~AreEnn
~R4SAS
~orignal
~villain
&N00B
+Xeha
+relaybot
DUHOVKIN
Guest8889
HackerMan
Most2
Nausicaa
Ruskoye_911
Vort
`
acetone_
anon3
b3t4f4c3
fidoid_
nemiga
not_bob_afk
plap
poriori
profetikla
soos
teeth
tensor
un
weko_
whothefuckami
orignal
вот и я
acetone
Утро. Сервер работает, но баунсер почему-то ночью отказался переподключаться автоматически)
orignal
ты пересобрался?
orignal
с полсденим коммитом
acetone
orignal: сейчас гляну когда этот коммит был)
orignal
3 часа назад примерно
orignal
нашел я причину падений
acetone
orignal: здорово, сейчас сделаю
acetone
Рестартую
acetone
Ирк на последнем коммите с патчем
orignal
отлично
orignal
Vort я вроде починил создание нового роутера
orignal
4 адреса содаются корректно
weko
Так
weko
Сейчас соберу
weko
Полностью согласен, нужно делать 2.42.2
weko
Потому что уязвимость серьёзная
weko
Желательно сначала проверить конечно
weko
Я возможно сейчас глупость скажу, но возможно ли определять зависшие потоки , и в случае зависания перезапускать их и делать соответствующий лог
acetone
На роутере с флагом Р транзит упёрся в лимит
ncop
На 10-15 минут перестали открываться все сайты через HTTP прокси хотя вроде клиентские тоннели были. Отлуп мгновенно, такое насколько я понимаю когда вообще нет лизсета. Торренты через i2cp
ncop
продолжали работать. Такого раньше не было. В логе на тот период времени массовые Transports: Session to peer .....= has not been created in 15 seconds и Destination: Remote LeaseSet ......= expired
fidoid
Здравствуйте.
tetrimer
fidoid: С добрым!
fidoid
Я вчера, когда вся чехарда началась, отключил на роутерах ntcp2, оставив только ssu2, и они благополучно дожили до утра. Это нормальный воркэраунд?
fidoid
Или возможны нюансы?
R4SAS
fidoid: нормальный
R4SAS
дополнительно на эту тему orignal залил коммит с временным фиксом
tetrimer
R4SAS: Я сейчас собрал под фрей с "временным фиксом": будем смотреть...
Vort
weko: определять зависание можно. watchdog timer называется вроде. логировать тоже можно. вот перезапускать я бы не советовал. так как негативные последствия от зависания не обязательно локализованы лишь в одном потоке
Vort
orignal: потестировал, ipv4+ipv6 без router.info уже не выдают ошибок на старте
fidoid
Любопытный график транзита сейчас.
fidoid
Три узла в разных концах света.
weko
[11:02:28] <fidoid> Я вчера, когда вся чехарда началась, отключил на роутерах ntcp2, оставив только ssu2, и они благополучно дожили до утра. Это нормальный воркэраунд?
weko
Лось как раз сказал, что когда один транспорт, работает нормально.
weko
[11:55:32] <Vort> weko: определять зависание можно. watchdog timer называется вроде. логировать тоже можно. вот перезапускать я бы не советовал. так как негативные последствия от зависания не обязательно локализованы лишь в одном потоке
weko
Тогда можно записать как ещё одна из задач
Vort
fidoid: тоже видел похожее, правда, у меня не такие точные данные
Vort
кто что думает насчёт поднятия стандартного лимита transittunnels? допустим, с 5000/10000 до 10000/20000
acetone
Vort: сейчас вроде как по умолчанию 2500. Это, конечно, явно маловато
Vort
acetone: сейчас 5000/10000 (обычный узел/флудфил)
Vort
но у меня сейчас на флудфиле постоянно выше 10к. где-то 5к-20к болтается
acetone
Vort: упустил это изменение, значит:)
acetone
На последнем коммите (+патч) многие лизсеты (с аналогичных обновленных машин) не находятся. Видимо, наводнение флудфилов сказывается.
acetone
(все же находятся, но с N+1 попыток)
Vort
у меня и до атаки не всегда .i2p сайты открывались с первого раза
weko
Это как раз причина, почему я хочу сделать симуляцию
нормульник67
докер был для этого от злодея
нормульник67
villain'а
нормульник67
lns на гитхабе был
нормульник67
поищи в организации
нормульник67
у него там докер для i2pd был. и он делал симуляцию на докере
нормульник67
вроде
weko
Симуляцию не именно сети
weko
А поиска лиссетов/RI при разных параметрах
orignal
ну поиск лизсета это другая проблема
orignal
fidoid на самом деле все дело в NTCP2
orignal
через него атака шла
nonl-l-etc-etal
чувак делает какой-то socks прокси с udp,демка работы youtube.com/watch?v=ZSHqf79gl-8 . с ygg чтото связанное, хз не копал
nonl-l-etc-etal
слышал я звон да не знаю где он.
nonl-l-etc-etal
на русском видео.
orignal
ну так унас же работает SSU2 через него
orignal
вполне успешно
nonl-l-etc-etal
ну я потому и запостил
nonl-l-etc-etal
хз полезно кому или нет.
orignal
R4SAS как думаешь не пора 2.45.2 выпустить?
tetrimer
Uptime: 2 hours, 32 minutes, 30 seconds
tetrimer
Network status: OK
tetrimer
Tunnel creation success rate: 22%
tetrimer
Version: 2.45.1
tetrimer
Routers: 6106 Floodfills: 894 LeaseSets: 53
tetrimer
Client Tunnels: 66 Transit Tunnels: 1251
tetrimer
Это последняя сборка, вроде живет торча наружу...
orignal
так а по русски если?
tetrimer
Uptime: 4 hours, 35 minutes, 16 seconds
tetrimer
Network status: OK
tetrimer
Tunnel creation success rate: 12%
tetrimer
Version: 2.45.1
tetrimer
Routers: 12654 Floodfills: 1021 LeaseSets: 142
tetrimer
Client Tunnels: 42 Transit Tunnels: 3738
tetrimer
Это на второй машине.
orignal
и оба флудфилы
tetrimer
Сборка под freebsd, со включенными флудфилами
HidUserZ
[15:55] <~orignal> R4SAS как думаешь не пора 2.45.2 выпустить?
HidUserZ
Ошибок уже много исправлено
orignal
и еще много не испралвно
orignal
но этот вчерашний баг он явно критический
orignal
а все это результат того что всем похуй
orignal
по принципу работает и ладно
HidUserZ
Да
orignal
я сделал потом занялся чем то другим потому что куча дел не только по i2p
orignal
потом забыл а никто не глянул больше на код
Vort
специалистов, разбирающихся в многопоточном программировании, не так уж много
Vort
хорошо разбирающихся - ещё меньше
нормульник67
ребя я недавно скачал пайтон и умеюб уже погророаграммировать на многопотоках
нормульник67
!!!
orignal
а куда они подевались?
нормульник67
сейчас я загуглю тока как это делается
orignal
неужили все поумирали?
нормульник67
ВСЁЁЁЁёёё с вас 5000$
orignal
что характерно я еще тогда когда этот код делал намеревался его переделать
нормульник67
я буду покапать 500мбит секунду уже скоро себе что бы в и2п быстрее скорость была
нормульник67
потому-что сайть свой же грузится с 3 попытки
нормульник67
а если запустить его ещё сверху в i2p+ туннели. то вообще не подключается не у кого
нормульник67
длинна inbound и outbound 3 и quality 1. до этого 1 везде ставилось. но увиделсоь в и2п+ что большая пропускная способность
нормульник67
0-ые туннели не работают хуже получается? и 1 хоп минимум нужно?
нормульник67
работают хуже*
Vort
специалисты разбавились свежеобученными говнокодерами
orignal
20 лет назад это все умели
Vort
почему так произошло - отдельный вопрос
orignal
тут ошибка то детская
orignal
рекурсия с мьютесом
orignal
типичный антипаттерн
orignal
ему там вообще не место
whothefuckami
std::recursive_mutex
whothefuckami
Или как его там
Vort
20 лет назад надо было экономить ресурсы. а теперь херяк-херяк в моде
orignal
это костыль
orignal
так вообще не надо писать
whothefuckami
Я честно скажу
whothefuckami
Я нихуя не понимаю в том коде
whothefuckami
Я тупой
orignal
обработку этого кода надо перенести в тред netdb и все
korol4ik
Склонировал git, установил. Версия 2.45.1 транзит упёрся в потолок (floodfill). ЧЯДНТ?
R4SAS
korol4ik: а чего не так?
R4SAS
orignal: точно готов?
korol4ik
Так не было такого. Или норма это?
R4SAS
что значит "уперся в потолок"?
korol4ik
За 7000 соеденений
R4SAS
бывает
orignal
R4SAS еще нет
orignal
korol4ik у флудфила потолок 10
R4SAS
orignal: я думал ты сначала хочешь доделать некоторые вещи
orignal
R4SAS в любом случае этот последний баг чинить надо
orignal
знаю что надо но сколько это займет?
weko
Ничего нет плохого в выпуски подверсии
weko
Особенно в случае критичного бага
weko
Самое главное убедится что его теперь нету
orignal
конкретно этого нету
weko
Тогда думаю стоит сделать релиз
R4SAS
соображайте. я пока что жду. если начинаем, то займусь в пределах возможности
R4SAS
Blinded message
orignal
это если у тебя время есть
orignal
с зафлуживаем роутеров это не баг
orignal
это более сложная проблема
R4SAS
знаю что не баг, просто так назвал
weko
Наверное так:
weko
Если атаки продолжался, то нужно делать релиз
weko
Если атаки не продолжаться, то релиз нужно делать после того, как будет готово профилирование
orignal
это довольно комлексная вещь
R4SAS
weko: tsya.ru
weko
R4SAS: т9
Vort
для релиза, как по мне, важно не столько чтобы все свежеобнаруженные дыры были залатаны, сколько чтобы не добавилось новых
нормульник67
zzz,
нормульник67
antebeot.i2p/ahah/tank.jpg is eche|off?
Vort
я вот, к примеру, с подозрением посматриваю на папку peerProfiles. в 2.45.1 она точно так же жирела?
R4SAS
она жиреет из-за атаки
orignal
и потому что мы теперь запрашиваем профильт для кажлого флудфила
Vort
ну, то есть, после обновления на свежий релиз она у юзеров быстрее жиреть не станет?
orignal
станет наверное
orignal
надо просто интервал очистки уменьшить
Vort
и я припоминаю, что у каких-то из линуксов есть лимиты на количество файлов именно на уровне ФС
Vort
у меня оно просто тупило, а у кого-то на линуксе вообще может ОС переклинить
weko
да лол там же не 10 тонн файлов)
weko
даже не милион
weko
миллион
orignal
ты путаешь с fat ))
Vort
300 тыщ у меня было когда я почистил
orignal
там вроде было 4K файлов на папку
weko
это вообще не много
weko
300тыщ это мало
Vort
я когда-то читал про лимиты inode
Vort
какие они?
orignal
Vort у своеременных файловых систем типа ext4 и xfs таких лимтов практически нет
orignal
Vort то в ext2 было
Vort
окей, тогда более-менее норм
orignal
32 разяряда вроде
Vort
"ext4 allocates inode tables statically, so the actual limit is set when the filesystem is created"
Vort
$ df -i
orignal
угу лимиты у всех есть
orignal
мы же говоим в практчиеском смысле
orignal
const int PEER_PROFILE_AUTOCLEAN_TIMEOUT = 24 * 3600; // in seconds (1 day)
Vort
и сколько практически у кого команда выдаёт?
orignal
const int PEER_PROFILE_EXPIRATION_TIMEOUT = 72; // in hours (3 days)
orignal
/dev/sda7 14655488
orignal
да ты прав негусто
orignal
но это небольшой раздел
orignal
на большом
orignal
/dev/sdb8 31252480
Vort
на мелких дисках вроде меньше inode
Vort
так что под угрозой роутеры и им подобное
нормульник67
а если как в блокчейне хранить что бы грузилось по 100500 часов?
orignal
а вот на xfs /dev/sdb5 107374144
нормульник67
там в нескольких блоках
нормульник67
seek'ом просто прыгать как-нить по блокам
нормульник67
вместо того что бы файлы открывать
нормульник67
или плохая идея?
нормульник67
что бы i2pd грузился дольше из-за большого файла вот и зачищался сложнее
нормульник67
вот эти пиир профили дольше что бы удалялись
нормульник67
или вообще что бы было ограничение файла на peer profile
нормульник67
там свой выставляли и свой лимит на пиры был. в одном файле или в виде файлов
нормульник67
в конфиг просто опцию поставить LIMIT_PEER_PROFILES=666
нормульник67
что бы кто-нить ставил лимит 1
нормульник67
и спрашивал почему плохо работает всё
orignal
давайте вернемся к нащшим барана
orignal
какой интервал поставить?
orignal
да мысль интересная менять интервал в зваисиомсти от числа
Vort
интервал зависит от того, с какой скоростью может срать атакующий
Vort
этого я не замерял, так что не знаю
Vort
хотя тут ещё вопрос в том, что очистка профиля даёт возможность опять нагадить тем, что недавно было вычищено
Vort
так что у меня идей нету
нормульник67
можно как у atlas.toproject.org
нормульник67
флаги сделать для пиров
нормульник67
опечЯтка
Vort
нельзя )
Vort
точнее, можно, но не так
нормульник67
metrics.torproject.org/rs.html#details/AEC8D545DDEDC0311FA7F9F9A885D674D1F1C2FF вот например
Vort
в Tor флаги раздаются (почти) централизованно
нормульник67
Flags Fast Guard HSDir Running Stable V2Dir Valid
Vort
в I2P центра нету
нормульник67
и исходя из того какие "флаги" у пира, уже судить, стоит его вообще записывать в пирпрофиль или нет. если это встреча разовая была, на 5 секунд, то зачем его сохранять в лишний раз. Когда
нормульник67
существуют более стабильные пиры, с которыми коннекты уже часы идут
нормульник67
но, эти опции, как мне кажется, должны быть опциональные, и не обязательные
orignal
Vort твое мнение если профиль протухает через сутки
orignal
проверка каждые 6 часов
orignal
если профиль пустой то есть все по нулям то удаляем сразу
нормульник67
если у человека имеется лишние 1000000000000000 свободных на файловой системе возможных файлов. и он желает их потратить на пир профили. то почему бы и нет?
orignal
давайте обсудим этот вопрос
Vort
считаю, что для начала так понизить (примерно наугад), а затем собирать данные, делать анализ и уже на основе этого делать очередные коррекции
orignal
другие мнения есть?
R4SAS
orignal: вообще не писать пирпрофиль если он не прожил N часов
R4SAS
и в памяти ему 1кб хватит
orignal
R4SAS смотри в чем дело
orignal
ааааа да мысль верная
orignal
тут идея такая
orignal
дпустим я пытаюсь обратить к узлу
orignal
и не могу с ним соединиться
orignal
естетсвенно я его из netdb выкидываю
нормульник67
а если добавить возможность роутера, который вообще будет работать без NetDB и PeerProfiles? вообще без диска
orignal
но его поведение должно остаться в профайле чтобы в след раз мы уже знали что он сволочь и не обращаолись к нему некоторое время
нормульник67
У других будет брать просто NetDB и PeerProfiles по соседству
R4SAS
ну вот и хранить в памяти это
нормульник67
в оперативную память просто записывать да
R4SAS
что он такая сволочь)))
нормульник67
а если таких сволочей накопится на 1 террабайт
нормульник67
нужно лимит сволочей ещё
нормульник67
что бы если очень монго сволочей то как-то их в gzip упаковывать может
нормульник67
и в центральный банк сволочей отправлять
orignal
R4SAS так у меня нет таблицы в памяти для них
нормульник67
на pidory.sportloto.i2p
orignal
а нет есть
нормульник67
и далее что бы все изучали специальным отделом что это за пиры
orignal
хаген написал оказывается
нормульник67
и там будет график где можно будет следить график сети, график сволочей и ниже будет адрес помочь детям голодающим в уганде
orignal
R4SAS ну так что по временам? меняем на сутки и 6 часов +/- час?
нормульник67
можно просто опцию в конфид добавить
R4SAS
что есть что
нормульник67
что бы в последствии определить как лучше
orignal
R4SAS таблица профилей в памяти
нормульник67
что бы всем коллективом. все протестили и было решено какие опции лучше
R4SAS
я про время
orignal
i2p::fs::HashedStorage m_ProfilesStorage
orignal
протухает через сутки необновления
orignal
проверяем раз в 6 часов
R4SAS
сейчас вроде 3 дня
orignal
да
R4SAS
и обновление сколько?
orignal
считаю что много
orignal
так обновление ну когда есть что про него сказать
orignal
например строили тоннель или соединялись
R4SAS
тогда 6 часов это что?*
orignal
это про проверку
R4SAS
ну в чем она заключается?
R4SAS
вычистка?
orignal
запускаем проверку на протухаение раз в 6 часов
R4SAS
а, ну понял
R4SAS
сейчас она вроде как сутки
orignal
if (((now - st.st_mtime) / 3600) >= PEER_PROFILE_EXPIRATION_TIMEOUT) {
orignal
LogPrint(eLogDebug, "Profiling: Removing expired peer profile: ", path);
orignal
да
R4SAS
ну давай
orignal
ну и если пустой все по нулям то сразу
orignal
меняю
R4SAS
у тебя по нулям не будет
R4SAS
сразу же ведь запишется что "не отвечал"
orignal
а если просто содался потому что проверяли не плохой ли
R4SAS
так у тебя все равно ведь запишется что ответил
orignal
нет
orignal
смотри
Vort
там, вроде, время неответа
orignal
if (!r->IsUnreachable () && r->HasValidAddresses () && !r->GetProfile ()->IsUnreachable () &&
orignal
i2p::util::GetMillisecondsSinceEpoch () + NETDB_EXPIRATION_TIMEOUT_THRESHOLD*1000LL > r->GetTimestamp ())
orignal
вот это !r->GetProfile ()->IsUnreachable ()
orignal
то есть мы создаим профиль
orignal
если не было
orignal
и узнаем что он по нулям
orignal
и да правильно этот код надо потимизировать
orignal
если нет профиля то возращать false
orignal
логично
orignal
нахуя нам профиль?
R4SAS
о том и речь
R4SAS
1к для них в памяти
R4SAS
пока обрабатываем. незачем писать на диск
orignal
я смотрю когда мы вообще пишем
R4SAS
Save где то вызывается
R4SAS
скорее всего в RouterContext
orignal
да посмотрю я
R4SAS
а не, не там
orignal
да там
orignal
if (m_PersistProfiles) it->second->SaveProfile ();
R4SAS
это netdb
orignal
угу
R4SAS
ну и еще при остановке
orignal
нет их таблицы в памяти нет
orignal
с диска подгружаются
R4SAS
информация висит пока RI в памяти
Vort
в линуксе, вроде, автоматического кеша файлов нету
Vort
так что такоё дергание может сильные тормоза давать
orignal
а теперь смотри
orignal
мы не смогли достучаться до роутера
orignal
занчит мы должны записать на диск
orignal
и какие будут предложения?
R4SAS
а в памяти map сделать нельзя?
R4SAS
map<PeerHash, PeerProfile>
orignal
можно
orignal
unorderd_map на самом деле
orignal
и дергать диск только если там нету
R4SAS
ну и писать туда пустые
R4SAS
а не на диск
orignal
что я и собираюсь
orignal
тогда я пишу
orignal
просто предпреждаю чтобы мы не делали одно и то же
orignal
ну и время до кучи
weko
orignal: насчёт хранения в памяти согласен. Вообще лучше как: хранить всегда в памяти (оптимально), и раз в N времени писать на диск, например раз в 10 минут
weko
И при выключении
orignal
ну так я это и делаю
weko
Окей
нормульник67
не у всех оперативка есть лишняя
weko
Просто я написал как я понял, чтобы удостоверится
Vort
можно не только раз в N минут, но и по превышении размера контейнера
нормульник67
должно памяти на роутере хватать на большую нагрузку без отговорок по типу "раньше люди охотились на мамонтов"
нормульник67
а сейчас вот уже 32 гб минимум надо
нормульник67
выдумывают там что то
нормульник67
что им мало уже 8гб оперативной памяти
weko
Тут надо думать как сделать профилирование хорошо
weko
И хранение и сам механизм
нормульник67
вместо того что бы оптимизировать они программы что 1тб требуют уже делают на полном серьезе
нормульник67
а CS6 фотошоп жесть как лагает. когда CS 2003 почти всё тоже самое умеет
нормульник67
и требует меньше 1тб может
нормульник67
1гб*
weko
Чтобы сделать оптимальным храненимые данные и чтобы плохие пиры отсеивались
нормульник67
а cs6 фризит сразу от одного выделения. одной картинки
weko
Во-первых я думаю нужно не создавать профиль вообще пока не проверили пир
нормульник67
тут должна быть золотая середина. когда уже правда нужно 16гб оперативной памяти. а когда лучше оптимизацией заняться. но это уже не входит в проект и2пд
Vort
в фотошопе там дисковый кеш надо нормально настраивать
weko
Во-вторых если какой то пир нам шлёт много плохих пиров, ставить ему - (чтобы наш пир не перегружался плохими пирами)
нормульник67
а если кто намеренно создаст - хорошим пирам
weko
Золотая середина это верно. Но она должна быть между точность и объёмом хранимых данных
weko
точностью*
Vort
нормульник67: покопайся в редактирование->установки->производительность в CS6
нормульник67
а мне на CS 2003 уже норм
нормульник67
мои задачи выполняет
weko
Я напишу мои размышления по поводу профилирования.
weko
Первое, должен быть баллы у каждого пира по нескольким критериям
weko
Каждый при первой записи каждый балл равен 0
weko
Если какой то критерий становится отрицательным, мы исключаем этот роутер из соответствующей функциональности (в случае транспортов полностью)
weko
Чем большая скорость и мощность (или что там в новом пропосале) заявлена, тем строже мы оцениваем пир. Флудфил оценивает строже
weko
Чем больше уже балл, тем сложнее набирать новые баллы (максимум 100).
weko
Тоже самое в отрицательную сторону (?)
weko
1) доступность (по транспортам, каждый транспорт отдельно)
Leopold
О господи
weko
2) построение туннелей
Leopold
Полотнище!
weko
3) если флудфил - хранение лиссетов
weko
4) если флудфил - хранение RI
weko
5) качество туннелей - соответствие заяленному лимиту (об этом я уже говорил, конечно я имею ввиду если это будет сделано) (для отсеивания очень медленных и лагучих туннелей)
weko
))
weko
Пишите , что я пропустил
weko
Ах да, насчёт удаления надо думать
weko
По хорошему один и тот же пир не следует использовать долго, соответственно можем спокойно удалять
нормульник67
нужно ещё график с кнопкой помочь голодающим детям в уганде
нормульник67
и с банком ублюдком
нормульник67
ублюдков всяких что сеть атакуют которых отправлять по gzip
weko
Ублюдки будут автоматически уходить в - по баллам, и соответственно удалятся
weko
Хотя по хорошему надо хранить адреса таких, и делать соответствующие действия, возможно меньше доверять пирам с таких адресов
weko
Жду вашу критику
Leopold
А как в java роутере ?)
weko
Без понятия
weko
Я думаю нужно сделать одинаково
weko
И закрыть этот вопрос
tetrimer
weko: >по хорошему надо хранить адреса таких
tetrimer
А если "злодей" вышел через динамический адрес сотового провайдера, или vps-ку? Хранить - так же сутки-трое, чтобы тормознуть атаку.
tetrimer
По-хорошему, флудфильность надо включать по аптайму и наличию N лизсетов...
tetrimer
Как проверить аптайм чужого сервера - тоже, в общем, не сложно, имея базу обратившихся... Первый раз - мы флудфил заносим в базу, но не считаем его доверенным.
tetrimer
От софтины, которая просто шлет пакеты в сеть - можно попробовать использовать обратную проверку коннекта (как в почтовых серверах) и до этого - опять же не считать роутер валидным (и не писать его на диск).
weko
[19:42:07] <tetrimer> А если "злодей" вышел через динамический адрес сотового провайдера, или vps-ку? Хранить - так же сутки-трое, чтобы тормознуть атаку.
weko
Логично, всё нужно чистить, это в том числе. Осталось определить условия и сроки для разных ситуаций
tetrimer
weko: Много - снижать сроки, мало -увеличивать.
tetrimer
Это про время жизни записей в netDB. Хотя проблему "отравления кэша" - это не решает.
weko
[19:44:45] <tetrimer> По-хорошему, флудфильность надо включать по аптайму и наличию N лизсетов...
weko
Да, про это я говорил, когда сказал что для флудфилов строже
weko
N лизсетов - не очень показывает добросовестность роутера, эта цифра часто меняется, да ещё и сообщать её не стоит (не знаю модели атаки, но думаю она есть)
weko
[19:46:04] <tetrimer> Как проверить аптайм чужого сервера - тоже, в общем, не сложно, имея базу обратившихся... Первый раз - мы флудфил заносим в базу, но не считаем его доверенным.
weko
Это верно всё тоже
weko
[19:54:50] <tetrimer> От софтины, которая просто шлет пакеты в сеть - можно попробовать использовать обратную проверку коннекта (как в почтовых серверах) и до этого - опять же не считать роутер валидным (и не писать его на диск).
weko
Там проблема другая, и решается по-другому
weko
Проблема что валидные FF тоже распроняют этот спам
tetrimer
weko: >эта цифра часто меняется, да ещё и сообщать её не стоит
tetrimer
Это надо делать внутри самого i2pd, чтобы он не включал флудфильность, пока не наберет лизсетов. Не наружу...
weko
А если каждый будет проверять перед распространением, тогда будет нормально
weko
tetrimer: как можно набрать лиссеты, если ты не флудфил?
tetrimer
>Проблема что валидные FF тоже распроняют этот спам
tetrimer
Если бы в валидных была верификация - то для создания спама потребовалось бы больше ресурсов атакующего.
weko
Вот я написал тоже самое сообщением ниже
weko
Согласен если кратко)
weko
Вообще нормально если ты флудфил и только набираешь лиссеты
weko
После рестарта например
weko
Ты же отдаёшь информацию о других ближайших FF
tetrimer
weko: >После рестарта например
tetrimer
Вот об этом я и говорю: не прямо с растарта раздавать, а некоторое время - только собирать...
Vort
проше прощения, если вопрос глупый, но проверять лизсеты - это как? их разве нельзя нагенерить локально хоть миллион?
tetrimer
Проверять не лизсеты, а роутеры попыткой обратного коннекта.
weko
[20:06:22] <tetrimer> Вот об этом я и говорю: не прямо с растарта раздавать, а некоторое время - только собирать...
weko
Это так не работает, и не нужно.
weko
Во первых RI обновляется не мгновенно, а во вторых не является проблемой этот момент
weko
Vort: к какому сообщению вопрос?
tetrimer
Хотя "нагенерить миллион" - это их надо где-то хранить. Было бы просто - давно бы сеть положили, завернув ее всю в один роутер.
weko
Проверять можно по-разному, зависит от контекста
Vort
weko: ну, допустим, вот к этому "N лизсетов - не очень показывает добросовестность роутера". число же любое можно придумать?
orignal
новые атаки были?
Vort
"новые атаки были?" я ничего подозрительного не вижу
Vort
или речь о новых волнах старых методов?
orignal
рост транзитов, трафику и прочее
Leopold
Когда была последняя атака?
orignal
ну да о новых волнах старых
orignal
часов 20 назад
Leopold
сегодня вроде тихо
orignal
Leopold ты обновился до транка?
Vort
что там с флудфилами по понятным причинам не знаю. а остальное выглядит стабильно
orignal
видать увидели мой коммит
Leopold
Blinded message
Vort
orignal: скрин с синусоидами транзитов видел?
orignal
ну у него та же проблема
orignal
нет
Vort
не моё
Vort
упс, не то
Vort
там обьновилась картинка
Leopold
)))
Vort
то я протупил. вот правильная ссылка
tetrimer
Vort: Синусоида - не страшно: у меня сегодня тоже такие рисует на уровне 1.5 - 2.5 тыс. Хуже, когда монотонно вверх ползет.
Vort
ну синусоида - это явление относительно новое
tetrimer
Vort: Как так? Туннели - протухают, новые создаются по другому пути... По-моему, вполне логично
weko
[20:10:49] <Vort> weko: ну, допустим, вот к этому "N лизсетов - не очень показывает добросовестность роутера". число же любое можно придумать?
weko
Конечно. Я по этому и раскритиковал эту затею. Это не нужно и не возможно)
Vort
"<tetrimer> Vort: Как так?" дело в том, что волны стали периодичные
Vort
раньше они были более хаотичны
Vort
а теперь как по часам
Vort
ну и период там - не 10 минут совсем, а около часа
weko
Да кстати +, плавные волны
weko
Частенько
weko
Странновато это
tetrimer
Vort: Более активная чистка - не может привести к таким колебаниям?
weko
Но не вижу ничего сильно критичного пока что
Vort
ну для объяснения надо найти, что имено в сети происходит раз в час
Vort
при чём, у всех сразу
Vort
мой ответ - атака )
weko
Да не факт ещё, это может быть последствия других методов
tetrimer
Vort: У меня на графиках - за час 4-5 зубчиков.
Vort
tetrimer: флудфил ?
tetrimer
Да
Vort
я тоже зубчики вижу, но поверх синусоиды
Vort
и моя статистика очень неточна
tetrimer
На втором - мыл выставлен маленький лимит (1000), сейчас расширил: две волны за час.
Vort
амплитуда колебаний - около 10к
weko
Я не вижу на данный момент ничего криминального, пока нету роста выше 30 тысяч
Vort
это надо лимит > 20k, чтобы увидеть синусоиду без обрезания
weko
Vort: плюс
Vort
ну вопрос изначально ведь был о новых атаках
weko
Ставьте 65536
weko
65535*
Vort
а не о том, насколько они злые
tetrimer
У меня лимит 10000, а туннелей в районе 2000.
Vort
лимит по скорости есть?
tetrimer
Конечно = O
Vort
ну вот и зубчики
Vort
убрать лимит скорости, поставить лимит количества побольше - и проявится синусоида
weko
+.
weko
Зубчики от лимита
tetrimer
Ага, сейчас поставлю на ночь...
weko
Синусоиду плюсую даже без графика
weko
Скачки как в декабре-январе, только (возможно) дольше и сильно чаще
Most2
06.<trusishka> R4SAS если я сгенерил новый b32 и сделал на него субдомен в три шага (который уже существует), то оно добавится же в reg? если да, то обновятся ли записи и юзеров в <clipped message>
Most2
06.<trusishka> addressbook со временем?
orignal
Transit Tunnels: 18102
weko
14K
Most2
06.<trusishka> мне короче нужно сменить b32 на субдомен просто и я волнуюсь что в адрессбуках записи могут не обновиться со временем
weko
Но опять же, как я уже сказал, не вижу ничего криминального, пока туннелей столько как сейчас... И ещё неизвестно точно, конкретно это атака или последствие другой атаки (возможно, прошлой)
weko
Превысит 30к, нужно будет думать
Vort
TCSR низкий. видимо, из-за этой синусоиды
Vort
бывало и хуже, правда
weko
Как я написал в FAQ, всё что больше 10% не критично
weko
Хотя может мне так кажется, потому что у меня скорость повышена
Vort
прикрутил себе я, наконец, мониторинг CPU i2pd. за 9 часов никаких особых всплесков, CPU кушается ровно
weko
По субъективным ушным измерениям подтверждаю))
Vort
хах. я тоже так измеряю )
Leopold
lol C:
weko
Ушные измерения - это как сильно слышно вертушку)
Leopold
да уж
Vort
можно даже из другой комнаты понять, что DDoS идёт
tetrimer
Синусоиды у меня еще и количество SSU2 и NTCP2 транспортов рисует.
Leopold
Эти современные глушители хрень. Двигло должно быть слошно))
Vort
tetrimer: транзитные туннели создают коннекты, это связано
weko
Вполне логично
tetrimer
Ну да. А кто первичен?
Vort
транзиты, вроде
tetrimer
:)
weko
Туннели
weko
Раз они есть
weko
Транспорты туннели делать не могут
orignal
я еще кое что скажу
orignal
дело том что i2pd вытаскивает роутеры из транзитов
orignal
потому транзит резко увеличивет число роутеров в базе
tetrimer
orignal: роутер - с первого раза попадает в базу?
weko
Ну это понятно
orignal
если он валидный то да
orignal
weko как раз это неочивидно
orignal
дед по этому поводу ругался
weko
Ну смотрм
orignal
ты прикола не понял на самом деле
tetrimer
orignal: >если он валидный то да
tetrimer
Потенциальный источник ddos
weko
[20:37:49] <orignal> дело том что i2pd вытаскивает роутеры из транзитов
weko
Лучше какой то процент брать наверное, для улучшения анонимности
Vort
да тут всё потенциальный источник DDoS ))
orignal
вот кто то пересылает роутер через тоннель
tetrimer
:)
orignal
а есои я сижу на конце тоннеле я вытаскиваю
weko
[20:40:32] <tetrimer> Потенциальный источник ddos
weko
Это тоже уже исправили
orignal
и это надо поправить
weko
Надо
weko
Согласен
orignal
не делать этого когда роутеров в базе много
weko
Лучше никогда не делать
weko
Мало ли что там запрашивает владелец
orignal
так база набирается быстрее
weko
Лучше не доверять владельцу
orignal
если владелец против пусть шифрует
weko
А как он зашифрует?)
orignal
то же сообщение только как Garlic
orignal
какие проблемы то?
weko
А как ты поймёшь куда слать
orignal
ну если я публикую себя через тоннель на флудфил я что не знаю кому я шлю?
orignal
шифрую его ключом разумеется
orignal
и кстати надо будет тесты тоннелй слать шифрованные
orignal
все руки не доходят переделать
weko
Так речь же шла про то что мы на конце туннеля
orignal
ну
orignal
я читаю только DatabaseStore
weko
Как мы поймём кому слать если эти данные защифровали?
orignal
там в тоннеле есть инструкции куда
orignal
в начале пакета
weko
Типо по умолчанию?
orignal
сообщение и перед ним че с ним делать
orignal
нет для каждого
weko
Ну дак оно же не шифруется
orignal
тебе на конце тонце тоннеля вместе с свообщением инструкциями
orignal
ну узнаешь что оно идет в какой то другой тоннель и что тебе это даст?
weko
Речь то про другое
weko
Ты говорил что не хочет владелец чтобы видел конец, то пусть шифрует
weko
Я и не понял
weko
О чём это
orignal
если отправиьель этого роутера не хочет чтобы его видел конец тоннеля то надо пересылать шфированное
orignal
не DatabaseStore а Garlic
weko
Я думаю если мы конец, мы не должны высасывать RI в базу (не хорошо, когда удалённый узел контролирует получение конкретных RI)
Vort
разве они не автоматически получаются, хоть так хоть эдак?
weko
[20:48:12] <orignal> если отправиьель этого роутера не хочет чтобы его видел конец тоннеля то надо пересылать шфированное
weko
[20:48:21] <orignal> не DatabaseStore а Garlic
weko
А что в данном случае делает DatabaseStore?
orignal
в нем RouterInfo переслается
weko
Ааа
weko
Хм
orignal
мы его шифруем превращая в сообщение Gralic
orignal
блять это все надо делать ))
weko
[20:49:38] <Vort> разве они не автоматически получаются, хоть так хоть эдак?
weko
В идеале ты должен получать новые RI в базу только через "исследование". Именно базу тех RI, через которые строятся наши туннели. В базу для построения транзитных туннелей можно пихать что уходно
weko
(Насколько я знаю, они не разделены, а стоило бы)
weko
Чтобы внешне никак нельзя была понять даже частично, через какие узлы мы строим туннели
Vort
чем результаты этого исследования довереннее взятых с произвольных туннелей?
weko
Vort: конечно
weko
Так мы анонимны
weko
А с туннелей и транзитов нет
weko
С туннелей владелец знает нас
weko
А с транзитами там понятно)
Vort
может,если я разберусь с механикой исследования, то пойму, чем оно лучше. пока же для меня это всё "из сети"
weko
Ну это уже ближе к паранойи, но лучше избавится от потенциальных не безопасных мест
weko
[20:56:46] <Vort> может,если я разберусь с механикой исследования, то пойму, чем оно лучше. пока же для меня это всё "из сети"
weko
Исследование происходит через туннели
weko
Всё остальное - нет
weko
В этом и разница
weko
Как же много нужно сделать, оказывается
weko
До жопы дел
weko
Vort: пример атаки - через нас строят туннель где мы конец. Теперь просто заспамливают нас майорскими RI, таким образом повышая шанс простроения наших туннелей через них
weko
С транпортами примерно также
Vort
ок, примерно понял
weko
Ну и конечно когда через нас строят туннель, мы тоже RI запрашиваем. В этом случае тоже не стоит хранить в базе для построения туннелей
weko
Vort: RI для наших туннелей мы должны получать анонимно , что помогает противостоять атаке сивиллы
weko
Если краткий тезис
weko
При чём должны получать по нашему запросу, а не когда приспичит
weko
Приспичит кому то*
weko
Кстати, раз такое узнали, есть едет один вариант спама фейковыми RI - через концы туннелей
weko
s/едет/ещё
Vort
видимо, придётся это чинить не потому, что так правильнее, а потому, что через это попрёт атака )
weko
Зря я это написал конечно)
weko
Надо были через точку
weko
Было*
Vort
ну про дедлок ты же не писал? )
weko
Не писал
weko
Но тут то мы помогли сразу
orignal
закоммитил профилировщик чтобы не жрал диск
weko
orignal: видел , я там полотно писал
Vort
orignal: собираюсь потестировать. есть что-то, на что стоит обращать внимание? или как обычно - на какие-либо странности?
weko
Кстати, заметили, трафика больше стало?
weko
Я видел 2.5 мб/с
Vort
я не заметил
Vort
иногда всплески бывают, но в основном идёт фоном где-то 600 килобайт/сек у меня
orignal
так на все надо обращать внимание
orignal
я теперь не знаю чего я накодил ))
orignal
тем болеее сегодня не рабочий день )))
Vort
ок
Orion
собирать с последним коммитом или не стоит?
orignal
не стоит
orignal
главное собери с тем коммитом который падения фиксит
Orion
с предпоследним собрал
Orion
работает
Vort
такс. пока что пирпрофилей как было 44к, так и осталось. посмотрю, как поменяется значение со временем
weko
Тогда хорошо
weko
44к звучит как что то нормальное
orignal
Vort а ты останови и запусти снова
Vort
сейчас
orignal
или жди 6 часов
Orion
у меня тоже профилей 44к
Orion
44300
Vort
35к стало. почистилось :)
orignal
дык
weko
Природа настолько отчистилась ...
weko
)))
weko
135мб при высокой нагрузке
weko
Память
weko
Нормально
weko
Конечно мне кажется должно быть меньше
weko
Но всё же)
orignal
память другая проблема
orignal
" я над этим работаю"
weko
Это хотя бы не 300 как во время атаки
Vort
с оптимизациями часто одно улучшается, другое ухудшается. так что важны правильные цели (на всякий случай пишу))
orignal
ну так обсуждали же сегодня
weko
orignal: читал моё полотно?)
orignal
нет )))
orignal
я работал над кодом ))
weko
А сейчас прочтёшь?
weko
17:19 utc
orignal
у меня est показывает
Vort
профили на диск будут сбрасываться раз в 6 часов или при выходе?
Vort
точнее, не "или", а "и"
orignal
да
orignal
именно так