👮 major
ilita
#4rum #acetonevideo #dev #retroshare #torrent #video2p
irc2p
#i2p-dev #i2pd-dev #ls2 #saltr
IRCaBot 2.1.0
GPLv3 © acetone, 2021-2022
#dev
/2023/05/04
~R4SAS
~orignal
~villain
&N00B
+Xeha
+relaybot
AreEnn
Most2
Nausicaa
Nikat
Opax
Vort
WayBest
`
acetone
anon2
anontor
b3t4f4c3
banona
fidoid
grimreaper
itsAMe
k60
karamba_i2p
ncop
nemiga2
onon
overflow
polistern
poriori
profetikla
qend
r00tobo
soos
teeth
tensor
typhoon_
uis
un
user
weko
whothefuckami
колдыр
l13kdsa Вопрос который не долетел связан с MOTD, который перестал отображаться на сервере, хз баг или фича
l13kdsa "кто то пытается отправить сообщение на говно через тебя" от блин, может флудфила вырубить?
ctxswp orignal, I ported over x86_64 assembly in Crypto.cpp and Identity.cpp to intrinsics so that it runs on Elbrus.
ctxswp Please review my big patch github.com/PurpleI2P/i2pd/pull/1923 .
orignal accepted already
ctxswp No, not that one. I made a new one.
orignal l13kdsa нет флудфил непрчем
orignal тоннели же строятся через тебя
ctxswp I translated all the assembly in Crypto.cpp and Identity.cpp to Intel intrinsics.
orignal no intricis please
ctxswp Why?
orignal or make udener ifef
orignal not going to explain
orignal again
orignal if you wish to do it for you Elbrus do it
orignal but DON'T TOUCH EXISTING CODE
orignal period
ctxswp Okay, I'll change it to that.
orignal everybody is trying to replace to ntristics
orignal also plese don't do it at all
orignal better to use generic code
orignal why do you need own AESNI implemnetation?
orignal use one from openssl
orignal furthermore I'm going to remove this shit completely
ctxswp That's unfortunate.
ctxswp I'll close the pull request
orignal did it already
orignal please exaplin why you need onw AESNI?
orignal this code is there since i2pd used crypto++
ctxswp Well, it was there for x86_64, so I thought an e2k addition would be okay too.
orignal openssl is able to recognize AESNI
l13kdsa о, те�перь рейт бу�дет динамический
orignal addition for what?
orignal check if openssl supports it
orignal if not we can go further with it
orignal if they do no reason to do it
l13kdsa да блин, греба�pipe с��портит сообщение
orignal ага пиздец
orignal вообще удивительные люди лезут чинить что не сломано
l13kdsa тнадеюсь ломать��:PING irc.ilita.i2p
l13kdsa �ладно, пора возращаться на нормальный клиент
Vort Floodfills: 3708
Vort опять что-то придумали похоже
Vort про интринсики - ну так очевидное же решение. так и на Visual Studio можно получить ускорение
Vort разве что надо смотреть, что именно компилятор генерит и не ухудшают ли интринсики результат по сравнению с чистым асмом
Vort если ухудшают, тогда ifdef, да. иначе - сложно представить, что могло не понравиться orignal
Vort то, что надо переносить на готовую крипту - это как бы перпендикулярный вопрос
Vort это отдельный путь развития и его отдельно обдумывать надо
Vort по поводу атаки: вполне может быть, что прыжков вчера после обновы не было из-за остановки атаки и прыжки количества - это просто такая методика очистки мусора у i2pd
Vort хотя мне кажется, что это неправильно - сохранять, чтобы через несколько секунд потом удалить. тем более, похоже, что из-за этого замусориваются профили
weko_ Так посмотри по какой причине удаляется сейчас
Vort посмотрел я netdb и вижу всё тот же метод, что был вчера. по крайней мере, на первый взгляд различий не видно
weko_ Прикол в том что может быть это неудачная попытка соединится
weko_ А соединяется без RI мы не можем
Vort однако заметил одну особенность, о которой наверно в чат писать не стоит. если кратко, то атакующий клонирует RI избирательно
Vort "Так посмотри по какой причине удаляется сейчас" - есть нормальный метод чтобы это узнать? я просто хз
weko_ Vort: нужно всё в лог вывести и смотреть
Vort weko_: сам то пробовал?
weko_ Хотя если метод тот же, там очевидно где чиститься
Vort так я во вчерашнем коммите логирования не видел
Vort или плохо смотрел
weko_ И сделать что чистилось при получении как я понял, не выйдет
weko_ RI в любом случае нужно проверить
Vort "И сделать что чистилось при получении как я понял, не выйдет" - хреново
weko_ Тут верно будет чистить профили
weko_ [04:21:59] <Vort> так я во вчерашнем коммите логирования не видел
weko_ Так добавь
Vort если прыгающая чистка - это то, как работает вчерашний коммит, то всё понятно
weko_ В данном случае тут привязка к другим RI по сути одна - адрес. Не знаю что по этой привязке делать
Vort просто оно и без него прыгало. ну с отрубленной оффлайн детекцией
Vort какой тогда смысл был во вчерашних изменениях?
weko_ Vort: так и должно быть
Vort я думал пораньше выкинуть мусор
weko_ Чистка раз в какое то время происходят
weko_ Vort: суть в том, что чем больше у тебя гавна, тем быстрее чистится гавно
weko_ Поэтому будет где то баланс
Vort "суть в том, что чем больше у тебя гавна, тем быстрее чистится гавно" это речь о вчерашнем коммите что ли?
weko_ Ну да
weko_ Floodfills: 2000
weko_ У меня видимо примерно 2000 баланс
Vort хм. я такого в нём не увидел. хотя смотрел не очень внимательно правда
weko_ Хз
Vort weko_: у тебя тоже прыгает?
Vort до 3-4к
weko_ Ну сейчас посмотрю
Vort 3-4 набирается и прыжок вниз до 2.5
Vort потом опять копится
weko_ Прыгнуло сейчас до 2600
Vort weko_: это ты на какой версии? 2.47.0-60-g4ce2ef1d ? или новее ?
weko_ Последний
Vort окей
weko_ 2800-2100
weko_ Ну скачет да
Vort понял
weko_ Но так и должно быть
Vort опять профили чистить... ну не сейчас, но вообще
Vort не знаю что там на линуксах, но винде это не нравится
Vort ещё одно наблюдение - похоже, сегодняшняя волна состоит из двух частей: загрузка CPU поднималась дважды с "расстоянием" в 1 час между подъёмами
Vort неужели второй комп подключили к атаке?
Vort на всякий случай: атака на Tor была с тысячи адресов. если это тот же атакующий и сегодня он включил второй комп, то надо быть готовыми к усилению атаки в 500 раз
weko_ Vort: я думаю это "инъекции"
weko_ Каким то из способов заливают в роутер гавно
Vort weko_: говно идёт под напором. это не просто набросы
Vort пульсации было бы видно. я думаю
weko_ Гавно может просто из сети идти, а нагрузка - видимо "инъекция"
weko_ Возможно всем сразу
Vort я сейчас скрин покажу
Vort чётко видны ступеньки
Vort paste.i2pd.xyz/?adeb142dc97fb65e#EHQfsJd5rWebqHZTRYoXmrEXSHCYpmbchpy9MH5oZwXv
Vort вот. в 4:00 одна и в 5:00 вторая
weko_ А у тебя и не понизилось
weko_ А я про пики говорю
Vort пики я вижу только в количестве FF и это явно просто особенности очистки
weko_ Там тред 100% ел
weko_ Я рестартнул и перестало
Vort 100% может быть просто багом
Vort хрен атакующий так просто отстанет из-за рестарта
weko_ Нет
Vort или думаешь через тебя вход говна пошёл?
weko_ Вполне возможно
weko_ Если это транспорт, то он улетел из памяти
weko_ И возможно пидор его больше не создаёт
weko_ Туннель тоже может не делать повторно
Vort интересно. то есть может быть два эффекта - прямой и через флуд
Vort логично в принципе
Vort то есть, кому прёт напрямик, то грузит сильнее
weko_ [05:12:14] <Vort> или думаешь через тебя вход говна пошёл?
weko_ Я это уже несколько раз повторил
weko_ Естественно не только через меня, возможно роутеров много
weko_ Куча раз уже был разговор про возможность удалённо насрать RI на любой роутер
weko_ При чём есть несколько способов
Vort я видел и пики. но как-то редко и подумал, что может быть дело в моей активности
Vort или в сбросе профилей на диск допустим
weko_ Один тогда поправили вроде
weko_ Остальные то остались
weko_ Суть то в том, что как можно так быстро и резко просто флудом заполонить сеть гавном?
weko_ Либо много роутеров, которые это делают намеренно, либо "инъекции"
Vort я деталей работы i2p не знаю. но если нет на входе проверок, то почему бы и нет
Vort принять, а потом вычистить - это кривой подход
weko_ Нету
weko_ Сейчас я тебе скажу пример
Vort мне кажется, что не стоит думать о том, куда говно кладётся. надо думать на уровне протокола. просто положить говно - это уровень школоты
weko_ Тут вопрос что мы так вообще не должны принимать
weko_ Ну либо принимать но не использовать
weko_ Vort: это в i2pd код
Vort у нормального хакера будет свой клиент
weko_ [05:17:54] <Vort> принять, а потом вычистить - это кривой подход
weko_ Нормальный, иначе профилирование не будет работать. А тут как раз оно и требуется, ну в плане нужно нормальное.
weko_ Vort: да при чём тут клиент
weko_ Говорю в i2pd код который сосёт RI со всех подряд
weko_ Хоть сотню тысяч штук
weko_ SSU2Session.cpp, строка 1504
weko_ Понимаешь о чём я?
weko_ 10000 таких блоков напихать
weko_ И вот у тебя уже 10000 RI
weko_ И ладно если это мусор пришёл
weko_ Так могут прийти майорские роутеры
weko_ И вот уже шанс перехвата туннеля вырос значительно
weko_ А ещё i2pd ловит не шифрованные RI с OBEP и IBGW и кладёт в базу
weko_ Делаем туннель где мы одна их этих ролей и спамим RI
weko_ Profit!
weko_ Ещё при построении туннеля нам владелец сообщает ident следующего роутера - мы его разрешаем на флудфилах. Не так плохо как передача RI напрямую, однако, думаю может использоваться
weko_ Конкретное место в коде я пока не что не нашёл, но лось неоднократно говорил про это
weko_ А ещё лось говорил что есть практика отправки на OBEP того RI, на который хотим сделать запрос
Vort "<weko_> Говорю в i2pd код который сосёт RI со всех подряд" помню похожее обсуждение. видимо, и в "плане" от 30 числа об этом речь
weko_ Но мы уже обсудили что это херня и такого быиь не должно
relaybot 13pizdabol: Опять атака ?
Vort очередная волная, да
Vort скорее всего, такая же, как вчера
Vort волна*
weko_ На последнем коммите успешно чистится
relaybot 13pizdabol: Да, но tcsr очень низкий
weko_ 7%
Vort weko_: на мой взгляд, важно обдумывать фильтрацию. критерии, по которым можно определять качественность RI. используя любые данные я имею в виду
weko_ Лучше чем 1%
relaybot 13pizdabol: 1%
Vort pizdabol: потому что не все обновились скорее всего
weko_ Vort: без обращения по адресу в RI полноценно это не сделать
Vort а придётся, скорее всего
Vort к примеру, 1 свежий ключ в час на IP
weko_ Соответственно не проверенные RI вообще использовать не должны
weko_ Vort: а не получится
weko_ [05:48:50] <Vort> к примеру, 1 свежий ключ в час на IP
weko_ И как ты определишь настоящий роутер? Ты же не хочешь всех побанить
Vort ну один проверить так, как ты говоришь
weko_ Сейчас так и делаем
Vort а остальные выкидывать нафиг в течении часа допустим
weko_ Вроде как в этом и смысл той таблицы
weko_ Которую лось добавил
Vort там одинаковость ключей проверяется вроде
weko_ Там правда по s фильтрация, но смысл похожий
Vort там скорее то, о чём ты говоришь
Vort проверка соединением
weko_ Ничего не мешает дополнить
Vort и кеширование результатов этой проверки
weko_ Да, но только один раз по сути
weko_ нуууу
weko_ А ты о чём?
Vort о том, что и другие ключи тоже надо блочить
Vort не проверяя
Vort есть один ключ проверенный на IP, остальные - нафиг
Vort не навсегда только
Vort изредка надо перепроверять
weko_ Vort: ну сделай по ip
Vort чтобы разрешать менять версии и т.д.
weko_ Версии можно без смены ключа менять)
weko_ Ну понятно что не навсегда
weko_ Вообще нельзя навсегда банить
weko_ В p2p
Vort "Версии можно без смены ключа менять)" да юзеры просто грохают каталог и всё
Vort как вариант - сделать очередь проверки, которая будет заносить в белый список проверенные узлы
Vort пока не проверен - блочить
Vort во время атаки проверка будет тормозить. ну, значит, новым юзерам придётся подождать
Vort (примерная идея, конечно)
Vort просто проверка ключей не говоря уже о проверке узла - это дорогая операция
Vort и во время атаки эти операции надо экономить
Vort потому что как припрётся миллион фейков в минуту - будет не до тщательных проверок
relaybot 13pizdabol: То есть вы хотите сделать такую же проверку но по IP?
Vort чётких мыслей по крайней мере у меня пока что нету
Vort опять IRC развалился. что же эта штука такая ненадёжная :(
Vort очень странно вообще-то. флуд RI не должен приводить к дисконнектам
Vort хотя... если надо постоянно обновлять лизсеты. вот тут я плохо понимаю суть
relaybot 13pizdabol: Я через xmpp.ilita мост сижу во время атак, он удачнее в этом плане. Нет возможности пропустить сообщение и ранг или поздно оно дойдет
relaybot 13pizdabol: Рано*
Vort туда со всех серверов стекаются сообщения что ли?
Vort вот сейчас кто знает что на irc.ilita.i2p происходит?
relaybot 13pizdabol: Во время атак только dev работает из мостов
Vort orignal конечно может сказать опять что у него всё нормально. но я этого даже прочесть не смогу
relaybot 13pizdabol: На irc зайти не могу, 1% tcsr не даёт туннель собрать на vps
Vort у меня туннели есть. нет лизсета
relaybot 13pizdabol: Сейчас ускоренно учу c++, что бы было проще читать исходный код и хоть что-то пытаться делать с атаками
Vort что-то подозрения, что сам по себе серв irc.ilita.i2p навернулся. хотя бывало уже что по часу туда подключался
relaybot 13pizdabol: Вроде люди пишут
relaybot 13pizdabol: Но поймал сообщение из ru только через xmpp.trus
relaybot 13pizdabol: На другом мосту dev все ещё выглядит так будто ты сам с собой говоришь
Vort там что - не показывается список юзеров?
relaybot 13pizdabol: Просто не показываются сообщения от relaybot'а, хз почему. А списка юзеров моста нету
Vort да я не про юзеров моста, а про юзеров IRC
Vort чтобы понять, что видит мост
Vort пустоту или кучу юзеров
relaybot 13pizdabol: Не знаю, вроде нет такого функционала
Vort жаль
l13kdsa блмн, чёт опять за ночь всё подохло
Vort 6 часов вроде новая волна атаки идёт
Vort и по виду она не сильно от вчерашней отличается
Vort значит, вчера вечером атаки уже не было
l13kdsa если что, роутер обновил как увидел новые коммиты
Vort да я уже сомневаюсь в эффективности последнего изменения
Vort роутер принимает клоны, а потом чистит
Vort но за этот промежуток времени они, похоже, успевают навредить
l13kdsa 1722739 warn - Transports: RouterInfo not found, failed to send messages за почти 7 часов
Vort другого объяснения пока не вижу
Vort я warn не включал
relaybot 13pizdabol: А у нас блок на эту проверку есть ?
relaybot 13pizdabol: Может так же ставить unreachable при таких ошибках ?
Vort что-то мне не кажется, что unreachable мало ставится
relaybot 13pizdabol: L13kdsa, можешь скинуть команду которой ты это выбираешь
l13kdsa А, да, только это будет долго работать на жирном логе:
l13kdsa watch 'cat .i2pd/i2pd.log | cut -d'/' -f 2 | sort | uniq -c | sort -nr'
Most2 08.<rattea> Время есть)
l13kdsa вообще надо бы ещё таймштампы парсить, по часам хотя бы, так может было бы лучше, но это не особо помогает, анализировать i2p это как искать что-то на дне грубокого океана
Vort можно и анализировать. но надо много времени потратить, чтобы понять, что всё это значит
Vort полноценный мониторинг тут давно требуется. никто не сделал. общедоступный имею в виду
l13kdsa мне кстати не нравится, что с некоторых роутеров слишком (в 1.5 раза) больше ошибок связанных с очередью SSU2
l13kdsa 139634 warn - SSU2: Outgoing messages queue size to eZ4OoWX67XX6vg-4IselGdr3WfJqjRqwAosDFLUHTJ4= exceeds 500
l13kdsa 103093 warn - SSU2: Outgoing messages queue size to h673joKXdFaER7ip9NJczQvOzONobjfX4~P0QMEkgQ0= exceeds 500
l13kdsa вот пару из них
relaybot 13pizdabol: Ну можно настроить логирование а какую-нибудь бдшку по типу clickhouse и там уже крутить
Vort по-моему, подобные проблемы и раньше были. до масштабных атак то есть
relaybot 13pizdabol: Главное распарисить правильно
Vort сейчас же важнее понять, что именно к атаке относится
Vort главное - выложить в онлайн и поддерживать доступность
Vort хотя бы самое примитивное - TCSR, Routers, Floodfills, трафик, транзиты
l13kdsa ну так, с разных роутеров разный результат обычно)
Vort так даже с одного было бы ценно. но нету
Vort чтобы понимать "это только у меня всплеск или нет"
l13kdsa примитивное я кстати хотел выкладывать в чат раз в N'минут в чат, но это засирание чата
relaybot 13pizdabol: Для этого надо общедоступный сервак
Vort не надо в чат
relaybot 13pizdabol: И опять же это снизит анонимность роутеров
Vort надо что-то наподобие i2p-metrics.np-tokumei.net
Vort только раз в 10 детальнее
Vort "снизит анонимность" - атакующему не сложно собрать такую статистику
relaybot 13pizdabol: Vort, ну можно сделать кстати
relaybot 13pizdabol: В этом я подкован чуть больше чем c++ и i2p
Vort есть вариант сбора парсингом веб консоли
relaybot 13pizdabol: Да, хотел предложить такой вариант
Vort и есть вариант через протокол. забыл как там его. i2pcontrol что ли
Vort ну и логи
Vort этого предостаточно
l13kdsa кстати говоря, зато зацените как легко сделать так: w3m 127.0.0.1:7070 -dump | grep 'Routers'
relaybot 13pizdabol: Vort, если поможешь разобраться с этим протоколом то можем и через него
Vort geti2p.net/en/docs/api/i2pcontrol
Vort пример есть в github.com/i2p/i2p.itoopie
Vort ну там много чего нету. поэтому веб всё равно парсить надо
Vort или добавлять в протокол самостоятельно (форк делать)
Vort я же не спешу парсер веб консоли делать из-за проблем с потокобезопаностью. но polistern говорила что у неё проблем не было (если я правильно запомнил)
l13kdsa > i2p-metrics.np-tokumei.net < Ну... вон графики строить сложновато, а какие-нибудь простейшие сортировки\группировки вполне
Most2 08.<rattea> Vort, а какие там данные есть ?
Most2 08.<rattea> Для графиков можно metabase завести
Most2 08.<rattea> Или графану
Vort rattea: в i2pcontrol? ну трафик точно есть
Vort да оно много чего можно. но никто не сделал просто
Most2 08.<rattea> Ладно, посмотрю что там есть и что можно сделать
Most2 08.<rattea> Начну с этого протокола, если все понравится, то форкну этот репозиторий и допишу сборку логов
Most2 08.<rattea> И парсинг вэба
Most2 08.<rattea> К счастью с java имел дело
l13kdsa может вообще сразу, любой желающий (по запросу) чтобы мог отправить свой лог в реальном времени на сокет сборщика, правда логи даже в режиме error с 3-5 роутеров это жирно
l13kdsa :D
l13kdsa рейт растёт, с 2% до 4
l13kdsa ой ёй, 800 мегабайт peerProfiles
l13kdsa Vort: "не знаю что там на линуксах, но винде это не нравится", на линуксах это может слегка подтормаживать при открытии, если выполняется stat для каждого файла\каталога
l13kdsa А вообще, если рамы много, то пиры можно засунуть и в подмонтированную папку tmpfs в раме
relaybot 13pizdabol: l13kdsa: может вообще сразу, любой желающий (по запросу) чтобы мог отправить свой лог в реальном времени на сокет сборщика, правда логи даже в режиме error с 3-5 ро <clipped message>
relaybot 13pizdabol: утеров это жирно
relaybot 13pizdabol: Можно же не чисто логи отправлять, а уже обработанные данные
relaybot 13pizdabol: На же не так важна высокая детализация как количественно-временные и временные характеристики
Vort хакер тоже сможет что-то отправить. это разве что от доверенных людей только принимать
Vort хотя я по-прежнему считаю, что даже с 1 узла данных будет достаточно
l13kdsa я и уточнил в скобках, по запросу, а то так конечно, говна в сокет накидать легко)
Vort надо только проверить будет по каталогам - вдруг кто-то уже сделал такой сервис, но мало порекламировал и мы не знаем
l13kdsa я лишь горазд на такие штуки, не более:
l13kdsa while true; do w3m 127.0.0.1:7070 -dump; sleep 1; done | grep -E 'Tunnel creation success rate|Routers|Received|Sent|Transit:'
Vort графану настроить несложно. как и mysql (или ему подобное)
Vort самому писать надо по сути только сборщик
Vort инструменты для хранения и отображения уже есть
relaybot 13pizdabol: 3830318 transports ri not found
relaybot 13pizdabol: 2327911 NetDbReq: No outbound tunnels
relaybot 13pizdabol: 1227858 BetDbReq: No inbound tunnels
relaybot 13pizdabol: Vort, да инструменты есть нужен сборщик который превратит 2gb логи во что-то менее тяжёлое
Vort их в реальном времени обрабатывать надо
Vort можно даже выкидывать потом
Vort можно же логировать не в файл, а в stdout
Vort и завернуть этот stdout в сборщик
l13kdsa ну да i2pd --loglevel warn --daemon 0 | socat - TCP:ygg_addr_for_example:12345 :)
relaybot 13pizdabol: Vort, лучший вариант
relaybot 13pizdabol: Атака где в 2 ночи по UTC началась
l13kdsa ну, вообще, пока логгера не нашли, могу чисто for science выложить аутпут по краткой сводке из веб консоли по команде выше, в сокет через ygg, надо кому?
l13kdsa ну, я имел ввиду, что это просто shared сокет, подключаетесь к нему и в реальном времени вам строчит каждую секунду
relaybot 13pizdabol: l13kdsa, за несвязанными точками я и сам могу посмотреть...
relaybot 13pizdabol: За день логов уровня warn 2 гига натикало
l13kdsa попытка логгировать и анализировать хаос однако...
Vort важна история изменения параметров
Vort поэтому ещё одна важная особенность - это выбор стабильных параметров для логирования
Vort то, что лучше всего характеризует состояние сети и то, что скорее всего никто не уберёт в очередном релизе
Vort кстати, ещё один важный источник (4й после логов, вебконсоли и i2pcontrol) - это netdb
Vort надо бы к примеру следить за динамикой congestion caps
Vort вполне вероятно что одного этого параметра будет достаточно для отслеживания атаки
l13kdsa так капсы не часто меняются вроде?
Vort не знаю насколько часто. так и не разобрался ещё
Vort но если бы вообще нечасто менялись, тогда в congestion не было бы смысла
Vort я думаю, там точность где-то минут 10
Vort а если взять 10 тыщ роутеров, так вообще с точностью до секунд можно словить начало атаки. наверно )
relaybot 13pizdabol: Vort, тогда надо все уменьшить до просто парсинга web консоли
Vort ну я имею в виду congestion не конкретного узла со статистикой, а по всей netdb
Vort этого в консоли нету
Vort можно конечно вначале добавить, а потом парсить консоль :D
relaybot 13pizdabol: Пхпхпхпх
l13kdsa без какого-то routersinfo.exe netDb бесполезно анализировать?
l13kdsa правда, всё же, а толку от отлавливания факта атаки, если ей ничего нельзя противопоставить, чтобы схлопнуть её? А то, так каждый раз, ночью или днем говна накидывать будут, чтобы сеть нормально не
l13kdsa работала
l13kdsa ну, только разве что, будет сервис по типу downdetector
relaybot 13pizdabol: Ну в целом что-то такое и получиться
relaybot 13pizdabol: Графики нарисуем в реалтайме они будут крутиться
weko [06:16:44] <Vort> опять IRC развалился. что же эта штука такая ненадёжная :(
weko Скорее сетевые проблемы
weko [06:17:17] <Vort> очень странно вообще-то. флуд RI не должен приводить к дисконнектам
weko Очевидно, что ведёт
l13kdsa да, ирка-то кстати надёжная, вон в локалке сервер поднять и он никогда не дисконнектнется
l13kdsa было бы ещё быстрее, если бы gzip поддерживался нативно
Vort l13kdsa: можно свой парсер написать. но проще взять java i2p, там есть нужная команда
Vort l13kdsa: без понимания сути атаки невозможно спланировать защиту
Vort "<weko> Очевидно, что ведёт" механизм пояснить можешь?
l13kdsa Если это напорная атака, то разве можно защититься? в i2p нет фичи antiddos к сожалению
l13kdsa в blackhole трафик не отправишь
Vort ну вот эти фейки-клоны они эксплуатируют баги и недоработки
Vort от чистого трафика действительно защититься сложно
Vort для начала надо чтобы сеть сама себя не ДДоСила
l13kdsa но, вот загвозда, это же фича i2p) постоянный шум)
Vort клонирование мусора - это баг
R4SAS пойду проверю чего не так с irc.ilita.i2p
R4SAS поднял, ожидаю когда поднимутся туннели
l13kdsa эт наверное надолго
l13kdsa А нет, быстро
orignal Vort мне не понравилось то что это там на хуй не нужно
orignal все есть внутри openssl уже
orignal зачем переделывать legacy код?
orignal запилите кто нибудь таблицу по endpoint аналогичное что я сделал по статическму ключу и все
tetrimer Похоже, это и есть один из векторов атаки:
tetrimer 153 /var/db/i2pd/netDb/rG/routerInfo-GrNIcU3T67HbAYk2GKJEs4fAMZd86osy0jo98gv7dnk=.dat
tetrimer 178 /var/db/i2pd/netDb/ru/routerInfo-u5zECr5LvNZu6mjw7T0tiNYsZp1eCD54jA5lv5sArOU=.dat
tetrimer 192 /var/db/i2pd/netDb/rZ/routerInfo-ZaJo~SAEj~BaQCe8h3gWl4oe2DxHu5shsTrLBcTb77U=.dat
tetrimer 194 /var/db/i2pd/netDb/rn/routerInfo-nvSMIGMhfFsK8XA1dqVdw3cHR1MD1Oo42mqPaYSZ8og=.dat
tetrimer 204 /var/db/i2pd/netDb/ru/routerInfo-uxv2AfCRyOxkGy0CYQfmzvOlr1KVfOememNzDCyjODU=.dat
tetrimer 218 /var/db/i2pd/netDb/ru/routerInfo-u8MJPHpgzuV07TwPjPdbsm--JUEG9wWlZiW2k82iM6M=.dat
tetrimer 222 /var/db/i2pd/netDb/ru/routerInfo-u9yrNQ229W~qg72dh8FDWxHJ7AhMgB3RbJzI8qzkpx0=.dat
tetrimer Первое число - повторы за сегодня с 10:00МСК
tetrimer На двух разных серверах - поведение аналогичное, но имена файлов - не повторяются...
Vort отвлёкся на полчаса и обнаружил что i2pd сожрал 2 GB RAM
orignal вот потребление памяти надо смотреть где
Vort по показателям ничего необычного. единственное что необычное - это я полчаса смотрел видео - нагрузка на CPU была выше обычной
orignal ну так где это 2 гига?
orignal явно в какой то очереди
Vort небось те же всплески которые были без атак
Vort ну как вариант
Vort сейчас сброшу рабочий набор - гляну, активно ли используется эта память
orignal у меня появилась идея фильтрации
orignal если говно прет через тоннели то на OBEP ловить DatabaseStore и смотреть
orignal на предмет того есть ли там IP адреса
orignal если они там то почему они передаются через тоннель а не напрямую
tetrimer Надо повторы отстреливать.
orignal повторы чего?
tetrimer Я выше показывал запросы к несуществующим записям в netDb
l13kdsa 15.1% [299.6 MB] рамы юзает щас
Vort ну если надо что-то потестировать - проверю. писать же такой код я пока что не готов
Vort l13kdsa: значит, это последствия просмотра YouTube :)
orignal ну и о чем это говоит,
Vort сбросил WS, пока что до 400 мегов дополз
orignal только о том что другая жертва пытаеся строить тоннели
orignal для начала я предлагаю отключить ловлю роутеров на OBEP и IBGW
tetrimer Забивают условный "кэш", дергают файловую систему, в общем - жрут ресурсы.
l13kdsa но, зато снова peerProfiles 800 мегов
orignal это же просто запросы в сеть
tetrimer orignal: Это же чей-то ответ на попытку открытия файла. :) Значит, как минимум, дернули fopen() и прочее.
tetrimer Ну и пухнут директории netDb и peerProfiles - тоже неспроста. Где-то роутер на автопилоте - сожрет все пространство...
orignal какого файла о ченм ты?
orignal поиск в памяти же делается
l13kdsa такс, щас я попробую открыть 6 гигабайт логов
orignal нету в памяти запрос в сеть
orignal все
Vort orignal: он наверно о тех ошибках, про которые я говорил
l13kdsa ничего интересного кроме дофигища RI not found на первом месте в топе варнов
tetrimer orignal: RouterInfo: Can't open file - это, типа, понарошку?
Vort да, точно о них :)
Vort и я об этом тоже пару дней назад писал
Vort атака этот баг проявляет
l13kdsa 7086 error - RouterInfo: Can't open file
orignal это какая то отдельная бага
l13kdsa немного
Vort может, это и мелочи, но тоже по-хорошему, надо чинить
orignal надо
orignal это же просто буфер читается по запросу
orignal а почему он не записался ну значит какие то проблемы с ним
Vort orignal: может ли распухание RAM быть из-за сброса профилей на диск?
orignal каким образом?
tetrimer Это в случае медленной файловой системы.
Vort уже почти час сброс идёт. наверно же какие-то структуры данных в этом участвуют
tetrimer Но это надо сильно много писать...
Vort так полмиллиона файлов ведь
Vort или может процесс сброса мешает каким-то другим задачам
orignal там же ничего нет при сбросе
Vort может они ждут пока сброс завершится
tetrimer find /var/db/i2pd/peerProfiles.del/ | wc -l
tetrimer 77656
tetrimer Откуда там полмиллиона?
Vort tetrimer: аптайм сколько? флудфил?
Vort о, ещё и 30% CPU начало жрать что-то
l13kdsa так это нормально наверное
l13kdsa у меня так же
orignal ну нет там ничего при сбросе
Vort надо опять рабочий набор сбрасывать. нагнало опять 1.7 гигов
l13kdsa главное не 101%
l13kdsa оу, 1.7
tetrimer Флудфилл, но аптайм - небольшой. Я уже сегодня пару раз перегружал: менял параметры.
orignal лучше давайте сбор роутеров с концов тонелей отключим
Vort tetrimer: сброс профилей идёт раз в 6 часов вроде бы
Vort в общем, в сумме сейчас i2pd у меня сожрал 2.6 гиг. часть в своп ушла потому что я рабочий набор сбрасываю
Vort а сброс профилей похоже уже завершился
orignal это самое первое что надо сделать
l13kdsa но, вообще, по хорошему надо отключать роутер, так будет быстрее
l13kdsa но, пожалуй сделаю автодроп peerProfiles когда достигнет 500 мегабайт
orignal weko Crypto.cpp строка 309
orignal сделаешь для s ?
tetrimer Причем если с утра в первую очередь распухал peerProfiles, то сейчас наоборот: быстро пухнет netDb, а peerProfiles - занимает какие-то жалкие 41К.
orignal точнее давайте ка я сам
Vort теперь i2pd начал худеть. вначале с 2.6 до 2 гиг упало, теперь с 2 гиг до 800 мегов
orignal точно где то очередь
Vort tetrimer: я же говорю профили через 6 часов сбросятся
orignal и очередь эта в netdb
weko [06:53:11] <Vort> но за этот промежуток времени они, похоже, успевают навредить
weko Важно только количество, конкретно отношерние нормальных к гавну
Vort i2p::util::Queue<std::__1::shared_ptr<i2p::I2NPMessage const> >::GetNonThreadSafe 2.97s 2.97s 30.11% 30.11% i2pd [unknown] 0 0x13fb4e2bf
l13kdsa странно, ведь netdb редко разрастается
Vort это о чём-то говорит?
weko [07:09:46] <Vort> полноценный мониторинг тут давно требуется. никто не сделал. общедоступный имею в виду
weko Конечно
weko [07:16:53] <Vort> и есть вариант через протокол. забыл как там его. i2pcontrol что ли
weko Я думаю надо будет расширять его значительно
l13kdsa о отвал
Vort так-так
l13kdsa ну спасибо хоть игг с тором работает
Vort не переполнилась ли ещё где-то RAM
Vort "<weko> Я думаю надо будет расширять его значительно" - для нормального мониторинга однозначно. и проверить чётко на "гонки", чтобы не крешило
Vort в общем, если триггером жирения был сброс профилей (а может и просмотр видоса), то 6 часов можно не беспокоиться
l13kdsa Tunnel.cpp: // TODO: possible race condition with I2PControl
l13kdsa RouterInfo.cpp: m_Addresses = addresses; // race condition
l13kdsa в коде)
Vort l13kdsa: спасибо
Vort я так и думал
orignal значит сброс профилей надо выносить в отлдельный тред через ыевЖЖфынтс
Vort а не крешит у тех кто использует просто из-за везения
orignal std::async
Vort ну это не точно про сброс. надо чтобы ещё кто-то проследил. лишь бы нвыков у этого кого-то хватило
orignal мне тут все не давало покоя почему ygg-only опчти не подврежено атакам
orignal и я нашет ответ
Vort Floodfills: 1308 - нетипично для атаки. или это последствия моего пика RAM или атаку остановили
l13kdsa ну как из мема в вики 2.5 землекопа?
Vort SSU2 ?
orignal а ответ в том что они никогда не бывают OBEP и IBGW
l13kdsa найс
orignal то же самое будет и для ipv6-only
l13kdsa всё, пошёл я на v6, или?...
Vort полезная информация
orignal <orignal> лучше давайте сбор роутеров с концов тонелей отключим
orignal порробуйте кто нибудь проверить
weko [09:32:25] <Vort> "<weko> Очевидно, что ведёт" механизм пояснить можешь?
weko Больше RI => меньше TCSR и чаще дохнут туннели => больше дисконектов
orignal это в файлах TunnelEndpoin.cpp и Tunnel.cpp
orignal думаю атака закончилась потому что у меня наступило утро ))
Vort да атакующий, похоже, приметил что orignal проснулся и вырубил атаку
orignal он приметил еще кое что
l13kdsa оригнал просыпается мафия засыпает
weko [09:33:00] <l13kdsa> Если это напорная атака, то разве можно защититься? в i2p нет фичи antiddos к сожалению
weko Почти на всё можно навесить антидудос. Остальное - хз, возможно тоже можно. Там вопрос не уменьшить анонимность
orignal что остальные то тоже в EST
orignal да просто ддос это на уровне оси можно сделать
orignal обычным failtoban
Vort ещё есть вариант, что проблема с RAM - это следствие конца атаки. вишенка на торте, блин. но тогда бы у всех такое было правда, а не только у меня
orignal у меня не было
Vort я и в конце прошлой атаки замечал аномалии. но наверно показалось
weko [11:51:14] <orignal> если они там то почему они передаются через тоннель а не напрямую
weko Несовместимость по транспортам?
orignal ну да
orignal обычно на флудфил кидают напрямую
orignal кстати еще вариант что у них рабочий день закончился
orignal на ДВ или у кенгуру
weko [11:53:44] <orignal> для начала я предлагаю отключить ловлю роутеров на OBEP и IBGW
weko Да. И блок RouterInfo в транспортах желательно, хотя бы лимитировать
Vort атака кстати началась в час ночи UTC
Vort и усилилась в 2 часа ночи
orignal утро астралии
orignal в это время открывается ASX ))
l13kdsa ох уж эта тайминг атака
relaybot 13mauzer: аукус отакуэ
weko [12:11:07] <orignal> точнее давайте ка я сам
weko Так делать или нет?)
orignal уже заокммитил )))
Vort эм.. это другое,
Vort ? или нет?
orignal что?
weko [12:25:08] <orignal> а ответ в том что они никогда не бывают OBEP и IBGW
weko А ещё не флудфилы, и мало транзита. Но вполне вероятно, что это причина. Стоит убрать
Vort короч я о другом подумал
Vort думал речь про "сбор роутеров с концов тонелей"
l13kdsa disk write bytes 8.7 MB/s
l13kdsa очень сильно наваливает peerProfiles
l13kdsa прямо сейчас
Vort l13kdsa: 6 часов с перезапуска прошло, да?
orignal weko достаточно убрать с OBEP
orignal тем более что уже все равно в этом нет смысла
orignal потому что я в новой весии отправляю шифрованные
weko [12:44:00] <orignal> потому что я в новой весии отправляю шифрованные
weko А старые роутеры - нет
orignal счас сделаю минут через 20
weko И хакер тоже нет
Vort а проверка ключей это полезно. если опять попрёт говно - пересоберусь
orignal ну не будет ловиться подумаешь
weko Я бы глянул но чуть позже
orignal ну понятно что он тоже начнет сбрасывать бит со временемс
l13kdsa а я его не рестартанул, я ещё не ставил ещё один очередной коммит) Uptime: 12 hours, каталог я недавно чистил, решил попробовать прямо в рантайме не выключая
l13kdsa Vort:
weko orignal: надо полностью выпилить эту "фичу"
Vort l13kdsa: 6 + 6 часов
l13kdsa 1 гиг
Vort l13kdsa: где-то полмиллиона файлов за 6 часов у меня набирается. то есть, за один сброс
Vort эту мелюзгу не так просто измерить
Vort лучше на количество смотреть
l13kdsa да проблема ещё в том, что оно в большом количестве начинает жутчайше тормозить и грузить проц
Vort l13kdsa: наверно 6 часов - это многовато. я ещё тогда, когда это было сделано, сомневался
Vort раз в час будет норм
l13kdsa ну, особенно учитывая моменты, когда в peer начинает сыпаться тоннами
Vort оно и без этого всплеск давало, я видел на графиках
Vort но решил не акцентировать внимания, так как других проблем хватает
orignal так надо запись профилей в отдельном треде сделать std::async
weko Тут скорее вопрос в а) количестве файлов б) количестве сохраняемых профилей
Vort суть в том, что компам лучше переносить размазанную нагрузку. но конечно сама по себе идея верна. только надо настроить интервал
Vort чтобы и диск побересь и всплесков сильных не делать
Vort поберечь*
l13kdsa или как-то вычислять интервал очистки в зависимости от того сколько требуется записать
l13kdsa Но, это сложнее звучит)
l13kdsa для каких-нибудь жирных впскок и компов нормальных это может быть и ок, но вот на малинке крякнет быстро думаю
weko Вопрос ещё уменьшить количество записей профилирования. Если кратко, то алгоритм максимально прост: если значения профилирования близки к 0 (нейтральные), то можем удалять, потому что они являются умолчательными. Ну и все числа медленно движутся к 0 со временем
weko (мы медленно "забываем" про хорошие и плохие роутеры, ввиду непктуальности этой информации)
Vort weko: баланс нужен, в общем. можно по науке изучить, а можно просто поменьше интервал поставить
weko Это не всё, но одно из самых важных
weko Vort: ну да
weko Дальше нужен уже некий анализ по IP адресам и тд
l13kdsa главное чтобы по клирнетовским, остальные не имеет смысла, они толком не анализируются)
weko Самое главное - сейчас мы можем убрать сохранение "пустых" профилей - которые содержат значения, близкие к умолчательным
weko l13kdsa: ну в ygg тоже можно деанонить вроде
weko Карту сети построить вроде надо
weko И обновлять
l13kdsa да, но я имею ввиду, что рандом не сможет whois ip сделать, в этом плане
l13kdsa Да я знаю, что он не анонимизирует
l13kdsa я просто юзаю как секурный транспорт
l13kdsa хотя, у игга есть пиры доступные через тор и тот же i2p
l13kdsa но, скорость там конечно, мягко говоря оставляет желать лучше
l13kdsa го
weko Не очень много смысла от такого
weko Больше смысла в i2p over ygg
l13kdsa правда стоит учесть, что при переполнении канала у пира или у того кто подключен к пиру - коннект просто отваливается и снова приваливается
weko l13kdsa: это вопрос уже профилирования и надёжности ygg
weko Там ещё более очевидно что нужно делать
l13kdsa Кстати, а ygg-only i2p можно через прокси? ну, может знаете отдельную ветку yggdrasil, она работает как socks5
weko Транзита не будет
weko Через ygf
weko ygf
weko ygg
orignal так можно точно также на чистом ipv6
weko orignal: делать или нет?
orignal что?
orignal да нет не надо счас сам сделаю
weko Хорошо
orignal если ты про выпиливание
weko Про это
weko Пошла нагрузка на тред NetDb
Vort weko: аптайм случаем 6 часам не кратен?
orignal усе
weko Vort: нет
weko 17h20m
weko На 30 метров во время нагрузки потребление памяти выросло
Vort в очередной раз наблюдаю - после перезапуска - Floodfills: 6724
Vort оно то вычистится, но как-то неаккуратно
orignal так надо записывать
orignal таблицу статических ключий
weko Transit Tunnels: 14073
Vort вопрос, почему оно лежало в netdb
Vort это ж не свежее приплыло
Vort это на диске было
orignal почему ты думаешь что не свежее?
Vort мало времени после перезапуска прошло
weko Может быть свежее...
orignal говномет работает быстро
weko А сколько
orignal я считаю что свежее
Vort ну как будете перезапускать - заметьте сколько ФФ до и после
weko Особенно если прямо в тебя направлен )))
weko Vort: у меня нормально обычно
Vort у меня ещё крешнулось традиционно, может в этом дело
Vort weko: да только подгрузилось с диска, так сразу в консоли и увидел
Vort у меня же долго грузится
Vort пока грузится, консоль недоступна
weko За это время могло налететь))
l13kdsa щас обновлю
orignal у меня обычно резко вздлетает потом падает
weko У меня грузится секунды 3 вроде
Vort "За это время могло налететь))" ну может .надо было посчитать файлы, не сообразил
l13kdsa Floodfills: 2806 до
Vort у меня была тыща до перезапуска по-моему
Vort ну или около того
l13kdsa блин, кусок кода удалён, а сходу и не скажешь, что именно он отвечает за OBEP, потому что в этом куске кода его нет в названии, а наверняка ссылается в другое место)
orignal )))))))
orignal шифровка
orignal я просто больше не ловлю RI на OBEP
orignal что тут непонятного?
l13kdsa минута аптайма Routers: 7967 Floodfills: 2149
orignal будет расти я думаю
Vort значит, какие то проблемы у меня
orignal где то полчаса
Vort у меня наоборот. с вот тех 7к сползло уже до 2к
Vort скоро и 1к будет
orignal ну так у тебя уже достаточный аптайм
Vort Uptime: 20 minutes Floodfills: 1789
l13kdsa кстати, пытался завезти роутер в v6 до того как обновил, обнаружил что v6 вовсе не работает у меня, извне он недоступен, хотя указан
relaybot 13mauzer: абажди чутарик
relaybot 13mauzer: у меня тоже так было
relaybot 13mauzer: Uptime: 1 hour, 48 minutes, 40 seconds
relaybot 13mauzer: Network status: OK
relaybot 13mauzer: Network status v6: OK
relaybot 13mauzer: Tunnel creation success rate: 7%
relaybot 13mauzer: Received: 2,35 GiB (402,26 KiB/s)
relaybot 13mauzer: Sent: 2,67 GiB (479,86 KiB/s)
relaybot 13mauzer: Transit: 1,35 GiB (262,45 KiB/s)
Vort Uptime: 30 minutes, Floodfills: 1254. прочистилось
orignal лонично
weko [14:08:31] <orignal> я просто больше не ловлю RI на OBEP
weko А IBGW не может быть? Или там и не было?
l13kdsa и так, 30 минут аптайма, 9 tcsr, Routers: 5281 Floodfills: 1117
Vort роутеры с каждым перезапуском теряются :( так и до атаки было
Vort мне как всегда кажется, что баг. а, может, это фича )
l13kdsa и в принципе, в моем случае это нормально, потому что до всяких там атак примерно так и было, разве что рейт выше был
Vort по моему пониманию, перезапуск вообще мало на что должен влиять
orignal с IBGW атака невозможна
Vort примерно как если кабель на минуту выдернул кто-то
l13kdsa ну а как же автобан на 3 дня, если роутер плохо доступен?
Vort да я следил за этим эффектом. колиество роутеров резко прыгает вниз через какое-то время после запуска. и больше такого эффекта в процессе работы нету
Vort не похоже это на баны. хотя кто знает
Vort все странности перепроверять надо. а их тут много...
Vort Floodfills: 867. получается, реальных флудфилов не так и много осталось после атаки?
l13kdsa Вопрос ещё в их доступности, мало кто ставит последний коммит наверное...
l13kdsa хотя... ради ухода от атаки, наверно стоило бы и попробовать компилировать каждый раз новый коммит)
l13kdsa 1 час 30 минут Routers: 8597 Floodfills: 1252
user Uptime: 3 hours, 14 minutes, 6 seconds
user Routers: 11002 Floodfills: 1290 LeaseSets: 62
l13kdsa я так понял, из адресной книжки, откроется только те сервисы, что обновили свой i2pd до новейшего коммита)
develion кстати если у кого есть власть над aur i2pd-git, поудаляйте оттуда патчи чтоб собирался
l13kdsa А что с ним? Он же просто собирает из гита судя по названию пакета
Vort "Floodfills: 1252" "Floodfills: 1290" - вот вечно у меня что-то не так :) хоть бы до нуля не спустилось
l13kdsa ну, как вариант можно потыкать рандомные сайты из адресной книги, но я не уверен что это помогает
l13kdsa особенно сейчас, когда большая часть host is down
develion l13kdsa: а можно пример хоста который down?
l13kdsa ну, например та же кислица, только у меня не открывается?
Vort Floodfills: 1183 - вернулось в норму. странно, что же это было такое
develion l13kdsa: у меня кислица открылась
develion правда очень долго идет коннект, но не сказать что прям невозможно достучатьяс
develion надо при этом уточнить что у меня ipv4 = false, ipv6 = false, yggdrasil = true
Vort работают сайты
l13kdsa хм
Vort во время активной фазы атаки на 3х хопах было 0 туннелей
Vort теперь появляются время от времени
l13kdsa for i in $(cat .i2pd/addressbook/addresses.csv | cut -d, -f 1); do echo "$i: $(curl --compressed --max-time 30 --head -s -x 127.0.0.1:4444 $i | grep 'HTTP')"; done вот типа так попинговать адресную книгу
Vort можно или на 1 хоп перейти - там стабильно или ловить момент
l13kdsa ладно, наверное на одном хопе будет яснее жив ли хост на той стороне или не очень
user А что если, атака специально спланирована, что бы пользователи ставили короткие туннели...
user Что-то паранойя разыгралась
Vort user: а я думаю для того, чтобы на джаву переходили
develion атаки это хорошо, чем больше атак тем меньше остается багов когда мы их фиксим
l13kdsa ну да, не очень, я в принципе на анонимность последнее время особо не расчитываю, разве что главное чтобы шифрование не разваливалось
l13kdsa уже столько демагогий повидал на форумах, с километровыми постами
user Vort: Видимо дед развлекается...
ncop Атаку организовал orignal, чтобы кто-то психанул и начал разбираться в i2pd. Ему скучно без деда. Не с кем и поговорить.
develion пора делать новую реализацию, на сях
develion но как-то необычно, чтобы код можно было читать и понимать
l13kdsa кстати о хопах, опять outbound не строится, не удивительно что у меня отвал прокси
Vort не везёт просто
weko [14:41:33] <orignal> с IBGW атака невозможна
weko Почему?
weko [15:32:51] <Vort> Floodfills: 867. получается, реальных флудфилов не так и много осталось после атаки?
weko Нет. Получается , что так получилось.
weko [16:25:12] <user> А что если, атака специально спланирована, что бы пользователи ставили короткие туннели...
weko [16:25:26] <user> Что-то паранойя разыгралась
weko Скорее бред
weko [16:28:08] <ncop> Атаку организовал orignal, чтобы кто-то психанул и начал разбираться в i2pd. Ему скучно без деда. Не с кем и поговорить.
weko Ахахахахаха ахаххаха!))
l13kdsa щас будет
l13kdsa или не будет
orignal ну а как ты себе мыслишь ее?
l13kdsa кстати, интересно, а что будет если прогнать код i2pd через ChatGPT... шутка
Vort не влезет
l13kdsa да, нужно интерпрайс версию
l13kdsa А точно, вдруг кто-то для атаки как раз прогнал через нейронку и спросил найти уязвимости (бред наверное)
Vort даже специальные инструменты ничего интересного не находят
l13kdsa наконец-то, раздуплился до 10% tcsr
l13kdsa это я ещё на фоне пингую адресную книгу
Vort TCSR зависит от количества хопов
Vort на 1 хопе будет выше
l13kdsa А, чёрт...
weko Я думал как то про расчёт успеха на один туннель
Vort я удивлялся как люди вчера получали TCSR 0%. потом понял что у меня есть 1 хоповые туннели
weko Сложности возникли тогда
develion у меня через иггдрасиль сейчас 28%
develion хопы дефолтные
weko Ну так понятно
orignal кстати они флудфилы и с ygg клонировали
weko orignal: 589-599 там похожий код, но остался
weko Tunnel.cpp
l13kdsa я просто с расчётом на то, надеясь, что ковыряясь в своем роутере и пытаясь пинговать других - улучшить связность сети
l13kdsa ну, хотя бы на 1%
orignal weko он для IBGW
l13kdsa "получали TCSR 0%" наверное так будет если поставить 12 хопов
weko orignal: так а почему там то оставлять можно?
weko l13kdsa: у меня так в прошлый раз было
weko И не 12))
weko 12 нельзя кстати
weko 8 максимум
l13kdsa А, перепутал
l13kdsa Ну короче да, логично, длиннее туннель, больше вероятность, что где-то он навернется
orignal потому ты не знаешь зондируеющие тоннели у роутера
weko orignal: так мы же через флудфилы lookup делаем
weko Разве нет?
orignal угу
orignal ну так это только ответы
orignal говномет ты так не запустишь
weko Я могу создать туннель, где роутер жертва будет IBGW и с другого туннеля напихаю гавна
orignal расскажи как
orignal <orignal> потому ты не знаешь зондируеющие тоннели у роутера
orignal они же не пбуликуются
l13kdsa Routers: 11181 Floodfills: 1221 пока в норме
weko А при чём тут они?
orignal так в IBGW какого тоннеля ты будешь пихать?
orignal если в IBGW дейстинейена там сразу дропаются
orignal единстенная твоя возможность это пихнуть в IBGW зондирующего тоннеля
orignal но они нигде не публтикуется
l13kdsa Кстати, а зондирующий лучше делать подлиннее или покороче? Может это как-то будет помогать?
orignal без разницы
weko Тоесть IBGW знает, является ли туннель зондирующим?
orignal нет не знает
orignal ты не догнал
weko как он определяет, когда отклонять
orignal он не знает он шлет
orignal но дестинейшин дропнет
orignal так какой смысл туда говно лить
weko Тут вопрос чтобы когда мы IBGW мы не получали RI
orignal чтобы только атаковать IBGW?
weko Ну да
weko В этом и суть
orignal логично
orignal но это уже будущий вариант атаки
weko Делаем туннель где жертва - IBGW и насылаем гавна, IBGW всосёт всё, а дестнейшен понятное дело отклонит
orignal ну я понял
weko [17:52:08] <orignal> но это уже будущий вариант атаки
weko Возможно сейчас именно так и качают гавно, а не через OBEP. Два варианта, второй просто посложнее
orignal счас проверим с OBEP дальше IBGW
weko Ок
orignal не ну говно качать по OBEP им придется по любому
orignal не напрямую же они кидают
weko Могут и напрямую с тора
weko Хотя в таком случае при нормальном профилировании весь тор побанится ( но профилирования нету)
orignal ну так о том и речь
weko [17:53:55] <orignal> не ну говно качать по OBEP им придется по любому
weko Ну дополнительная причина убрать "фичу"
orignal напрямую и же говорю надо замерять чисто сообщени
weko Надо
weko Надо только продумать куда писать
weko А в код добавить не сложно будет
weko Но опять же лучше это в "dev" версию
orignal это следующий шаг
l13kdsa может просто выключить i2pd, и побыстрому глянуть в момент сразу после отключения, какие там к серверу айпишники подключены последними к нестандартным портам, хотя это абсолютный рандом
weko Зачем
weko Я тоже
weko Зачем для этого i2pd выключать
l13kdsa А потому что пока он включен, нихрена не понятно, посмотреть остаточное
weko Так транспорты смотри
weko Там все подключения
Vort даже сортировка есть ))
Vort и там можно найти интересные адреса Hetzner`а
Vort наверно
l13kdsa ну мало ли, может атакер следит уже за серверами всеми
l13kdsa тыкается по всем портам
Vort это было бы странно
orignal зачем ему это?
weko А толку
Vort он пытается получить максимальный эффект минимальными усилиями
Vort гоняться за каждым юзером - это сложно
weko И имеет ли в этом смысл?)
Vort не ну можно найти какой-то уязвимый сервис у кого-то и криптовымогатель туда всобачить. но это долго и сложно
l13kdsa да ладно, забейте, просто сказал не к месту
Vort это разве что если сейчас атака идёт по факту не на сеть, а на конкретный сервис
Vort вот тогда автору сервиса надо быть поосторожнее. его в порты потыкать вполне могут
Vort если найдут IP конечно )
weko Кстати возможно это результат каких то разборок
weko Среди гопоты всякой
Vort ну да. вымогательство допустим. или дашь бабло или будем твой сервис ДДоСить
orignal я так понимаю счас атаки нет?
Vort это надо вначале найти юзера без последней версии :)
Vort ну прыжков Floodfills по крайней мере нету
Vort и значение в норме - 1.1к
orignal счас у хохла спрошу
orignal ух ты
orignal че он показал
orignal они клонирую и family вместе с подписью
orignal а она разумеется фейлится
orignal 21:25:30@799/warn - RouterInfo: Family gostcoin signature verification failed
orignal понятна мысль?
Vort не особо. важно то, какой эффект от действий
l13kdsa family, а ну доверенные роутеры, они наверное щас живее всех живых (если они только меж собой пирируются)
Vort если они где-то тупанули, но сеть положили, то не особо важно, тупанули или нет
orignal мысль в том что если проверка family фейлится значит клон
Vort ок. вопрос в том, что "дешевле" проверять
Vort тут идёт обмен ресурсов атакующего на ресурсы узлов
orignal так когда роутер читаем все равно подпись family провряем
Vort то есть, можно выкинуть пораньше?
orignal так вот у stromycloud они все с подписью
orignal и мощные
orignal да можно выкинуть сразу
Vort это я просто писал к тому, что надо думать о ресурсах. помнил, что проверка подписей - дело долгое. но раз всё равно проверять - тогда хороший вариант сделать это пораньше
Vort меня беспокоит, что при сильной атаке может не хватить реурсов на тщательные проверки
Vort так что об этом стоит подумать. хотя может такой сильной и не будет, кто знает
orignal да проверка подписи счас почти ничего не стоит
Vort хорошо
l13kdsa ну как там, рейт у кого-нибудь растёт?
Vort смотря с чем сравнивать
Vort сейчас у меня 8%
l13kdsa я вот думаю, может быть постепенно по мере роста tcsr удлинять хопы
Vort мне кажется, что низкий TCSR сейчас - следствие мусорного транзитного трафика и мусорных туннелей
Vort хотя может и эхо от атаки влияет
Vort посмотрим, если не будет атаки и если больше юзеров обновится - может чуть повысится
l13kdsa у меня 11%, но сейчас на http 1 хоп. Вот если есть способ ломать сеть, то должен быть способ как-то быстрее наладить связи с соседними роутерами
Vort мне кажется, никто до конца не понимает, что с сетью происходит. ну вот эти клоны - это понятно. но когда нету клонов? всё равно же низкий рейт
orignal у меня 15%
Vort раньше говорили, что java не справляется. но их ведь около половины. а рейт нифига не половина
Vort да и перегруженные роутеры сейчас должны пропускаться
l13kdsa ну я вот теперь из книги беру и "пингую" 30 случайных сайтов, и многие уже хотя бы не отваливаются в таймаут и отвечают, но опять же, это наверняка спасибо 1 хопу на out
Vort 1 хоп даже во время атаки без исправления более-менее работал
Vort сейчас так тем более
l13kdsa Пытался пингануть всю адресную книгу кстати, одновременно (а не по очереди), так у меня OOM прибил скрипт и i2pd :D
weko [18:32:45] <orignal> мысль в том что если проверка family фейлится значит клон
weko Далеко не у всех есть "family", да и исправить они могут это
Vort l13kdsa: баги, баги...
l13kdsa не уверен что это баги, так вообще по хорошему делать нельзя)
Vort ну сколько RAM надо на 1 запрос?
Vort а запросов сколько?
l13kdsa это создаёт много стримов в туннеле я заметил
Vort там небось программа скачивающая сожрала RAM, а не i2pd
Vort много процессов создалось, да?
l13kdsa ну так, в книге 880 хостов, наверное curl в фоне для таких целей жирноват
weko Помню заспамил i2pd огроменным количеством стримов, так i2pd грохнулся))) ну тут я сам дурак))
Vort то есть, 880 копий curl одновременно? :)
weko В SAM если быть точным
Vort да тут наверно от curl`а глюкануло
l13kdsa да, и параллельно ещё и i2pd досталось, как самому крупному процессу
Vort можно проверить на клирнетовых сайтах, 880 штук =)
l13kdsa хотя, наверное каким-нибудь асинком в питоне или thread не вылетел бы точно, спавн процессами жирноват
Vort в линуксе попроще с этим, чем в винде, но предел тоже какой-то есть
Vort а тогда уже мог бы i2pd вылететь из-за багов :))
Vort хотя торрент у меня держит. но там не тысячи стримов, а сотни. при чём, полудохлых
orignal weko я же говорю у stormycloud есть оно
orignal само собой исправят
weko family вообще бесполезная херня
weko Даже вредная
orignal тем не менее мы проверяем
l13kdsa в секции с туннелями, много failed туннелей, в том числе однохоповых, но как-то работает на остаточном принципе
l13kdsa туннелей на out*
orignal Vort кстати я понял почему рейт низкйи
orignal вот счас l13kdsa спросил я понял
orignal "англичанка гадит" простите "джависты банят"
l13kdsa а, реально XD возможно
orignal раз failed значит не походит delivery status
orignal а значит где то линк банят
l13kdsa хотя, честно говоря, я думал i2pd отдаёт приоритет роутерам своим собственным, если конечно в инфе о роутере написано на каком он ПО держится
orignal нет он этого не делает
orignal а придется
Vort отдаёт приоритет неперегруженным
Vort а они вероятно i2pd
orignal не всегда
Vort точнее, так должно быть
orignal джависты который забанили у себя половину сети тоже будут неперегруженными
Vort а если роутер выглядит неперегруженным, но банит, то надо разбираться
Vort я думал что они банят когда под нагрузкой
Vort а не просто так
orignal нет они именно просто так
l13kdsa но, джава весит больше, жирней, может они всегда перегружены :D
orignal и еще хвастаются что у них списки по 40K забаненныз
orignal этого не знаю
Vort жаль что профили приходилось чистить
Vort может это тоже влияет
l13kdsa казалось бы, много-много роутеров, но они в большинстве своём либо "оглушены" атакой или в случае джавы просто банят...
l13kdsa С - стабильность
Vort нерациональное использование ресурсов
Vort только недавно хоть какой-то приоритет роутерам с жирным каналом стали отдавать
Vort а один такой за сотню мелких может работать
Vort и то, просто верим роутеру что он жирный
orignal ну мы не верим
orignal мы вообще то меряем
Vort измерить бы, отбалансировать нагрузку. мечты.. ну, может, когда-то и будет
Vort пинги?
l13kdsa да, но какой эпичный спотыкач будет, когда он внезапно вырубается без graceful)
Vort l13kdsa: это тоже измерять можно
Vort сейчас i2pd слишком забывчивый. RI чистятся, профили чистятся. а этой информации можно много применений находить
Vort конечно, если профили засираются атакой, то их и надо чистить. но вообще-то атаки быть не должно :)
Vort по сути, надо развивать сортировку узлов по качеству
Vort сейчас есть из чего выбрать, сильно анонимность не пострадает
l13kdsa XfRG хороший капс, да?
Vort как писал orignal, G - говно
l13kdsa бля
l13kdsa how fix it?
Vort лимиты повыше поставить
orignal значит он висит на останове
l13kdsa Вроде по потреблению сейчас ок, fd даже не уперлись в лимит, сеть вроде окей
orignal G значит не принимает тоннели совсем
Vort количество транзита может упёрлось?
orignal нет это E
Vort хотя сейчас вроде волны нету
Vort странно тогда
orignal такое бывает про останове
orignal или сам транзит отключил
l13kdsa А, да, я ж транзит щас вырубил, думал так может туннели поменьше фейлится будут, чтобы джавистам не напрягать их роутеры
l13kdsa и как ни странно, вроде пока всё established
l13kdsa ну парочку фейлов разве что
orignal ну так а чего тогда тебя G удивляет?)))
l13kdsa не сразу въехал, пардон
l13kdsa Хм, чисто теоритически, часть пользователей ушла на жаву, так что таких роутеров наверняка прибавилось
orignal каких?
l13kdsa ну, джава роутеров
orignal джава вобще G пуликует?
orignal наверное
l13kdsa не влияет вообщем, фейлы стали появлятся во всех туннелях in out, особенно напрягает ломающийся исследовательский, без него же рисунок сети нормально не будет расти
l13kdsa 46 established 24 failed
l13kdsa как-то так
l13kdsa включил транзит, спустя время стало: 39 established 31 failed
l13kdsa 47 established 31 failed
l13kdsa 44 established 41 failed
l13kdsa фейлы растут
l13kdsa точно жава наверняка)
l13kdsa 35 established 48 failed иии... в итоге фейлы перевешивают
l13kdsa как думаете, если форкнуть джава роутер без банов соединений, то как быстро прибъет OOM?)
l13kdsa хм, это что же получается, если я буду активнее пытаться строить туннели, то буду ловить ещё больше фейлов
R4SAS чего интересного сегодня?
l13kdsa вроде не особо
R4SAS не особо что?
WayBest G - Gava?)