~AreEnn
~R4SAS
~orignal
~villain
&N00B
+Xeha
+relaybot
DUHOVKIN
Guest29533
HackerMan
Most2
Nausicaa
Ruskoye_911
Vort
`
acetone_
anon3
b3t4f4c3
fidoid
flumental
nemiga
not_bob_afk
plap
poriori
profetikla
segfault
soos
teeth
tensor
un
weko_
whothefuckami
nonl-l-etc-etal_
[07:35:51] <nonl-l-etc-etal_> линию наметил
nonl-l-etc-etal_
[07:35:59] <nonl-l-etc-etal_> развивать телеграм
nonl-l-etc-etal_
[07:35:59] <Sarda> На чем?)
nonl-l-etc-etal_
[07:36:04] <nonl-l-etc-etal_> на сайте и2п
nonl-l-etc-etal_
[07:36:13] <Sarda> Аа.Молодец)
nonl-l-etc-etal_
[07:36:24] <Sarda> Ты кто?)
nonl-l-etc-etal_
[07:36:38] <nonl-l-etc-etal_> ретрошара бы хорошая но дико жрёт память и сливает айпи
nonl-l-etc-etal_
[07:36:40] <nonl-l-etc-etal_> я гипн
nonl-l-etc-etal_
[07:36:48] <Sarda> Аа)
nonl-l-etc-etal_
[07:36:55] <nonl-l-etc-etal_> а телеграм получше ретрошары закоден
nonl-l-etc-etal_
нада повышать доступность криптовалют для хомяков
Vort
всегда считал телеграм централизоанным сервисом, привязанным к мобилкам (то есть, не анонимным). разве что-то поменялось? и чем тут может помочь i2p? быть просто проксей?
nonl-l-etc-etal_
Vort: телеграм с кастом сервером и указанием адреса сервера уже далеко не централизованный сервис. и там не мобилки а иды в колонке таблицы, похожие на тлф номера, и вместо смс кода 12345 константа в коде
nonl-l-etc-etal_
через и2п коннект был отлажен к серверу
Vort
ок, понял, спасибо. я думал, что у него открыт только кусок кода
nonl-l-etc-etal_
щас стоит задача собрать устаревший кусок сервера
Vort
если есть и клиент и сервер в доступе, то хорошо
nonl-l-etc-etal_
Vort: китаец написал замену серверу на голанге и мускуле
nonl-l-etc-etal_
там не все фичи, но почти все
nonl-l-etc-etal_
старый клиент телеги
nonl-l-etc-etal_
там много чего нет
nonl-l-etc-etal_
всяких свистелок
orignal
i2p помогал когда хуйло пытался телеграм блокировать
nonl-l-etc-etal_
ну я хочу криптовалюты встроить
nonl-l-etc-etal_
кошель прямо в клиента
nonl-l-etc-etal_
некастодиальный
nonl-l-etc-etal_
мультивалютный, чтобы ни одна экосистема не была главной точкой удара слабым звеном
nonl-l-etc-etal_
через плагины с апи
nonl-l-etc-etal_
как в браузерах сделать расширения
nonl-l-etc-etal_
времени много у меня, была бы продуктивность только
nonl-l-etc-etal_
эхххххх делу время, потехе час
R4SAS
orignal: слушай, ощущение что опять с http проксей или стримами началась хрень
R4SAS
как это было года 3 назад
R4SAS
будто ответы не пролезают со стороны сервера, либо до сервера запрос не доходит
R4SAS
или же ответ не верно обрабатывается проксей
R4SAS
конечно я кое что проверю...
R4SAS
проверил, на стороне HTTP.cpp и HTTPProxy.cpp не менялось ничего такого что могло бы сломать работу
R4SAS
так что опять стримы поломали
R4SAS
не знаю насчет воспроизводимости на лине, но на винде оно есть
R4SAS
можно конечно попросить удаленную сторону перезапустить ш2зв, но это немного сложнее
R4SAS
у меня обойти это получается только полностью перезапустив ш2зв
orignal
ну так надо понятьб
orignal
а что с reg кстати?
orignal
в стримах кстати тоже ничего не менялось кроме сжатия SYN пакетов
R4SAS
orignal: в плане? у меня отвечает
R4SAS
если ты о BOB, то пока что не смотрел
orignal
ну та же проблема
orignal
да про него
R4SAS
вроде пока что всё живо
R4SAS
последняя проверка была 25 минут назад
nonl-l-etc-etal
и2пграм сервер собрался, запустился, теперь клиента собрать в вмке
nonl-l-etc-etal
мож ещё их фиксать придётся , по кр мере сервер
weko
Ш2зграм, прикол
ncop
новая беспрецедентная атака на сеть. судя по stats.i2p в 04:05 UTC+0 резко привалило несколько тысяч новых роутеров. последней версии роутеров стало не 50%, а за час 65%. То есть откуда то пришло новых
ncop
роутеров оценочно 15-20 тысяч. Estimated total routers показывает уже не 125 тысяч, а 300 тысяч роутеров, хотя это скорее ошибка метода прогнозирования. Многие сайты тупо не открываются вообще уже полчаса.
ncop
Некоторые открываются раз в 15 минут. TCSR упал до 15%. Сам stats.i2p не открывается уже. У кого есть возможность просьба собрать статистику. Может быть это идёт с небольшого числа узлов. Или ещё какую
ncop
информацию полезную получится раздобыть.
Vort
что-то мой SSU2-only узел конкретно глючить начало. выглядит как очередная атака
Vort
Tunnel creation success rate: 14%
Vort
логи забиты error - NetDb: ... destination requested, but no tunnels found. это из-за низкого TCSR ?
ncop
я думаю vice versa - это низкий TCSR потому что отлупы
ncop
кавычка, у тебя тоже сеть глючит?
`
ncop, конкретнее?
`
Со времён перехода на SSU2 и "ОтАки" у всех, можно скОзать, сеть глючит.
Vort
ну вчера TCSR был около 40%
Vort
а теперь опять упал
`
Vort, тогда пожалуй да, тоже глючит.
`
Раньше у меня роутер старовал с условных 70% "TCSR", а потом "падало". А вот сёдня стартОнул с.. 10%
`
(зато сейчас аж 12%)
Vort
старт с 10% - это следствие EWMA
`
Vort, а вот с "EWMA" прошу помощи расшифроффки, не догадываюсь.
Vort
ну новый алгоритм усреднения TCSR
Vort
берёт значение от балды, потом уточняет
`
Vort, он был введён в 2.45.1 (или ранее)?
`
У меня релизная только версия.
ncop
Vort, у меня не было рестарта и последние 2 недели ниже 30% не опускалось. Теперь же 16%
Vort
следующим коммитом после 2.45.1. Но вроде в некоторые бинарники всё равно попал
Vort
вот откуда старт 10%: github.com/PurpleI2P/i2pd/blob/54fb234424aa9a7875d51698d66e9e5e6ce3375b/libi2pd/Tunnel.h#L52
ncop
Vort: не было рестарта, говорю же. Упал с 50% до 16%. Сейчас 18-19. Некоторые иипсайты до сих пор не открываются. Попробовал популярный торрент - скорость 5КБ в секунду суммарно с 20 сидами. Сеть не
ncop
дотягивает до уровня 2015 года.
`
Вопрос по венде. Возможно скоро перееду на это загнивающее гэйство.
`
А что там по "дескрипшонам"? opefiles и вот эти вот все прочие [limits].
`
Wenda 11 Pro/Home еси шо
Vort
`: в винде нет лимита на дескрипторы. сколько хочешь делай
Vort
ncop: я не спорю с тем, что атака. просто поясняю, откуда берутся 10% при старте
ncop
Не отрывается большинство сайтов из каталога notbob по фильтру stable (GREAT)
ncop
во как
`
Исчо вопрос. Что по жизни i2pd на SSD? i2pd будет надругаться на все ресурсы?
`
ncop, решение проблемы есть.
Vort
если сайты на стандартных 3х хопах, то логично. у меня для SOCKS туннелей чаще нету, чем есть
`
П.С, SSD не для SQL. Точное соотношение чтения:записи сейчас не скОжу, но как для ОС короче.
Vort
i2pd в netdb постоянно пишет, подозреваю, что SSD это может не понравиться
Vort
хотя файлы там мелкие, так что не знаю
Vort
вот за логи лучше на самые "шумящие" уровни не переводить. но это, вроде, и так понятно
`
А, всё, ладно. Постоянно забываю, что для i2pd оставлю "прежний" пэка, пусть там пыхтит, а я есишо подключусь как-нибудь через.
weko
Tunnel creation success rate: 5%
weko
Total tunnel creation success rate: 30%
weko
Ребяяяяяь
weko
Это как?
Vort
ну посмотри сообщения выше
Vort
новая волна атаки
ncop
Это не новая волна атаки. Это цунами б**ть
`
weko, это в "транке" появилось "тотал"?
Vort
`: если включить специально только
ncop
Вы не смотрите только Tunnel creation success rate. Вы сайт откройте. торрент скачайте. Вы увидите что сети очень очень плохо.
weko
Вижу
weko
Пиздец
weko
ncop: я уже понял это
`
ncop, у меня RetroShare(c)(R)[TM] вместо торрентофф. И да, работает плохо, сегодня.
weko
`: в транке обычный TCSR заменили на алгоритм с скользящим среднем , а прошлый я вернул под названием Total, включается в конфиге
`
Вчера через меня там транзит пёр в 300КБ\с, а сисяс 20КБ/с..
weko
`: ну что, накаркал про схлопывание?
`
weko, в конфиге где-то закомментирован? Или из "скрытых" -_-
weko
`: скрытый)))
ncop
у меня торренты ВООБЩЕ не работают. теперь 2-3 кбайта в секунду. Ещё раз призываю всех максимально собирать логи, чтобы потом было с чем работать при анализе ситуации
weko
stats.i2p не открывается
`
weko, я не каркал, а это-о-о, это, как его, предсказание древних анонимофф.
weko
Про логи согласен
Vort
ncop: есть ли ещё какая-то проблема кроме того, что не набирается туннелей?
Vort
нет туннелей - не идут данные, логично, блин
weko
Но тут прикол в том что не сделано нормальных вещей для анализа
Vort
"Но тут прикол в том что не сделано нормальных вещей для анализа" даже графики (почти) никто не собирает
weko
Routers: 19140
weko
Ребят это пиздец
weko
5 процентов успех это жопа полная
weko
Vort: а нужно делать и это явный толчёк
weko
Толчок*
ncop
Vort: клиентских тоннелей у меня то хватает, набираются, потому что 18% -- это не 0 процентов. Но все эти тоннели очень плохого качества. Большинство иипсайтов вообще не открывается, торренты - 3-5
ncop
кбайт в секунду.
`
У меня ещё минут 10 назад было 13%, а теперь опять 10%.
Vort
что там у вас по транзитному трафику?
Vort
у меня узел же в полузабаненном состоянии, так что я не вижу
ncop
Vort: так что не исключаю что это атака не просто на сеть, а ещё и попытка кого то сдеанонить. Хотя сомнительно, но не исключаю
`
Vort, 250КБ/с на полтыщи.
weko
ncop: у тебя релиз?
weko
Трафик как обычно
weko
Походу в этот раз другой способ
weko
Тред NetDb долбится в 100%
ncop
Vort: Транзит слабый - 100 кбайт сек, а тоннелей много - уперлось в максимум 3000 тоннелей.
Vort
"все эти тоннели очень плохого качества" - вот это странно. когда попадает на i2pd узлы, то должен быть нормальный туннель 10 минут
ncop
weko: релиз
Vort
ну не надо низкий максимум ставить. это уже несколько месяцев как понятно
weko
По крайней мере я только что видел тред NetDb - 100%
Vort
и я писал про ошибки netDB
weko
Хотя обычно этот тред 5%
weko
Короче походу это атака на флудфилы
Vort
не может ли это быть особенность DDoS`а...
ncop
NTCP2 - 500 штук. SSU2 - 1500 штук
weko
Возможно кто то решил засрать кучей RI
Vort
weko: логи включены?
weko
2700/2200
weko
Vort: сейчас включу
weko
Какой уровень включать?
Vort
меня исторические данные интересовали )
weko
info пока что
weko
Надеюсь места на диске хватит
Vort
"Возможно кто то решил засрать кучей RI" вот смотрю я на список IP в очередной раз и не вижу ничего подозрительного
Vort
где эти все тысячи новых узлов?
`
9%
weko
Vort: нет смотри
weko
Засрать не реальными RI
`
Стабильная тенденция отрицательного роста
weko
А пустышками
Vort
weko: ну а я о чём
weko
`: у тебя среднее просто поеазывает
Vort
я не вижу кластеров
weko
В реальности 5-6%
weko
Vort: да тут кластеры не при чём
`
weko, кстати хочу заметить и обратить внимание. Что на моём роутере при моих настройках у меня Routers обычно это 5к. А сейчас 12к.
weko
Видишь не видишь не сутт
weko
Тут главное что какие то узлы отправляют в сеть кучу не существующих RO
weko
RI*
weko
`: ну дак а у меня 19к
ncop
Vort: на stats.i2p . Было - сейчас stats.i2p не открывается. В моей консоли было роутеров 5-6 тысяч, сейчас 8 с половиной
weko
У лося 19 было ещё вчера, интересно сколько у него сегодня
Vort
ncop: может, атакующий в состоянии надурить stats.i2p ?
weko
Я прямо таки вижу упор треда в сотку
weko
На пару секунд
Vort
создавался ли stats с учётом того, что его будут пытаться дурить?
weko
А так 10-30 висит
weko
Когда вчера и раньше было 5
`
Лично у меня нет обращения к stats (если к нему обращение происходит только в рамках "подписки").
weko
У меня даже лиссет stats не находит.
Vort
`: мы о другом
weko
Да, на stats.i2p есть статистика (как ни странно)
weko
И вот мы её хотим глянуть
`
Vort, понимаю что о другом. Думаю, что в состоянии.
ncop
Vort: может быть. но во первых вот сейчас все в чате пишут что у них тоже стало больше чем обычно. Во вторых если атакующий может обдурить stats.i2p, значит скорее всего атакующих знает какими именно
ncop
роутерами владеет zzz, а это новость похуже чем просто засираение сети транзитом
weko
А уже всО
weko
Так ребят
weko
Я понял концепцию атаки
weko
Заспамили именно фейковыми флудфила
weko
Флудфилами
Vort
Routers: 10098 Floodfills: 7085
Vort
многовато, да
weko
Floodfills: 7717
weko
Обычное число - 1700-1900
weko
ncop: тут то я согласен
weko
Бэкдор в джава роутерах это пиздец
weko
Vort: "многовато" ?!?! Это пиздец!!! Ахтунг!!
ncop
получается что не просто несколько тысяч роутеров, а несколько тысяч(если не десятков тысяч) флудфилов!!!!!
Vort
orignal же ругался на плохие флудфилы, вот атакеры почитали, подумали )
`
К слову в GNUnet вроде от такого "спама RI" вроде как защищён. Там, вроде, каждый "роутер" делает какой-то майнинг (грубо выражаясь, деталей не помню), относительно продолжительное время.
`
Подтверждаю "спам флудфилами".
weko
Vort: кстати, если это туркменцы, то они могут вполне читать этот чат
`
Тоже недакватный рост.
weko
Надо делать чистку
Vort
да кто угодно может читать
weko
Как то
weko
Может сделать какой то чат в xmpp?
weko
Хз)
Vort
security through obscurity? не смеши
weko
Не
weko
Просто лучше хоть что-то предпринять
weko
Чем ничего
weko
Вроде чистятся Флудфилы
weko
Но новые прибывают
weko
Был рейт 5
weko
Стал 7
Vort
у меня, кстати, потребление CPU в пределах нормы
`
<weko> Может сделать какой то чат в xmpp?
`
Только RetroShare(c)(R)[TM] !111)00
Vort
иногда прыжки на 5% в течении ~секунды
weko
На самом деле какер не дурак. Нашёл не деделанное место и бьёт по нему
Vort
я сейчас профайлером гляну
Vort
вижу тред, который "прыгает"
weko
Да явно какер пополняет
Vort
ха!
Vort
вот что жрёт CPU (если я не ошибся):
Vort
i2p::data::RouterInfo::IsUnreachable
Vort
i2p::data::NetDb::GetClosestFloodfill
Vort
weko: вот это твои прыжки до 100%
`
7%
`
Всё, посоны, не чокаясь.
`
)00
`
Первый пошёл
`
Потеряли посона
Vort
weko: увидел мои сообщения про CPU ?
`
скорее всего нет
weko
Увидел
weko
Кикать начало
`
weko, что по "TCSR"?
weko
[10:36:30] <Vort> i2p::data::RouterInfo::IsUnreachable
weko
[10:36:30] <Vort> i2p::data::NetDb::GetClosestFloodfill
weko
Подтверждает увиденные данные.
weko
`: 7% скользящеее
Vort
вот как у меня эти прыжки видны
`
weko, тоже 7%
weko
`: вот накаркал ты
weko
Блин
weko
ori
weko
orignal: R4SAS есть кто живой?)
`
weko, я только носитель древних знаний..
Vort
спят небось ещё
weko
Vort: да часовой пояс другой
Vort
да я тоже говорил, что атака была слишком простая
Vort
ну вот теперь чуть посложнее
Vort
и это явно не предел
`
Главная атака на I2P предстоит, если в сеть войдут реальные "халявщики", а не моментные спамы.. Как и завещали древние анонимусы..
`
когда в сеть войдут*
`
Великое схлопывание is coming!
`
)00
weko
`: гадтд!!
Vort
я помню, как предрекали падение рутрекера из-за отмены рейтинга
Vort
а вот нифига и не упало тогда
`
Уже 8.7к флудфилофф на 11к роутерофф
weko
`: благо ты не флудфил
`
И растут флудфилы дальше
`
Blinded message
weko
Тут главное сколько у флудфилов других флудфилов
`
weko, у меня тостер.
`
Пожалел сеть)00
`
9.2к флудфилофф, однако
weko
orignal: R4SAS нужно срочно делать хотя бы минимальный профилировщик и делать релиз
weko
Если шиз не успокоится конечно
Vort
вначале думать. а потом делать )
Vort
не хватало ещё новых дыр навертеть
`
У меня роутеры растут одновременно с флудфилами. То есть 1:1, то есть в роутерах появляются только новые флудфилы
weko
Vort: скажи чего тут думать
weko
Проблема в отсутствии профилирования флудфилов
weko
Вот и всё
Vort
weko: я же сказал - чтобы исправлениями не наделать ещё больше проблем
weko
Vort: ну дак это понятно
weko
Предложи вариант лучше чем этот
Vort
"ну дак это понятно" вот и чудненько
Vort
я не критикую вариант
Vort
просто предлагаю не спешить. ну или хотя бы спешить не сильно
weko
Пока лось спит у нас есть время подумать
ncop
stats.i2p заработал. И судя по всему количество нарастает и не перестаёт. Гарантировано прилетело 14 тысяч новых роутеров - и это только то что точно есть в БД у роутеров zzz. А самих роутеров скорее
ncop
всего гораздо больше. Повторяю - атака ПРОДОЛЖАЕТ НАРАСТАТЬ, ПИКА НЕ ВИДНО
weko
++stats.i2p заработал
weko
Вижу пик
weko
Это пизлец
Vort
"прилетело 14 тысяч новых роутеров" или пустышек. это важно различать
`
10к флудфилофф, дратути
weko
Миллион "роутеров"
weko
Vort: естественно это пустышки
ncop
weko: не вижу пика, где ты видишь?
weko
ncop: самый верхний график
weko
Там миллион пишет
weko
Больше
`
weko, что "характерно", что reg.i2p работает без затыкофф. А вот stats падает. А где stats используется чаще чем reg.i2p? *намёки*
`
жава-прайд наносит очередной удар
`
>_<
`
ладно, это больше наброс
weko
`: джава роутер имеет бэкдор, понимаешь тут и так всё понятно
Vort
zzz: are you aware of new wave of attack?
weko
Vort: я им писал уже
weko
Молчат
Vort
ок
ncop
Самый верхний график - это суперсинтетический график. Что он там показывает вообще непонятно. Особено в случае таких резких колебайний. 1 миллион роутеров? Сомневаюсь. Даже пустышек. Так что
ncop
пик не пройден
weko
Видимо спят тоже
weko
ncop: понятно что не пройден
weko
Но верхний же график не показывает больше чем есть?
Vort
у меня CPU уже до 15% прыгает, кстати
weko
Он показывает в интерполяции на всю сеть, по фиг знает каким алгоритмам
ncop
weko: ты сам ответил на свой же вопрос.
weko
ncop: понятное дело
weko
Но всё равно число запредельное
weko
Лесенка
weko
Кстати спам именно с новой версией
Vort
обновились
weko
Нет могут просто ставить новую
weko
В RI
Vort
в Tor, кстати, тоже атаки были волнами
Vort
и тоже с "передышкой" на несколько дней
ncop
не знаю как, но торренты положены на лопатки. некоторые сайты можно открыть, но торренты вообще умерли. Может быть потому что торренты в первую очередь на джаве, или потому что торренты в
ncop
первую очередь в США и атака идёт на США - не зна. Но факт есть факт, половина сайтов открывается, а торренты умерли совсем.
weko
ncop: атака идёт на всю сеть
Vort
при атаках на Tor было чётко видно, когда атакующий менял тактику
Vort
вначале был трафик, потом коннекты, потом ещё что-то
Vort
вот теперь и в i2p переход от тупого трафика к более избирательному засиранию
Vort
я считаю для i2p важно то, насколько архитектурно сеть защищена от атак
Vort
технически же залатать баги - это хоть и работа, но не самое страшное
weko
Vort: архитектурно такой проблемы не должно быть
weko
Но профилировщица нету
weko
Вот и проблемы
weko
Хотя должен быть
Vort
weko: если профилировщика будет достаточно для защиты, то это будет хорошо
weko
Vort: ну от такой херни уж точно
Vort
а я говорю и о будущей херне
weko
Будущая уже не будет такой критичной
Vort
хе...
weko
Ну максимум если ещё какая недоделка в клиенте (а не в протоколе)
weko
Нет ну может быть что то
weko
Но не настолько пиздец
weko
Тут уже совсем "ахуеть"
weko
Во первых насколько я знаю RI приходит напрямую, не через туннели
weko
А значит можно найти кто это делает
weko
Нужно смотреть с каких айпи много гавна приходит
weko
И банить
ncop
weko: 5-10 тысяч роутеров которые запатчены так, что создают огромное количество тоннелей, но для каждого роутера - немного. может быть даже низкоскоростных. И самостоятельно их не отличишь никак,
ncop
только если сравнивать с нескольких роутеров. Но сеть деградирует сильно. Вот тебе и атака. правда надо будет 3-4 тысячи ip из разных подсетей, но это тоже не большая проблема для 3ёх буквенных
weko
ncop: ну тут я согласен что это фиг найдёшь, когда много айпишек спамит
weko
Но я не думаю что такая ситуация у нас
weko
ncop: хотя есть некоторые идеи как таких ловить, но надо думать
ncop
weko: так что придётся делать тоже самое что сделал zzz - блеклисты. Но по самостоятельной подписке и с возможностью брать у нескольких. Ну вот у тебя например 4-5 роутеров и ты сможешь выловить
ncop
10-30% атакующих i2p. потом если доверяешь ещё кому то - подписываешься и на его блеклист. И так далее. Ну с механизимами защиты тоже можно подумать, например выставлять понятие особо доверенный
ncop
блеклист, доверенный, не очень доверенный. И накладывать ограничения. например от недовереных не брать вообще данные если вдруг блеклист распух. Или блокировать ip только если он пришёл как
ncop
минимум от 3ёх недоверенных или 2ух доверенных или 1го особо доверенного.
weko
ncop: есть идея
weko
Хз насколько хорошая
weko
Но я напишу
weko
смотри, чтобы какерам не спалиться, им нужно строить туннели через самих себя тоже
weko
*думаю, что это даёт*
weko
ncop: твою идею понял
weko
Звучит хорошо
ncop
weko: ничего. Только если не выловить какеров очень тихо и начинать гадить им же. Так чтобы они и не поняли что на самом деле они только через себя трафик гоняют.
weko
ncop: смотри они будут гонять и через себя туннели а значит будут сами разгружать свою нагрузку
weko
А если ещё сделать лимит туннелей с одного роутера как я раньше рассказывал
weko
То будет достаточно низкий порог их возможностей без палева
weko
Floodfills: 1887
weko
Атака кончилась
weko
Что странно
weko
Хотя мю и нормально
ncop
weko: ещё атака - просто забивать тупо трафиком. не количеством тоннелей, а объёмом. но не огромным на 1 тоннель, а ровномерно. И их же не отличишь от обычных пользователей. Тогда спасёт только
ncop
профилирование с тестированием, пропуск через них своего транзитного трафика и давать приоритет для жирных тоннелей тем кто тоже позволяет через себя транзит пропускать. но при этом
ncop
остальных не реджектить, а давать меньше скорость. Но для этого надо внедрять тяжёлый механизм шейпинга, что сделать тяжело и оригнал пока не готов
weko
Просто такой быстрый конец намекает на то, что это может быть какой то (очень странный) баг
relaybot
13weko: ncop: ну про трафик тоже речь былп
relaybot
13weko: Я про это тоже уже писал
relaybot
13weko: Предлагаю разные варианты
relaybot
13weko: У меня и про детектирование атаки сивиллы идея была
weko
Видно тут падение
weko
Предлагал*
weko
Ты прав тут
ncop
weko: "Атака кончилась" - не кончилась, а немного стихла. пока что всё всё равно плохо.
weko
Нет, чётко видно что флудфилы вернулись в норму
weko
Вот и процент вверх пополз
weko
Tunnel creation success rate: 14%
Vort
не от того ли "кончилась", что мы начали о выявлении IP адресов пустышек говорить? :)
Vort
надеюсь, хоть кто-то ведёт нормальные логи RI
Vort
чтобы понять откуда оно пёрло даже после того, как перестало
weko
Vort: ахахахахаха))
weko
Да, точнее начали говорить про вычисление какеров
weko
По тому, откуда идёт гавно
weko
Vort: ++))
weko
Надо логировать всё вот это дерьмище
weko
Кстати довольно таки быстрое упало
weko
Я даже заметить не успел
ncop
мною написано 2 раза просьба о логировании
weko
Вот и от меня
weko
Логировать можно в формате "действие":"айпи адрес":"количество действий"
Vort
ну это специальные узлы нужны
weko
Может сделать форк "i2pd-dev"
weko
Всё таки
weko
Как уже была идея
Vort
если просто тупо включить логи, то это, скорее всего будет малополезно
weko
Процент быстро лезет вверх.
weko
Vort: смотри я написал, нужно по айпи логировать всё
weko
И смотреть потом аномалии за промежуток времени
weko
Конкретный
weko
Когда идёт атака
weko
Привет, какеры, если чат читаете...)
weko
Хм
weko
Тред NetDb всё равно скачет
weko
Хотя не должен вообще
Gate
у меня рейт за ночь упал с 15 до
Gate
8-9
weko
У тебя средний пишет если релиз
weko
Память 242мб
Gate
git clone github.com/PurpleI2P/i2pd и далее make это транк?
weko
cd build
weko
cmake .
weko
make
weko
Транк
Gate
ну попробую транк компильнуть, и на прод поставить
weko
Tunnel creation success rate: 20%
weko
Норм
weko
Вырос до нормальных значений
Vort
можно же и без cmake?
Vort
я просто make`ом собираю
Vort
есть у cmake какие-то особые преимущества сейчас?
ncop
weko: кстати у меня тоже память стало занимать 190 МБ. Было 150 до атаки. память течёт медленно, но вот за полдня резко скакнуло. До 150 добирался за 2 недели, а тут со 150 до 190 за несколько часов
weko
У меня 150 обычно значение, еле еле добиралось до 170
weko
Ну вообще логично что потребление выросло
weko
Vort: не стоит
weko
У меня была какая то проблема
weko
Когда забыл сделать
Vort
я имею в виду сборку вообще без cmake
Vort
без cd build то есть
weko
Vort: ну я об этом
weko
Я один раз забыл и не работало
Vort
почему ты говоришь "забыл"? это разные методы
Vort
можно так, можно эдак
weko
А ты про это
weko
Ну удобнее
weko
Спамит в директорию build
weko
И вывод покрасивше
Vort
понятно
weko
Там же он файлы создаёт
weko
Пусть их в build кладёт
ncop
weko: 150 МБ норма если у тебя X и макс транз тоннелей около 3000. А если на транзит O или P и на количество тоннелей = 2500, то 150 МБ этого много. Значит течёт
weko
У меня транзитных туннелей 7000
ncop
* X и макс транз тоннелей около 10000
weko
)
weko
У меня максимум 65535
Vort
утечки не количеством определяются, а его динамикой
weko
У одного чела было 23к, у мен, было 21к туннелей
weko
Vort: а, я когда писал джавистам, у меня в нике _ было, а там +m
weko
Дрозд живой...
ncop
weko: дрозд тебе говорил не о том что атаки нет, а о том что на тот момент у него всё ещё было повышенное количество флудфилов, то есть он говорил что атака не окончена
weko
Аааа
Vort
у меня, кстати, тоже держалось дольше, чем у weko
weko
Хм
weko
Странно
weko
Интересно
weko
ncop: но тогда почему у меня вернулось в нормальное значение , при чём очень быстро
weko
Хмммм
ncop
weko: так, записываем в блокнот, weko в школе учил немецкий, или вообще плохо учился. Ещё один шаг к деанону =)
weko
Да я беглым взглядом читал просто)
ncop
Vort: у меня тоже держалось дольше на 20 минут, и тоже быстро вернулось.
weko
Не заметил over
weko
Хм, очень странно.....
Vort
вот что у меня сейчас. если вдруг надо. Routers: 5383 Floodfills: 1674
weko
Это странно потому что у меня начал рости процент сразу после возвращения количества в норму
Vort
weko: сколько сейчас рейт?
Vort
у меня Tunnel creation success rate: 25%
ncop
если быть точным - держалось сначала минут 5-7 на уровне 5000 фф, потом ещё минут 10-15 на уровне 2500. А скорость и связность восстановилась только минут через 40-50 после того как weko объявил об
ncop
окончании атаки
ncop
Tunnel creation success rate: 42%
Vort
интересно, что "волна" так по-разному проходит у разных юзеров
weko
27
Vort
видно, что событие одно и то же. но влияет по-разному
ncop
Routers: 7249 Floodfills: 1680
weko
Floodfills: 1766
Vort
похоже, что 1.6к - это нормальное значение. я и раньше его замечал
weko
Vort: ну дак да
weko
Это нормальное значение
weko
Оно очень долго такое было
ncop
Vort: очень долго значение крутилось около 1490 +-2. Чаще минус 2, если ты понимаешь о чем я. Я вполне серьёзно. Такое ощущение что кто-то балансировал количеством роутеров чтобы поддерживать
ncop
определённое значение. Я не шучу. Понятно что значение подобрать тяжело, но очень долго крутилось вокруг этого числа
weko
Странно
Vort
я не настолько понимаю механизмы работы i2p, чтобы делать из этого какие-то выводы
ncop
Может r4sas в релизы каждый раз добавлял патчик if ff_count > 1400 and ff_count < 1590 then ff_count:= 1483 + base(random(0:10))
weko
Ахахахахаха))
whothefuckami
weko: чево сделал?
weko
whothefuckami: ?
weko
А
weko
Ну ты же хотел сделать ограничение портов
weko
Тоесть ты сказал что сделаешь
whothefuckami
Я тебе скидывал патч
whothefuckami
Который уже всё сделал
whothefuckami
Ты вроде запустил
weko
А, я думал ты PR сделаешь
whothefuckami
И сказал что не крашнуло
whothefuckami
У меня нет гитхуб аккаунта
weko
Ладно, сделаю сам...
whothefuckami
Так что да, делай ты
whothefuckami
Тут за вчера много истории прилетело
whothefuckami
Было что-то важное, что надо прочитать?
R4SAS
weko, Vort: чего происходило то?
R4SAS
сейчас ничего не наблюдаю
weko
R4SAS: атака со спамом фейковых FF RI
weko
R4SAS: смотри stats.i2p/cgi-bin/total_routers_day.cgi
weko
7-8к флудфилов быдл
weko
было*
whothefuckami
hmmmm
whothefuckami
А что сеть?
whothefuckami
Выстояла?
whothefuckami
Упала?
weko
5% TCSR))
weko
whothefuckami: смотри лог
whothefuckami
Ясно
weko
Вообще читайте лог, там всё подробно
whothefuckami
И как от такого защищаться....
weko
whothefuckami: сделать профилировщик
weko
Читай лог
weko
Уже всё сказали
R4SAS
у меня нет статистик каких либо
R4SAS
везде где посмотрел фф в районе 1800
weko
Это щас
R4SAS
но графики забаны, да
R4SAS
забавны*
R4SAS
я вижу вижу
weko
Вот и ещё netDb тред в 100% уходил
weko
И в средем был 10-30%
weko
Хотя обычно 5
R4SAS
видно что плацдарм начали набирать вчера в районк 18 часов
weko
Возможно
weko
Похоже на то
weko
Может быть это запустили роутеры которые атакцющие
whothefuckami
Если в системе несколько dns
whothefuckami
Как оно выбирает, какой выбрать?
whothefuckami
(да)
whothefuckami
Может по аналогии сделать?
R4SAS
whothefuckami: че?
R4SAS
а че, в гугле забанили?
whothefuckami
Да :((((
weko
При чём тут i2pd?
R4SAS
а вообще, как видно, ш2зв вообще спокойно пережевал всё что происходило
R4SAS
ни где не отвалилось, ирк и рег даже не телепало
whothefuckami
(да только сеть не работала)
R4SAS
если бы сеть не работала, то всех бы отсюда вывалило
whothefuckami
хз у меня торренты отвалились
R4SAS
на какой стороне?
R4SAS
клиента, роутера, или чего?
R4SAS
или пиры пропали?
whothefuckami
04/02 21:04:05 Stopping all torrents and closing the I2P tunnel.
whothefuckami
04/02 21:04:05 Unable to connect to I2P
whothefuckami
ш2зснарк не очень информативный
R4SAS
это уже в коде снарка смотреть надо
ncop
у меня пропало 50% пиров, а остальные пиры на всех торрентах суммарно выдавали на скачивание 5 - 10 кбайт в секунду, на раздачу 50 - 100 кбайт сек. Хотя специально были добвалены ходовые раздачи.
ncop
некоторые треккеры были недоступны, DHT работал
R4SAS
почему он посчитал что не может подрубиться к ш2зв и отрубился
ncop
Числовые значения - это суммарные показатели на все торренты. Одинаково что в BiglyBT, что в снарке. Так что торренты легли почти полностью. моя гипотеза - потому что почти все торрентёры сидят на
ncop
джаве. Ну и джава роутеры не выдерживают вообще атаки.
zzz
good morning weko Vort
weko
If it is good
zzz
nice "weather" today ))
zzz
you have a sample "fake" RI?
weko
Weather: Hurricane
zzz
not really hurricane season :)
weko
I hope
weko
Eruption
weko
[14:31:20] <zzz> you have a sample "fake" RI?
weko
I have some logs, I can watch there
zzz
all my routers are back to normal
weko
For now it is
weko
But check stats.i2p
zzz
sure, I see
weko
I seen 7-8k floodfills, some person reported about 9k
zzz
we know floodfill 0.9.57... but what else?
zzz
same IP? or fake IP?
weko
But I don't think what we can find something intesting in this RIs...
zzz
take a look. they are all expired from my netdb
weko
Okay, one sec, I will
weko
I suggest simple solution - don't use floodfill at all, before we hadn't test it
weko
*go to look*
zzz
one of my routers, back to normal: stats.i2p/docs/router.knownPeers.png
weko
All the routes of this mountain - floodfills
weko
Oh, i2pd doesn't log full RI
weko
Only hash
weko
Oh
weko
Floodfills: 5313
weko
Again
weko
zzz:
weko
Tunnel creation success rate: 13%
weko
Again
weko
zzz: same scenario
weko
stats.i2p also show same behavior
weko
Many kicks from IRC
weko
zzz: so, I think it is hurricane season
nonl-l-etc-etal2
weko: гугли что такое irc netsplit
weko
We need hotfix
weko
nonl-l-etc-etal2: а, мне не показало
weko
Обычно показывает простг
weko
Да и тут не похоже на то
weko
При нетсплите всех одновременно
weko
[14:46:07] <weko> Oh
weko
[14:46:10] <weko> Floodfills: 5313
weko
[14:46:13] <weko> Again
weko
[14:46:15] <weko> zzz:
weko
[14:46:44] <weko> Tunnel creation success rate: 13%
weko
[14:46:44] <weko> Again
weko
[14:47:08] <weko> zzz: same scenario
weko
[14:47:33] <weko> stats.i2p also show same behavior
nonl-l-etc-etal2
вообще-то да, пинг таймаут ошибки, а не квит
zzz
ok, good, let me look for example RI
weko
zzz: I just copy my NetDb, for future analysis
zzz
NTCP2-only, random IP, cost: 3, XfR
weko
Hm
weko
We need detect source
weko
And make hotfix
weko
Tunnel creation success rate: 7%
zzz
Java routers are doing pretty good
weko
How many floodfils you have Noe?
weko
Now*
weko
Floodfills: 8406 ...
weko
9k
zzz
5242
weko
zzz: also very many
weko
10k
weko
11k
weko
12k
weko
Ohhhhh
weko
13k
weko
14k
weko
R4SAS: пиздец
weko
15k
weko
NetDb тред 100
weko
100%
weko
Походу irc.ilita.i2p отвалилсч
weko
Oh it is increasing again
weko
zzz: have you any suggestions?
zzz
not yet
orignal
че случилось?
orignal
то что тут вылетало этоу меня проблема на впс была
orignal
да вижу засрали флудфилами
fidoid
Floodfillful today...
fidoid
Однако, здравствуйте.
orignal
однако за i2p взялись серьезно
orignal
по флудфилам вопрос номер раз
orignal
какой процент из них ipv4
orignal
если процент высокий тогда вопрос номер 2
orignal
из какого диапазона
orignal
засираение флудфилами не может быть вызвано багом
orignal
это явная атака
fidoid
У меня такой информации нет. Я сварщик ненастоящий, просто количество в rrd пишу.
orignal
так это не только тебе
orignal
анализ ситуации нужен
fidoid
Мои .b32.i2p открывались во время пика. rutracker.i2p тоже открывался. На 4rum минут 30 не мог зайти.
orignal
ну так такое количество флудфилов
fidoid
Транзит на моих роутерах периодически уходил за 200-300Мбит/с.
orignal
на совпадают списки у участников
fidoid
При том, что количество транзитных туннелей было меньше, чем в последнее время в среднем.
odin
Привет а это только у меня резко упал рейт до 1%
odin
причем на трех узлах
fidoid
Да, и рейт упал почти в 0.
odin
еле сюда подключился
orignal
у всех
orignal
у меня тоже 4%
odin
пока непонятно в чем проблема?
odin
выше просто не вижу дискуссию
orignal
понятно
orignal
какие то ослоебы атакуют сеть
fidoid
4 февраля с 19 до 23 по МСК был всплеск роутеров с 10тыс. до 24тыс. Но без роста количества флудфиллов.
orignal
на сей раз кучей флудфилов
odin
опять двадцать пять
orignal
вот с флудфилами надо понять
orignal
нормальные ли они или кривые
weko
orignal: дед говорит рандомные ip
weko
orignal: у меня было 15.8k флудфилов максимум
weko
orignal: кривые конечно
fidoid
У меня 23 с полвиной тысячи почти.
weko
Прямо сейчас или максимум?
weko
Флудфилов
weko
ori
weko
orignal: я предлагаю самое эффектное, это нн использовать FF пока он не проверен на работоспособность
orignal
ipv4 ,
weko
zzz:
weko
ipv4?
orignal
?
orignal
почему думаешь что кривые?
weko
orignal: потому что скачки
weko
Там лесенка на stats
weko
Откуда столько флудфилов вообще
weko
За пару десятком минут десяток тысчч
weko
тысяч*
weko
orignal: понимаешь были бы нормальный, TCSR не упал бы
weko
Нормальные*
weko
orignal: читал лог? Я писал что NetDB тред имеет пики в 100%
weko
И в среднем 10-30%
weko
[16:31:02] <weko> orignal: читал лог? Я писал что NetDB тред имеет пики в 100%
weko
[16:31:14] <weko> И в среднем 10-30%
weko
Когда обычно 5%
orignal
так это все понятно почему
weko
А мне не понятно
orignal
кто то заваливает сеть роутерами
weko
Что там в тредк такого
orignal
вопрос тут вот в чем
weko
Да это понятнт
orignal
откуда они стольтко адрес надыбали
weko
Почему тред столько кушает не ясно
orignal
в том треде как раз обработка ротуеров
weko
Там же нету криптографии?
weko
orignal: это не реальный адреса
orignal
распаковка и проверка подписей
orignal
есть
weko
Это рандом но сгенереные
orignal
Verify
whothefuckami
Может это 1 ip, но тыща роутеров на нём?
weko
orignal: а, окей
weko
Тогда понятно
orignal
что зеачит не реальные?
weko
whothefuckami: нет, айпи разные
whothefuckami
А вы как узнали?
orignal
ты пробовал их телнетом.
weko
orignal: окей если бы были реальные, почему TCSR падает до 5%?
weko
У них флаги XfR
weko
Вот почему падает тогда
whothefuckami
Да как вы узнали, какие у них флаги
whothefuckami
Что они на разных ip
whothefuckami
Где это в веб морде?
weko
whothefuckami: дед выше писал
weko
Читайте логи блин
orignal
да потому что узлы в тоннеле не могут друг друга найти
weko
whothefuckami: нету этого в вебморде
orignal
потому что у всех флудфилы разные
orignal
потому что их слишком нмого
whothefuckami
weko: я был в отлупе
orignal
whothefuckami на веб морде есть есть все в папке netdb
weko
whothefuckami: major.i2p
orignal
сделай поиск по ним у кого в caps есть буква f
weko
orignal: типо миллион флудфилов? Я не верю в это
weko
Зачем атакуещему реально поднимать флудфилы, когда можно их не поднимать с тем же результатов
weko
Результатом*
orignal
потому и надо разобраться
orignal
прежде чем строить гипотезы
orignal
дать ответы на вопросы которые я сформулировал
weko
Ну просто в твоём варианте это должно быть очень много реальных флудфилов
orignal
если у них левые IP то проблема решается быстро
weko
Что не реалистично
weko
orignal: ну дак я её и предлагал
orignal
поэтому нужен ответ на вопрос
weko
orignal: нет, это в любом случае надо сделать
weko
А тут можно сделать, и сразу проверить
orignal
а если настоящие?
orignal
а если эти флудфилы валидыне?
weko
Ну либо пройтись по ним через nc
weko
orignal: ну дак решение заключается в том, что мы не используем RI никак до тех пор, пока мы не проверили что он реальный
weko
Тоесть без проверки не использовать
orignal
ну так ты с флудфилом не соединишься просто если у него адрес не реальный
weko
orignal: ну а я о чём
weko
Если адрес не работает удаляем
weko
Другой вопрос что нужно лимитировать сколько приходит RI с одного айпи
orignal
мы так и делам вообще то
orignal
если никакой адрес не работает мы снчала исключаем потом удаляем
weko
orignal: но вот что, нужно не использовать до тех пор, пока не проверили первый раз
weko
Если один раз ответил значит валидный
orignal
так не получится
weko
Тут буквально минут за 10-20 количество вырастает в до 15 тыщ
weko
orignal: почему
orignal
ты используешь много чаще чем соединяешься непостредственно
orignal
если кратко
orignal
сам подумай
orignal
ты строишь тоннели и как правило через уже существуюшие линки
weko
Ну и что...
weko
Не вижу причин почему нельзя игнорировать пришедший RI до тех пор, пока он не проверен
orignal
ты используешь а сам не соединяешься
orignal
ой все
orignal
голову включи
weko
Ну дак проверить то мы можем
weko
И ничего не будет
weko
Вот мы флудфил, зачем нам при поиске отвечать флудфилами, в которых мы не уверены
weko
Нам наспамили флудфилами - так зачем их отсылать пока мы не уверены что они работают
orignal
если ты наченешь строить тоннели только через те с которыми недавно соединялся то ....
orignal
дальше закончи мысль с позиции анонимности
orignal
ты майор в середине тоннеля
orignal
чтобы узнать кто хохяин толннеля ты посмотришь список тех кто сеодинялся с тобой недавно
orignal
это уже другая тема
orignal
видишь ли
orignal
когда к тебе прилетает флудфил как правило прилетает именно с него
weko
orignal: не недавно! Мы ПРОСТО не используем флудфилы, которые мы не проверили ни разу. Ты сам же сказал, что они проверяются
weko
orignal: в данном случае нет
orignal
что проверяетcя? подпись?
orignal
или что?
weko
orignal: что они вообще отвечают
orignal
что нет?
weko
Один раз ответил - значит можем использовать
orignal
тогда когда тебе нужно к нему обратиться
orignal
никто специально ничего не проверяет
weko
orignal: ну дак а надо бы
orignal
никто не станет специально запрашивать
orignal
вот что действительно нужно сделать это IP адрес проверить
weko
А я о чём?,
weko
Мы проверяем что по этому адресу реально есть роутер
weko
А если нету значит мы удаляем
whothefuckami
Так пусть флудфил 1 раз ответит правильно
orignal
нет не надо
whothefuckami
А потом пусть не отвечает вообще
orignal
ты азебал
whothefuckami
????
whothefuckami
profit
whothefuckami
А если мы проверили, он там есть. А потом бах, и его нет?
weko
whothefuckami: так через туннели?
weko
whothefuckami: если хотя бы раз ответил это значит уже не левый адрес
whothefuckami
не понял
whothefuckami
А, вы про левые
whothefuckami
ясно
whothefuckami
Бывает
weko
[16:54:01] <orignal> ты азебал
weko
Я просто не понимаю. По моему фильтрация левых адресов это достаточно просто. Мы должны считать все RI по умолчанию не провернными и не использовать
weko
[16:56:15] <weko> [16:54:01] <orignal> ты азебал
weko
[16:56:15] <weko> Я просто не понимаю. По моему фильтрация левых адресов это достаточно просто. Мы должны считать все RI по умолчанию не провернными и не использовать
orignal
насчет левых аждресов да
orignal
надо проверять при сеодинении
orignal
если публикет адрес что совпадает IP
weko
Насчёт этого не знаю
weko
Но вообще факт что один адрес может отправить кучу RI и роутер их примет странный
orignal
еще раз медленно и по буквам
orignal
никто не станет сам опращивать роутеры
orignal
сам
orignal
только если нужно соединиться
orignal
проверку IP да седать надо
orignal
я добавлю
orignal
если ее еще там нету
orignal
если пришло соединение с IP и роутер оттуда публикует то долке быть такой же
weko
orignal: не использовать я имею ввиду:
weko
Для не флудфилов - не не отдавать другим роутерам
weko
Для флудфилов - не отдавать при поиске RI, лиссетов и самим не искать на них роутеры и лиссеты.
weko
И вообще то верно, если роут��р отдаёт свой RI, тогда можно считать его доверенным сразу
orignal
ты так всю сеть поломаешь просто
weko
Ну и конечно ограничить получаемые RI с одного адреса
orignal
если не будешь отдавать флудфилы с которыми сам не пылася соединиться
orignal
потому что как правило ты отдаешь те с которыми не пытеашься соединитья
weko
orignal: но мы то будем пытаться, если нам пришёл новый RI, то мы его не отдаём пока не уверены что он валидный
weko
Достаточно одного ответа
weko
Мы же ко всем в среднем флудфилам из базы обращаемся
orignal
ты надо мной изведваешься что ли?
orignal
нет к большинству мы не обращаемся
orignal
смысла нет
weko
Для них есть что-ли "чёрный список"?
weko
Иначе не понятно почему. Есть же поиск новых роутеров
weko
При нём мы образуемся к случайному флудфилу
orignal
ну так это капля в море
weko
orignal: хм. Ладно
weko
Тогда понятней
orignal
пока ты такими опросами случано попадешь на свежедобавлнный флудфил у тебя несколько сотент раз запросят
orignal
а ты предлашаешь не отдавать как будто его у тебя нет
weko
Ладно тут я понял
weko
Согласен
weko
Я просто кое что другое понял
weko
Хотя тут надо думать
weko
Тогда нужно лимитировать количество RI с одного айпи
orignal
это да надо
orignal
проверку IP добавлю
weko
[16:56:43] <orignal> насчет левых аждресов да
weko
[16:56:57] <orignal> надо проверять при сеодинении
weko
[16:57:03] <orignal> если публикет адрес что совпадает IP
weko
Так роутеры же могут сообщать не свой RI. И тогда проверка не будет выполняться
orignal
не могут
orignal
при установки соединения проверяется
weko
А как тогда мы узнаём о новых роутерах?
orignal
в роутере который они присылают должен быть ключ s
orignal
я тебе про установку сеоддинения говорю
weko
А окей тогда
orignal
когда кто то подключается он обязан прислать свой RI
weko
Хорошо
orignal
и в нем обязательно должен быть адрес с ключом s
orignal
это мы проверяем
orignal
так вот если вэтом адресе есть IP
orignal
то надо проверять его совпадение
weko
Хм, а если обсос пидорас и айпи поменял ?
weko
А понял
weko
Тогда через ssu2 будет он приходить
orignal
тогда соединение разорвется
orignal
если именно в этот момент
weko
Routers: 3783 Floodfills: 3358
weko
FW
odin
зайти в вебморду в Transports и чекнуть доступность портов у ip? Типа того?
weko
Не думаю
odin
интересно было проверить эти IPs на whois может к одному хостеру принадлежать
odin
наверняка закономерность есть
fidoid
По графику был пик в 23 тысячи флудфиллов с лишним, сегодня в 15:40 по Москве.Обычно было в районе 2 тысяч.
orignal
у меня прям счас 7
weko
У меня 5
fidoid
Сейчас на одном роутере 13, на другом - 10 тысяч.
fidoid
Третий пока отвалился, он через туннель мониторится. :-)
fidoid
На третьем - 13325.
fidoid
В разных странах.
fidoid
Что любопытно, ssh по b32.i2p доступен, а туннель мониторинга отвалился.
orignal
Floodfills: 12328
orignal
пиздец
weko
orignal: а когда я сказал про 15к ты не поверил?)
Vort
по поводу того, что жрёт поток netDb, я скидывал функцию
Vort
логи чата раза с сотого скачались )
Vort
curl --socks5-hostname 127.0.0.1:4447 major.i2p/ilita/dev/2023/02/05 -o major.html -v --connect-timeout 20 --retry 10000 --retry-delay 5 --retry-all-errors
Vort
так что - никто так и не проверил - реальные флудфилы или нет? адекватно ли эти сервера отвечают на запросы?
orignal
ответ такой
orignal
что соединения с ними есть на на запросы не отвечают
Vort
понятно
Vort
странно что я не видел кластеров IP
orignal
то есть это реально атака
Vort
неужели у атакующего так много разнообразых IP, что их кучкования не заметно?
orignal
кто то модифицировал так чтобы публиковался как флудфил а его фуннкции не выполнял
orignal
этот вопрос я тоже задаю
weko
orignal: ты же не думал что это могут быть реальные флудфилы?
orignal
если действительно много реальных и разных ipv4
orignal
значит это не мамкин ддосер с кислицы
orignal
а кто то серьезный
orignal
weko почему не думал?
Vort
ну то есть это выходит полу-реальные
Vort
аа. я же на SSU2-only сижу. если они NTCP2-only, то поэтому я их не вижу
weko
orignal: соединение именно ntcp2/ssu2?
orignal
Vort все хуже
orignal
если бы у низ были левые IP их бы дропали
weko
orignal: подожди, тоесть на этих айпи запущены роутеры хочешь сказать??
Vort
weko: хакнутые роутеры
orignal
не знаю
orignal
пока не понятно
orignal
weko видимо да
orignal
но на запосы не отвечают
Vort
такс. у меня на SSU2-only они должны оседать в netDb или нет? надо на IP адреса посмотреть
weko
orignal: я такого даже представить не мог
weko
orignal: с ними ntcp2 коннект идёт?
orignal
если все так и есть значит за нас взялись серьеные люди
weko
orignal: да
orignal
дед счас смотрит
orignal
ждем
Vort
мне интересно, есть ли пересечение с IP атакующих Tor
weko
orignal: смотри если с ними нету ntcp2 соединения, значит это врядли роутеры
weko
Vort: для этого нужно посмотреть откуда приходит
Vort
зачем?
orignal
у тора не бывает входящих
Vort
"у тора не бывает входящих" O_o
orignal
так дед гвоорит что есть
orignal
Vort тут понимаешь какое дело
orignal
если ты флудфил то обязан публиковать свой IP
orignal
к которому приходят входящие соединения
weko
orignal: ntcp2? Ёбаный пиздец тогда
Vort
вот мне и интересно распределение этих IP
Vort
а про Tor тут какое-то недопонимание. я же атакующих не просто так банил. а именно из-за засирания входящими коннектами
weko
Тут такое дело что мы не может отличить реальный флудфил от вот такого говна
weko
И если это реальные адреса с роутерами, то это полный пиздец
Vort
да хоть вручную протыкать порты им
odin
Routers: 28332 Floodfills: 16382 ))
orignal
loodfills: 9795
weko
5к
orignal
SSU2-only
orignal
не флудфил
odin
дуал стек
weko
Но было в пике 15.
odin
и растет с приличной скоростью
Vort
"<weko> Тут такое дело что мы не может отличить реальный флудфил от вот такого говна" лол
Vort
я проверил то, что говорил zzz
Vort
4712 / NTCP2:3
Vort
из 8к
Vort
вот если не все, то почти все
Vort
теперь надо выковыривать IP и анализировать
Vort
потрошилка RI у меня, правда, примитивная
Vort
надо доделывать
Vort
но никуда они уже не убегут
orignal
Vort ну так пройдись скриптом по netdb
orignal
у кого в caps есть f там доставай IP
Vort
"ну так пройдись скриптом" его надо написать вначале, не?
orignal
так есть он на питоне для ресидов
orignal
ацетоновский
orignal
где он ygg авдреса достает
Vort
в общем, пока что попробую сам сделать. если не будет получаться, тогда буду пробовать питон заводить
weko
Дед говорил что джава роутер имеет вывод RI, удобный для "потрошилки"
odin
чего конкретно искать в netDB? там куча папок вида rF, rf и тп
Vort
я уже выпотрошил IPшки
weko
orignal: у меня в логах кучу коннекшн ерроров
weko
За секунду десяток наверно
Vort
и мне кажется, что они нереальны
Vort
но надо проверять
Vort
конечно же
orignal
да они всегда бывают
odin
Routers: 32666 Floodfills: 20140
Vort
как вам такое? 0.176.100.180
Vort
это реальный IP что ли?
weko
Нихуя нет
weko
Vort: посмотри ещё 127.0.0.0/8
orignal
а мы такие не выпиливаем?
weko
Или 192.168.0.0/16
Vort
127.11.253.126
orignal
static const std::vector< std::pair<uint32_t, uint32_t> > reservedIPv4Ranges {
orignal
address_pair_v4("0.0.0.0", "0.255.255.255"),
weko
Ну вот подтверждение что они не реальны
Vort
0.240.43.157
Vort
0.98.68.8
orignal
Vort ты их видишь в netdb?
weko
Vort: а 10.0.0.0/8 есть?
Vort
всего три штуки 0.*
Vort
ну на моём наборе
Vort
короч ща расшарю
orignal
а другие адреса у этого роутера есть?
orignal
смотри
orignal
мы когда читаем то проверяем
orignal
мы просто такие адреса исключаем
orignal
и если других нет по уму должны дропать
Vort
вот RI с локалхостом paste.i2pd.xyz/?f3d2f38214aba1ab#GeW5q5AkpJjBnGdsqqJcEJFCTV5n3j75EGmi8aWtPD37
weko
orignal: да, но если такие есть в netDb, значит их опубликовал кто то. Не знаю, гавно мамонта могло такое опубликовать?
weko
Vort: есть 192.168.0/16 и 10.0/8 ?
orignal
Vort так ага значит бага у меня
orignal
weko публиковать могут что угодно
orignal
но такие роутеры должны выкидываться
Vort
weko: нету. потому, что шанс рандомно на такое попасть 1/65536
Vort
а у меня всего 8к роутеров в базе, и только 4к фейковые фф
weko
orignal: если такое есть значит это не реальные роутеры публикуют
Vort
короч кто может, сделайте гистограмку по IP
weko
Либо гавно мамонта, про которое я спросил
Vort
скорее всего там белый шум будет
Vort
я пока что не могу, может, позже займусь
Vort
списк я выложил
orignal
блять
orignal
я этого не делаю
orignal
видать забыл
orignal
да не надо
orignal
одну проблему уже видим
weko
orignal: в ssu2 гораздо меньше ошибок коннект с
weko
Коннекта
orignal
ну я же вижу проблему
orignal
так ясен пень это дурные роутеры
weko
Важно роутеры ли вообще
weko
Если на этих адресах нету роутеров
weko
То это не проблема
weko
А если на них есть роутеры, то ситуация дерьмо
orignal
такие надо дропать
weko
Ну конечно
Vort
ну какой роутер на локалхосте блин?
Vort
я сейчас гистограмму сделаю
weko
Vort: кстати, почему то нету 10.0/8
Vort
я же сказал
Vort
шанс маленький
weko
Ну остальных много
odin
резко упало количество флудфилов и роутеров Routers: 19344 Floodfills: 7581
weko
+, тоже начало падать
odin
походу прекратили бомбить?
weko
3800
weko
Эм
weko
Что эта за хрень
Vort
очень на белый шум похоже
Vort
так что _пока что_ это, скорее всего, пустышки
orignal
закоммитил
Vort
просто по факту того, что нереально найти хостинг с адресами, равномерно размазанными по диапазонам
Vort
сейчас гляну
weko
Vort: почему ничего нету с 225 до 250? Хм
Vort
weko: а вот это хз
weko
orignal: иду собирать
Vort
"<~orignal> закоммитил" это же только от локахоста и ему подобных спасёт, да?
orignal
Vort от всех левых которые в том списке
Vort
в общем, как я понимаю, главный вопрос - почему узлы принимают эти RI-пустышки
orignal
ну потому что я так это провеку не добавил
Vort
ну там все левые... только одни левее других )
Vort
понятно
Vort
то есть, нужен ещё 1 фикс
Vort
как минимум
orignal
и в транспорты надо добавить
orignal
ну да
orignal
естественно
Vort
а в java как?
orignal
просто малость занят
Vort
почему они тоже видят пустышки?
weko
А ты спроси есть у ли у них проверка
Vort
у них же есть эта проверка, да? :))
Vort
это мне напоминает приколы (из нулевых?) когда можно было отправлять емейлы от левых адресов. почтовым серверам было пофигу )
Vort
Transit: 2.97 KiB/s
Vort
а вот это уже совсем мало
weko
Vort: может ключи пересоздать(
weko
?
whothefuckami
Запустился с последним коммитом. Вроде живой
orignal
а я еще его не пробовал ))
whothefuckami
ну значит я бета тестер
whothefuckami
netdb как будто чистится(видно в морде). Всё как нужно да?
whothefuckami
А нет, опять растёт
weko
Это коммит только reversed адреса чистит
weko
Их не так уж и много
orignal
естественно
orignal
так в любом случае их нельзя держать
weko
Ну понятнл
whothefuckami
Routers: 16141 Floodfills: 3387 LeaseSets: 82
whothefuckami
me happy
weko
3 тыщи уже не 15))
weko
Ооо
weko
У меня упало до 1800
weko
Тоесть пришло в норму
weko
Процент пополз вверх
weko
Уже 15
whothefuckami
Ты коммит ставил?
weko
Нет
whothefuckami
Нет, значит....
weko
Он не должен сильно повлиять
weko
Тут повлияло то, что какер остановил атаку
whothefuckami
У меня есть две версии происходящего:
whothefuckami
1) хакер сжалился над нами
whothefuckami
2) мама сказала идти спать
weko
))))
weko
Мама сказала выключать компуктер
orignal
ну это не решение проблемы
weko
orignal: так решения и нету
orignal
это чинить надо
orignal
есть
orignal
фильтрация в момент соединения
weko
Если была вторая волна, нет оснований полагать что не будет третьей
weko
orignal: я имел ввиду, что не сделано
orignal
к вечеру сделаю
orignal
счас занят
whothefuckami
3) хакер побуждает разработчиков сети улучшать своё по
orignal
чуваки
orignal
армянку знаете?
whothefuckami
каво?
orignal
ее вопрос "Ну как там с атакой на сеть?"
orignal
локализацию i2pd на армянский она делала
orignal
отбой
orignal
"Нечего рассказывать нам егф сказал"
odin
спалилсь?)
orignal
а егф это тубик
orignal
ну я думал армянка что то знает
orignal
оказывается знает от тубика
whothefuckami
может это всё big brain move
orignal
мысль интересное
orignal
что у кого то шиза обострилась
weko
Плаз например))
weko
Обиделся что мы его раскрываем
weko
И пошёл сеть ломать
whothefuckami
Или это фсб тестирует кибероружие
orignal
запросто
orignal
он вполне может
whothefuckami
Меня смущает то, что кто-то в сети потенциально владеет 8к роутерами
whothefuckami
Это деанон по сути
weko
whothefuckami: поэтому я и говорю, что если это правда, то это пиздец
odin
фсб может тестировать только паяльники
weko
Это ФБР тогда уж))
weko
Или прочие три буквы )
orignal
whothefuckami ты их все на одной машине можешь поднять
orignal
какие проблемы то?
weko
В том что разные адреса нужны
weko
orignal: дед говорит он не проверяет
orignal
вон борька пишет что его рук дело
orignal
зачем? он же просто публикет левые
weko
А это то да
weko
Да тут даже не нужны роутеры
weko
Можно с одного публиковать
orignal
в общем да
weko
[20:02:36] <orignal> вон борька пишет что его рук дело
weko
Он ещё говорил что разрабы i2pd дегенераты совковые))))
orignal
ну это само собой))
orignal
weko дед говорит про другое
orignal
*** ушел ***
weko
Про что?
weko
Ладно)
orignal
ты спосил проверяет ли он IP когда RI присходит
orignal
нет конечно
orignal
а вот в при сустановке соединения да
weko
"When you make connection in ssu2/ntcp2"
orignal
ты неприавльно спросил
orignal
надо receive
weko
orignal: переспросил, всё равно не смотрит
weko
Шиза пошла
weko
[21:32:22] e90d7fonotole joined #ru
weko
[21:32:41] <e90d7fonotole> онотоле вас отокуэ!!!
weko
[21:33:39] <e90d7fonotole> а у онотоле много корманоф!
weko
[21:36:05] <e90d7fonotole> придецо делать кашдаму роутыру працент харошева рейтингу)
weko
[21:36:48] <e90d7fonotole> кароши используй, плахой нииспользуй)
weko
[21:38:49] e90d7fonotole quit (Ping timeout: 120 seconds)
Vort
если это просто юзеры дурачаться, то можно представить что будет, когда серьёзные аткакующие придут
orignal
weko чего не смотрит?
orignal
ну счас спрошу
Vort
Floodfills: 2101 опять мусор прёт что ли?
weko
Да
weko
Пошло опять
orignal
борька нашел новые 2 штуки? ))
weko
Походу)))
weko
Отобрал у кого-то))
weko
Собираю
Vort
так что там по поводу определения источника? чтобы увидеть откуда это идёт надо иметь включенный NTCP2 ?
Vort
или NTCP2 RI приходят через SSU2 ?
weko
А мы сейчас по логам найдём
Vort
уверен, что IP логируются?
weko
Если какер спамит через ssu2, то найдём
weko
Vort: ну в лог идёт в новом коммите
Vort
а. хех. я не заметил коммита
Vort
собираю
Vort
тогда я заранне в рестарт
weko
Важно протестировать и понять что мы будем видеть
orignal
нет надо пересобирать
orignal
я только для SSU2 сделал пока
orignal
а надо для NTCP2
weko
Стоит посмотреть сломается ли что-то
weko
В теории логов должно быть мало или вообще не быть
orignal
часа через 2 запилю для NTCP2
orignal
дедушка старый дедушке надо отдохнуть )))
weko
Я пока что проверю
orignal
да я сначала проверил - ничего не сломалось
weko_
Хм
weko_
Вижу пока что одну ошибку
weko_
При чём адреса очень похожи
orignal
ну посмотрим
weko_
Пару бит буквально
weko_
Да, надо посмотреть
weko_
Вторая ошибка
weko_
На этот адреса не похожи
weko_
Этот раз*
orignal
ну вот полезное дело
weko_
"actual enpoint" orignal, очепятка
Vort___
хрен сюда попадешь после рестарта :/
Vort___
через Ygg только смог зайти
weko_
Не повезло значит
weko_
Я быстро зашёл
Vort___
ну а по поводу коммита - ничего интересного
Vort___
мусорные RI продолжают прибывать
weko_
Хотя на некоторые сервера я зайти не могу
weko_
Vort___: понятное дело
weko_
Они NTCP2
Vort___
а в логах ничего интересного. изредка mismatch, но какие-то левые
weko_
16k
Vort___
так какой тогда смысл был добавлять это в лог?
weko_
Vort___: чтобы видеть))
weko_
Лог на то и лог
weko_
3 лог.
weko_
Адреса не похожи
weko_
17k
weko_
3%
Vort___
"чтобы видеть))" что видеть? я думал, что мы ловим источник мусора в сети. а мусор этот через SSU2 не идёт
Vort___
точнее, как-то RI доходят, но, видимо, через другие узлы
Vort___
пока что плохо понимаю этот механизм
weko
Туннели как обычно
weko
20k было FF
weko
Пиздец
weko
Не зайти было
weko
С 25к количество резко упало до 8к, это нормальное поведение?
Vort___
я так и не смог через i2p зайти. точнее, удалось через прокси получить лизсет, а вот через портмап - нифига
Vort___
такое ощущение, что мешает не только атака, но ещё и какие-то баги
Vort___
целый час не получать лизсет - это как вообще?
weko
Vort___: это именно атака
weko
А не баги
weko
Vort___: это спам флудфилами
weko
Рестартну
Vort___
так есть же рабочие флудфилы. вот у меня в сумме 9k. из них 1.6к - реальные. почему через них не работает?
Vort___
"Рестартну" ок
weko_
Vort: ооо
weko_
))
weko_
Смохххх
Vort
начало падать количество флудфилов и только тогда удалось портмапу получить лизсет...