут надо думать
weko Тогда нужно лимитировать количество RI с одного айпи
orignal это да надо
orignal проверку IP добавлю
weko [16:56:43] <orignal> насчет левых аждресов да
weko [16:56:57] <orignal> надо проверять при сеодинении
weko [16:57:03] <orignal> если публикет адрес что совпадает IP
weko Так роутеры же могут сообщать не свой RI. И тогда проверка не будет выполняться
orignal не могут
orignal при установки соединения проверяется
weko А как тогда мы узнаём о новых роутерах?
orignal в роутере который они присылают должен быть ключ s
orignal я тебе про установку сеоддинения говорю
weko А окей тогда
orignal когда кто то подключается он обязан прислать свой RI
weko Хорошо
orignal и в нем обязательно должен быть адрес с ключом s
orignal это мы проверяем
orignal так вот если вэтом адресе есть IP
orignal то надо проверять его совпадение
weko Хм, а если обсос пидорас и айпи поменял ?
weko А понял
weko Тогда через ssu2 будет он приходить
orignal тогда соединение разорвется
orignal если именно в этот момент
weko Routers: 3783 Floodfills: 3358
odin зайти в вебморду в Transports и чекнуть доступность портов у ip? Типа того?
weko Не думаю
odin интересно было проверить эти IPs на whois может к одному хостеру принадлежать
odin наверняка закономерность есть
fidoid По графику был пик в 23 тысячи флудфиллов с лишним, сегодня в 15:40 по Москве.Обычно было в районе 2 тысяч.
orignal у меня прям счас 7
weko У меня 5
fidoid Сейчас на одном роутере 13, на другом - 10 тысяч.
fidoid Третий пока отвалился, он через туннель мониторится. :-)
fidoid На третьем - 13325.
fidoid В разных странах.
fidoid Что любопытно, ssh по b32.i2p доступен, а туннель мониторинга отвалился.
orignal Floodfills: 12328
orignal пиздец
weko orignal: а когда я сказал про 15к ты не поверил?)
Vort по поводу того, что жрёт поток netDb, я скидывал функцию
Vort логи чата раза с сотого скачались )
Vort curl --socks5-hostname 127.0.0.1:4447 major.i2p/ilita/dev/2023/02/05 -o major.html -v --connect-timeout 20 --retry 10000 --retry-delay 5 --retry-all-errors
Vort так что - никто так и не проверил - реальные флудфилы или нет? адекватно ли эти сервера отвечают на запросы?
orignal ответ такой
orignal что соединения с ними есть на на запросы не отвечают
Vort понятно
Vort странно что я не видел кластеров IP
orignal то есть это реально атака
Vort неужели у атакующего так много разнообразых IP, что их кучкования не заметно?
orignal кто то модифицировал так чтобы публиковался как флудфил а его фуннкции не выполнял
orignal этот вопрос я тоже задаю
weko orignal: ты же не думал что это могут быть реальные флудфилы?
orignal если действительно много реальных и разных ipv4
orignal значит это не мамкин ддосер с кислицы
orignal а кто то серьезный
orignal weko почему не думал?
Vort ну то есть это выходит полу-реальные
Vort аа. я же на SSU2-only сижу. если они NTCP2-only, то поэтому я их не вижу
weko orignal: соединение именно ntcp2/ssu2?
orignal Vort все хуже
orignal если бы у низ были левые IP их бы дропали
weko orignal: подожди, тоесть на этих айпи запущены роутеры хочешь сказать??
Vort weko: хакнутые роутеры
orignal не знаю
orignal пока не понятно
orignal weko видимо да
orignal но на запосы не отвечают
Vort такс. у меня на SSU2-only они должны оседать в netDb или нет? надо на IP адреса посмотреть
weko orignal: я такого даже представить не мог
weko orignal: с ними ntcp2 коннект идёт?
orignal если все так и есть значит за нас взялись серьеные люди
weko orignal: да
orignal дед счас смотрит
orignal ждем
Vort мне интересно, есть ли пересечение с IP атакующих Tor
weko orignal: смотри если с ними нету ntcp2 соединения, значит это врядли роутеры
weko Vort: для этого нужно посмотреть откуда приходит
Vort зачем?
orignal у тора не бывает входящих
Vort "у тора не бывает входящих" O_o
orignal так дед гвоорит что есть
orignal Vort тут понимаешь какое дело
orignal если ты флудфил то обязан публиковать свой IP
orignal к которому приходят входящие соединения
weko orignal: ntcp2? Ёбаный пиздец тогда
Vort вот мне и интересно распределение этих IP
Vort а про Tor тут какое-то недопонимание. я же атакующих не просто так банил. а именно из-за засирания входящими коннектами
weko Тут такое дело что мы не может отличить реальный флудфил от вот такого говна
weko И если это реальные адреса с роутерами, то это полный пиздец
Vort да хоть вручную протыкать порты им
odin Routers: 28332 Floodfills: 16382 ))
orignal loodfills: 9795
weko
orignal SSU2-only
orignal не флудфил
odin дуал стек
weko Но было в пике 15.
odin и растет с приличной скоростью
Vort "<weko> Тут такое дело что мы не может отличить реальный флудфил от вот такого говна" лол
Vort я проверил то, что говорил zzz
Vort 4712 / NTCP2:3
Vort из 8к
Vort вот если не все, то почти все
Vort теперь надо выковыривать IP и анализировать
Vort потрошилка RI у меня, правда, примитивная
Vort надо доделывать
Vort но никуда они уже не убегут
orignal Vort ну так пройдись скриптом по netdb
orignal у кого в caps есть f там доставай IP
Vort "ну так пройдись скриптом" его надо написать вначале, не?
orignal так есть он на питоне для ресидов
orignal ацетоновский
orignal где он ygg авдреса достает
Vort в общем, пока что попробую сам сделать. если не будет получаться, тогда буду пробовать питон заводить
weko Дед говорил что джава роутер имеет вывод RI, удобный для "потрошилки"
odin чего конкретно искать в netDB? там куча папок вида rF, rf и тп
Vort я уже выпотрошил IPшки
weko orignal: у меня в логах кучу коннекшн ерроров
weko За секунду десяток наверно
Vort и мне кажется, что они нереальны
Vort но надо проверять
Vort конечно же
orignal да они всегда бывают
odin Routers: 32666 Floodfills: 20140
Vort как вам такое? 0.176.100.180
Vort это реальный IP что ли?
weko Нихуя нет
weko Vort: посмотри ещё 127.0.0.0/8
orignal а мы такие не выпиливаем?
weko Или 192.168.0.0/16
Vort 127.11.253.126
orignal static const std::vector< std::pair<uint32_t, uint32_t> > reservedIPv4Ranges {
orignal address_pair_v4("0.0.0.0", "0.255.255.255"),
weko Ну вот подтверждение что они не реальны
Vort 0.240.43.157
Vort 0.98.68.8
orignal Vort ты их видишь в netdb?
weko Vort: а 10.0.0.0/8 есть?
Vort всего три штуки 0.*
Vort ну на моём наборе
Vort короч ща расшарю
orignal а другие адреса у этого роутера есть?
orignal смотри
orignal мы когда читаем то проверяем
orignal мы просто такие адреса исключаем
orignal и если других нет по уму должны дропать
weko orignal: да, но если такие есть в netDb, значит их опубликовал кто то. Не знаю, гавно мамонта могло такое опубликовать?
weko Vort: есть 192.168.0/16 и 10.0/8 ?
orignal Vort так ага значит бага у меня
orignal weko публиковать могут что угодно
orignal но такие роутеры должны выкидываться
Vort weko: нету. потому, что шанс рандомно на такое попасть 1/65536
Vort а у меня всего 8к роутеров в базе, и только 4к фейковые фф
weko orignal: если такое есть значит это не реальные роутеры публикуют
Vort короч кто может, сделайте гистограмку по IP
weko Либо гавно мамонта, про которое я спросил
Vort скорее всего там белый шум будет
Vort я пока что не могу, может, позже займусь
Vort списк я выложил
orignal блять
orignal я этого не делаю
orignal видать забыл
orignal да не надо
orignal одну проблему уже видим
weko orignal: в ssu2 гораздо меньше ошибок коннект с
weko Коннекта
orignal ну я же вижу проблему
orignal так ясен пень это дурные роутеры
weko Важно роутеры ли вообще
weko Если на этих адресах нету роутеров
weko То это не проблема
weko А если на них есть роутеры, то ситуация дерьмо
orignal такие надо дропать
weko Ну конечно
Vort ну какой роутер на локалхосте блин?
Vort я сейчас гистограмму сделаю
weko Vort: кстати, почему то нету 10.0/8
Vort я же сказал
Vort шанс маленький
weko Ну остальных много
odin резко упало количество флудфилов и роутеров Routers: 19344 Floodfills: 7581
weko +, тоже начало падать
odin походу прекратили бомбить?
weko 3800
weko Эм
weko Что эта за хрень
Vort очень на белый шум похоже
Vort так что _пока что_ это, скорее всего, пустышки
orignal закоммитил
Vort просто по факту того, что нереально найти хостинг с адресами, равномерно размазанными по диапазонам
Vort сейчас гляну
weko Vort: почему ничего нету с 225 до 250? Хм
Vort weko: а вот это хз
weko orignal: иду собирать
Vort "<~orignal> закоммитил" это же только от локахоста и ему подобных спасёт, да?
orignal Vort от всех левых которые в том списке
Vort в общем, как я понимаю, главный вопрос - почему узлы принимают эти RI-пустышки
orignal ну потому что я так это провеку не добавил
Vort ну там все левые... только одни левее других )
Vort понятно
Vort то есть, нужен ещё 1 фикс
Vort как минимум
orignal и в транспорты надо добавить
orignal ну да
orignal естественно
Vort а в java как?
orignal просто малость занят
Vort почему они тоже видят пустышки?
weko А ты спроси есть у ли у них проверка
Vort у них же есть эта проверка, да? :))
Vort это мне напоминает приколы (из нулевых?) когда можно было отправлять емейлы от левых адресов. почтовым серверам было пофигу )
Vort Transit: 2.97 KiB/s
Vort а вот это уже совсем мало
weko Vort: может ключи пересоздать(
whothefuckami Запустился с последним коммитом. Вроде живой
orignal а я еще его не пробовал ))
whothefuckami ну значит я бета тестер
whothefuckami netdb как будто чистится(видно в морде). Всё как нужно да?
whothefuckami А нет, опять растёт
weko Это коммит только reversed адреса чистит
weko Их не так уж и много
orignal естественно
orignal так в любом случае их нельзя держать
weko Ну понятнл
whothefuckami Routers: 16141 Floodfills: 3387 LeaseSets: 82
weko 3 тыщи уже не 15))
weko Ооо
weko У меня упало до 1800
weko Тоесть пришло в норму
weko Процент пополз вверх
weko Уже 15
whothefuckami Ты коммит ставил?
weko Нет
whothefuckami Нет, значит....
weko Он не должен сильно повлиять
weko Тут повлияло то, что какер остановил атаку
whothefuckami У меня есть две версии происходящего:
whothefuckami 1) хакер сжалился над нами
whothefuckami 2) мама сказала идти спать
weko ))))
weko Мама сказала выключать компуктер
orignal ну это не решение проблемы
weko orignal: так решения и нету
orignal это чинить надо
orignal есть
orignal фильтрация в момент соединения
weko Если была вторая волна, нет оснований полагать что не будет третьей
weko orignal: я имел ввиду, что не сделано
orignal к вечеру сделаю
orignal счас занят
whothefuckami 3) хакер побуждает разработчиков сети улучшать своё по
orignal чуваки
orignal армянку знаете?
whothefuckami каво?
orignal ее вопрос "Ну как там с атакой на сеть?"
orignal локализацию i2pd на армянский она делала
orignal отбой
orignal "Нечего рассказывать нам егф сказал"
odin спалилсь?)
orignal а егф это тубик
orignal ну я думал армянка что то знает
orignal оказывается знает от тубика
whothefuckami может это всё big brain move
orignal мысль интересное
orignal что у кого то шиза обострилась
weko Плаз например))
weko Обиделся что мы его раскрываем
weko И пошёл сеть ломать
whothefuckami Или это фсб тестирует кибероружие
orignal запросто
orignal он вполне может
whothefuckami Меня смущает то, что кто-то в сети потенциально владеет 8к роутерами
whothefuckami Это деанон по сути
weko whothefuckami: поэтому я и говорю, что если это правда, то это пиздец
odin фсб может тестировать только паяльники
weko Это ФБР тогда уж))
weko Или прочие три буквы )
orignal whothefuckami ты их все на одной машине можешь поднять
orignal какие проблемы то?
weko В том что разные адреса нужны
weko orignal: дед говорит он не проверяет
orignal вон борька пишет что его рук дело
orignal зачем? он же просто публикет левые
weko А это то да
weko Да тут даже не нужны роутеры
weko Можно с одного публиковать
orignal в общем да
weko [20:02:36] <orignal> вон борька пишет что его рук дело
weko Он ещё говорил что разрабы i2pd дегенераты совковые))))
orignal ну это само собой))
orignal weko дед говорит про другое
orignal *** ушел ***
weko Про что?
weko Ладно)
orignal ты спосил проверяет ли он IP когда RI присходит
orignal нет конечно
orignal а вот в при сустановке соединения да
weko "When you make connection in ssu2/ntcp2"
orignal ты неприавльно спросил
orignal надо receive
weko orignal: переспросил, всё равно не смотрит
weko Шиза пошла
weko [21:32:22] e90d7fonotole joined #ru
weko [21:32:41] <e90d7fonotole> онотоле вас отокуэ!!!
weko [21:33:39] <e90d7fonotole> а у онотоле много корманоф!
weko [21:36:05] <e90d7fonotole> придецо делать кашдаму роутыру працент харошева рейтингу)
weko [21:36:48] <e90d7fonotole> кароши используй, плахой нииспользуй)
weko [21:38:49] e90d7fonotole quit (Ping timeout: 120 seconds)
Vort если это просто юзеры дурачаться, то можно представить что будет, когда серьёзные аткакующие придут
orignal weko чего не смотрит?
orignal ну счас спрошу
Vort Floodfills: 2101 опять мусор прёт что ли?
weko Да
weko Пошло опять
orignal борька нашел новые 2 штуки? ))
weko Походу)))
weko Отобрал у кого-то))
weko Собираю
Vort так что там по поводу определения источника? чтобы увидеть откуда это идёт надо иметь включенный NTCP2 ?
Vort или NTCP2 RI приходят через SSU2 ?
weko А мы сейчас по логам найдём
Vort уверен, что IP логируются?
weko Если какер спамит через ssu2, то найдём
weko Vort: ну в лог идёт в новом коммите
Vort а. хех. я не заметил коммита
Vort собираю
Vort тогда я заранне в рестарт
weko Важно протестировать и понять что мы будем видеть
orignal нет надо пересобирать
orignal я только для SSU2 сделал пока
orignal а надо для NTCP2
weko Стоит посмотреть сломается ли что-то
weko В теории логов должно быть мало или вообще не быть
orignal часа через 2 запилю для NTCP2
orignal дедушка старый дедушке надо отдохнуть )))
weko Я пока что проверю
orignal да я сначала проверил - ничего не сломалось
weko_ Хм
weko_ Вижу пока что одну ошибку
weko_ При чём адреса очень похожи
orignal ну посмотрим
weko_ Пару бит буквально
weko_ Да, надо посмотреть
weko_ Вторая ошибка
weko_ На этот адреса не похожи
weko_ Этот раз*
orignal ну вот полезное дело
weko_ "actual enpoint" orignal, очепятка
Vort___ хрен сюда попадешь после рестарта :/
Vort___ через Ygg только смог зайти
weko_ Не повезло значит
weko_ Я быстро зашёл
Vort___ ну а по поводу коммита - ничего интересного
Vort___ мусорные RI продолжают прибывать
weko_ Хотя на некоторые сервера я зайти не могу
weko_ Vort___: понятное дело
weko_ Они NTCP2
Vort___ а в логах ничего интересного. изредка mismatch, но какие-то левые
Vort___ так какой тогда смысл был добавлять это в лог?
weko_ Vort___: чтобы видеть))
weko_ Лог на то и лог
weko_ 3 лог.
weko_ Адреса не похожи
Vort___ "чтобы видеть))" что видеть? я думал, что мы ловим источник мусора в сети. а мусор этот через SSU2 не идёт
Vort___ точнее, как-то RI доходят, но, видимо, через другие узлы
Vort___ пока что плохо понимаю этот механизм
weko Туннели как обычно
weko 20k было FF
weko Пиздец
weko Не зайти было
weko С 25к количество резко упало до 8к, это нормальное поведение?
Vort___ я так и не смог через i2p зайти. точнее, удалось через прокси получить лизсет, а вот через портмап - нифига
Vort___ такое ощущение, что мешает не только атака, но ещё и какие-то баги
Vort___ целый час не получать лизсет - это как вообще?
weko Vort___: это именно атака
weko А не баги
weko Vort___: это спам флудфилами
weko Рестартну
Vort___ так есть же рабочие флудфилы. вот у меня в сумме 9k. из них 1.6к - реальные. почему через них не работает?
Vort___ "Рестартну" ок
weko_ Vort: ооо
weko_ Смохххх
Vort начало падать количество флудфилов и только тогда удалось портмапу получить лизсет...