~AreEnn
~orignal
DUHOVKIN_
Guest7184
Most2
Nausicaa
Nikat
Ruskoye_911
Vort
Xeha
acetone
anon3
b3t4f4c3
fidoid
hypn-direct
karamba_i2p
monkey
nemiga
not_bob_afk
poriori
profetikla
qend
segfault
soos
teeth
tetrimer_
trust
uis
un
unlike
user
weko_
whothefuckami_
l13kdsa
Вопрос который не долетел связан с MOTD, который перестал отображаться на сервере, хз баг или фича
l13kdsa
"кто то пытается отправить сообщение на говно через тебя" от блин, может флудфила вырубить?
ctxswp
orignal, I ported over x86_64 assembly in Crypto.cpp and Identity.cpp to intrinsics so that it runs on Elbrus.
ctxswp
Please review my big patch github.com/PurpleI2P/i2pd/pull/1923 .
orignal
accepted already
ctxswp
No, not that one. I made a new one.
orignal
l13kdsa нет флудфил непрчем
orignal
тоннели же строятся через тебя
ctxswp
I translated all the assembly in Crypto.cpp and Identity.cpp to Intel intrinsics.
orignal
no intricis please
ctxswp
Why?
orignal
or make udener ifef
orignal
not going to explain
orignal
again
orignal
if you wish to do it for you Elbrus do it
orignal
but DON'T TOUCH EXISTING CODE
orignal
period
ctxswp
Okay, I'll change it to that.
orignal
everybody is trying to replace to ntristics
orignal
also plese don't do it at all
orignal
better to use generic code
orignal
why do you need own AESNI implemnetation?
orignal
use one from openssl
orignal
furthermore I'm going to remove this shit completely
ctxswp
That's unfortunate.
ctxswp
I'll close the pull request
orignal
did it already
orignal
please exaplin why you need onw AESNI?
orignal
this code is there since i2pd used crypto++
ctxswp
Well, it was there for x86_64, so I thought an e2k addition would be okay too.
orignal
openssl is able to recognize AESNI
l13kdsa
о, те�перь рейт бу�дет динамический
orignal
addition for what?
orignal
check if openssl supports it
orignal
if not we can go further with it
orignal
if they do no reason to do it
l13kdsa
да блин, греба�pipe с��портит сообщение
orignal
ага пиздец
orignal
вообще удивительные люди лезут чинить что не сломано
l13kdsa
тнадеюсь ломать��:PING irc.ilita.i2p
l13kdsa
�ладно, пора возращаться на нормальный клиент
Vort
Floodfills: 3708
Vort
опять что-то придумали похоже
Vort
про интринсики - ну так очевидное же решение. так и на Visual Studio можно получить ускорение
Vort
разве что надо смотреть, что именно компилятор генерит и не ухудшают ли интринсики результат по сравнению с чистым асмом
Vort
если ухудшают, тогда ifdef, да. иначе - сложно представить, что могло не понравиться orignal
Vort
то, что надо переносить на готовую крипту - это как бы перпендикулярный вопрос
Vort
это отдельный путь развития и его отдельно обдумывать надо
Vort
по поводу атаки: вполне может быть, что прыжков вчера после обновы не было из-за остановки атаки и прыжки количества - это просто такая методика очистки мусора у i2pd
Vort
хотя мне кажется, что это неправильно - сохранять, чтобы через несколько секунд потом удалить. тем более, похоже, что из-за этого замусориваются профили
weko_
Так посмотри по какой причине удаляется сейчас
Vort
посмотрел я netdb и вижу всё тот же метод, что был вчера. по крайней мере, на первый взгляд различий не видно
weko_
Прикол в том что может быть это неудачная попытка соединится
weko_
А соединяется без RI мы не можем
Vort
однако заметил одну особенность, о которой наверно в чат писать не стоит. если кратко, то атакующий клонирует RI избирательно
Vort
"Так посмотри по какой причине удаляется сейчас" - есть нормальный метод чтобы это узнать? я просто хз
weko_
Vort: нужно всё в лог вывести и смотреть
Vort
weko_: сам то пробовал?
weko_
Хотя если метод тот же, там очевидно где чиститься
Vort
так я во вчерашнем коммите логирования не видел
Vort
или плохо смотрел
weko_
И сделать что чистилось при получении как я понял, не выйдет
weko_
RI в любом случае нужно проверить
Vort
"И сделать что чистилось при получении как я понял, не выйдет" - хреново
weko_
Тут верно будет чистить профили
weko_
[04:21:59] <Vort> так я во вчерашнем коммите логирования не видел
weko_
Так добавь
Vort
если прыгающая чистка - это то, как работает вчерашний коммит, то всё понятно
weko_
В данном случае тут привязка к другим RI по сути одна - адрес. Не знаю что по этой привязке делать
Vort
просто оно и без него прыгало. ну с отрубленной оффлайн детекцией
Vort
какой тогда смысл был во вчерашних изменениях?
weko_
Vort: так и должно быть
Vort
я думал пораньше выкинуть мусор
weko_
Чистка раз в какое то время происходят
weko_
Vort: суть в том, что чем больше у тебя гавна, тем быстрее чистится гавно
weko_
Поэтому будет где то баланс
Vort
"суть в том, что чем больше у тебя гавна, тем быстрее чистится гавно" это речь о вчерашнем коммите что ли?
weko_
Ну да
weko_
Floodfills: 2000
weko_
У меня видимо примерно 2000 баланс
Vort
хм. я такого в нём не увидел. хотя смотрел не очень внимательно правда
weko_
Хз
Vort
weko_: у тебя тоже прыгает?
Vort
до 3-4к
weko_
Ну сейчас посмотрю
Vort
3-4 набирается и прыжок вниз до 2.5
Vort
потом опять копится
weko_
Прыгнуло сейчас до 2600
Vort
weko_: это ты на какой версии? 2.47.0-60-g4ce2ef1d ? или новее ?
weko_
Последний
Vort
окей
weko_
2800-2100
weko_
Ну скачет да
Vort
понял
weko_
Но так и должно быть
Vort
опять профили чистить... ну не сейчас, но вообще
Vort
не знаю что там на линуксах, но винде это не нравится
Vort
ещё одно наблюдение - похоже, сегодняшняя волна состоит из двух частей: загрузка CPU поднималась дважды с "расстоянием" в 1 час между подъёмами
Vort
неужели второй комп подключили к атаке?
Vort
на всякий случай: атака на Tor была с тысячи адресов. если это тот же атакующий и сегодня он включил второй комп, то надо быть готовыми к усилению атаки в 500 раз
weko_
Vort: я думаю это "инъекции"
weko_
Каким то из способов заливают в роутер гавно
Vort
weko_: говно идёт под напором. это не просто набросы
Vort
пульсации было бы видно. я думаю
weko_
Гавно может просто из сети идти, а нагрузка - видимо "инъекция"
weko_
Возможно всем сразу
Vort
я сейчас скрин покажу
Vort
чётко видны ступеньки
Vort
вот. в 4:00 одна и в 5:00 вторая
weko_
А у тебя и не понизилось
weko_
А я про пики говорю
Vort
пики я вижу только в количестве FF и это явно просто особенности очистки
weko_
Там тред 100% ел
weko_
Я рестартнул и перестало
Vort
100% может быть просто багом
Vort
хрен атакующий так просто отстанет из-за рестарта
weko_
Нет
Vort
или думаешь через тебя вход говна пошёл?
weko_
Вполне возможно
weko_
Если это транспорт, то он улетел из памяти
weko_
И возможно пидор его больше не создаёт
weko_
Туннель тоже может не делать повторно
Vort
интересно. то есть может быть два эффекта - прямой и через флуд
Vort
логично в принципе
Vort
то есть, кому прёт напрямик, то грузит сильнее
weko_
[05:12:14] <Vort> или думаешь через тебя вход говна пошёл?
weko_
Я это уже несколько раз повторил
weko_
Естественно не только через меня, возможно роутеров много
weko_
Куча раз уже был разговор про возможность удалённо насрать RI на любой роутер
weko_
При чём есть несколько способов
Vort
я видел и пики. но как-то редко и подумал, что может быть дело в моей активности
Vort
или в сбросе профилей на диск допустим
weko_
Один тогда поправили вроде
weko_
Остальные то остались
weko_
Суть то в том, что как можно так быстро и резко просто флудом заполонить сеть гавном?
weko_
Либо много роутеров, которые это делают намеренно, либо "инъекции"
Vort
я деталей работы i2p не знаю. но если нет на входе проверок, то почему бы и нет
Vort
принять, а потом вычистить - это кривой подход
weko_
Нету
weko_
Сейчас я тебе скажу пример
Vort
мне кажется, что не стоит думать о том, куда говно кладётся. надо думать на уровне протокола. просто положить говно - это уровень школоты
weko_
Тут вопрос что мы так вообще не должны принимать
weko_
Ну либо принимать но не использовать
weko_
Vort: это в i2pd код
Vort
у нормального хакера будет свой клиент
weko_
[05:17:54] <Vort> принять, а потом вычистить - это кривой подход
weko_
Нормальный, иначе профилирование не будет работать. А тут как раз оно и требуется, ну в плане нужно нормальное.
weko_
Vort: да при чём тут клиент
weko_
Говорю в i2pd код который сосёт RI со всех подряд
weko_
Хоть сотню тысяч штук
weko_
SSU2Session.cpp, строка 1504
weko_
Понимаешь о чём я?
weko_
10000 таких блоков напихать
weko_
И вот у тебя уже 10000 RI
weko_
И ладно если это мусор пришёл
weko_
Так могут прийти майорские роутеры
weko_
И вот уже шанс перехвата туннеля вырос значительно
weko_
А ещё i2pd ловит не шифрованные RI с OBEP и IBGW и кладёт в базу
weko_
Делаем туннель где мы одна их этих ролей и спамим RI
weko_
Profit!
weko_
Ещё при построении туннеля нам владелец сообщает ident следующего роутера - мы его разрешаем на флудфилах. Не так плохо как передача RI напрямую, однако, думаю может использоваться
weko_
Конкретное место в коде я пока не что не нашёл, но лось неоднократно говорил про это
weko_
А ещё лось говорил что есть практика отправки на OBEP того RI, на который хотим сделать запрос
Vort
"<weko_> Говорю в i2pd код который сосёт RI со всех подряд" помню похожее обсуждение. видимо, и в "плане" от 30 числа об этом речь
weko_
Но мы уже обсудили что это херня и такого быиь не должно
relaybot
13pizdabol: Опять атака ?
Vort
очередная волная, да
Vort
скорее всего, такая же, как вчера
Vort
волна*
weko_
На последнем коммите успешно чистится
relaybot
13pizdabol: Да, но tcsr очень низкий
weko_
7%
Vort
weko_: на мой взгляд, важно обдумывать фильтрацию. критерии, по которым можно определять качественность RI. используя любые данные я имею в виду
weko_
Лучше чем 1%
relaybot
13pizdabol: 1%
Vort
pizdabol: потому что не все обновились скорее всего
weko_
Vort: без обращения по адресу в RI полноценно это не сделать
Vort
а придётся, скорее всего
Vort
к примеру, 1 свежий ключ в час на IP
weko_
Соответственно не проверенные RI вообще использовать не должны
weko_
Vort: а не получится
weko_
[05:48:50] <Vort> к примеру, 1 свежий ключ в час на IP
weko_
И как ты определишь настоящий роутер? Ты же не хочешь всех побанить
Vort
ну один проверить так, как ты говоришь
weko_
Сейчас так и делаем
Vort
а остальные выкидывать нафиг в течении часа допустим
weko_
Вроде как в этом и смысл той таблицы
weko_
Которую лось добавил
Vort
там одинаковость ключей проверяется вроде
weko_
Там правда по s фильтрация, но смысл похожий
Vort
там скорее то, о чём ты говоришь
Vort
проверка соединением
weko_
Ничего не мешает дополнить
Vort
и кеширование результатов этой проверки
weko_
Да, но только один раз по сути
weko_
нуууу
weko_
А ты о чём?
Vort
о том, что и другие ключи тоже надо блочить
Vort
не проверяя
Vort
есть один ключ проверенный на IP, остальные - нафиг
Vort
не навсегда только
Vort
изредка надо перепроверять
weko_
Vort: ну сделай по ip
Vort
чтобы разрешать менять версии и т.д.
weko_
Версии можно без смены ключа менять)
weko_
Ну понятно что не навсегда
weko_
Вообще нельзя навсегда банить
weko_
В p2p
Vort
"Версии можно без смены ключа менять)" да юзеры просто грохают каталог и всё
Vort
как вариант - сделать очередь проверки, которая будет заносить в белый список проверенные узлы
Vort
пока не проверен - блочить
Vort
во время атаки проверка будет тормозить. ну, значит, новым юзерам придётся подождать
Vort
(примерная идея, конечно)
Vort
просто проверка ключей не говоря уже о проверке узла - это дорогая операция
Vort
и во время атаки эти операции надо экономить
Vort
потому что как припрётся миллион фейков в минуту - будет не до тщательных проверок
relaybot
13pizdabol: То есть вы хотите сделать такую же проверку но по IP?
Vort
чётких мыслей по крайней мере у меня пока что нету
Vort
опять IRC развалился. что же эта штука такая ненадёжная :(
Vort
очень странно вообще-то. флуд RI не должен приводить к дисконнектам
Vort
хотя... если надо постоянно обновлять лизсеты. вот тут я плохо понимаю суть
relaybot
13pizdabol: Я через xmpp.ilita мост сижу во время атак, он удачнее в этом плане. Нет возможности пропустить сообщение и ранг или поздно оно дойдет
relaybot
13pizdabol: Рано*
Vort
туда со всех серверов стекаются сообщения что ли?
Vort
вот сейчас кто знает что на irc.ilita.i2p происходит?
relaybot
13pizdabol: Во время атак только dev работает из мостов
Vort
orignal конечно может сказать опять что у него всё нормально. но я этого даже прочесть не смогу
relaybot
13pizdabol: На irc зайти не могу, 1% tcsr не даёт туннель собрать на vps
Vort
у меня туннели есть. нет лизсета
relaybot
13pizdabol: Сейчас ускоренно учу c++, что бы было проще читать исходный код и хоть что-то пытаться делать с атаками
Vort
что-то подозрения, что сам по себе серв irc.ilita.i2p навернулся. хотя бывало уже что по часу туда подключался
relaybot
13pizdabol: Вроде люди пишут
relaybot
13pizdabol: Но поймал сообщение из ru только через xmpp.trus
relaybot
13pizdabol: На другом мосту dev все ещё выглядит так будто ты сам с собой говоришь
Vort
там что - не показывается список юзеров?
relaybot
13pizdabol: Просто не показываются сообщения от relaybot'а, хз почему. А списка юзеров моста нету
Vort
да я не про юзеров моста, а про юзеров IRC
Vort
чтобы понять, что видит мост
Vort
пустоту или кучу юзеров
relaybot
13pizdabol: Не знаю, вроде нет такого функционала
Vort
жаль
l13kdsa
блмн, чёт опять за ночь всё подохло
Vort
6 часов вроде новая волна атаки идёт
Vort
и по виду она не сильно от вчерашней отличается
Vort
значит, вчера вечером атаки уже не было
l13kdsa
если что, роутер обновил как увидел новые коммиты
Vort
да я уже сомневаюсь в эффективности последнего изменения
Vort
роутер принимает клоны, а потом чистит
Vort
но за этот промежуток времени они, похоже, успевают навредить
l13kdsa
1722739 warn - Transports: RouterInfo not found, failed to send messages за почти 7 часов
Vort
другого объяснения пока не вижу
Vort
я warn не включал
relaybot
13pizdabol: А у нас блок на эту проверку есть ?
relaybot
13pizdabol: Может так же ставить unreachable при таких ошибках ?
Vort
что-то мне не кажется, что unreachable мало ставится
relaybot
13pizdabol: L13kdsa, можешь скинуть команду которой ты это выбираешь
l13kdsa
А, да, только это будет долго работать на жирном логе:
l13kdsa
watch 'cat .i2pd/i2pd.log | cut -d'/' -f 2 | sort | uniq -c | sort -nr'
Most2
08.<rattea> Время есть)
l13kdsa
вообще надо бы ещё таймштампы парсить, по часам хотя бы, так может было бы лучше, но это не особо помогает, анализировать i2p это как искать что-то на дне грубокого океана
Vort
можно и анализировать. но надо много времени потратить, чтобы понять, что всё это значит
Vort
полноценный мониторинг тут давно требуется. никто не сделал. общедоступный имею в виду
l13kdsa
мне кстати не нравится, что с некоторых роутеров слишком (в 1.5 раза) больше ошибок связанных с очередью SSU2
l13kdsa
139634 warn - SSU2: Outgoing messages queue size to eZ4OoWX67XX6vg-4IselGdr3WfJqjRqwAosDFLUHTJ4= exceeds 500
l13kdsa
103093 warn - SSU2: Outgoing messages queue size to h673joKXdFaER7ip9NJczQvOzONobjfX4~P0QMEkgQ0= exceeds 500
l13kdsa
вот пару из них
relaybot
13pizdabol: Ну можно настроить логирование а какую-нибудь бдшку по типу clickhouse и там уже крутить
Vort
по-моему, подобные проблемы и раньше были. до масштабных атак то есть
relaybot
13pizdabol: Главное распарисить правильно
Vort
сейчас же важнее понять, что именно к атаке относится
Vort
главное - выложить в онлайн и поддерживать доступность
Vort
хотя бы самое примитивное - TCSR, Routers, Floodfills, трафик, транзиты
l13kdsa
ну так, с разных роутеров разный результат обычно)
Vort
так даже с одного было бы ценно. но нету
Vort
чтобы понимать "это только у меня всплеск или нет"
l13kdsa
примитивное я кстати хотел выкладывать в чат раз в N'минут в чат, но это засирание чата
relaybot
13pizdabol: Для этого надо общедоступный сервак
Vort
не надо в чат
relaybot
13pizdabol: И опять же это снизит анонимность роутеров
Vort
надо что-то наподобие i2p-metrics.np-tokumei.net
Vort
только раз в 10 детальнее
Vort
"снизит анонимность" - атакующему не сложно собрать такую статистику
relaybot
13pizdabol: Vort, ну можно сделать кстати
relaybot
13pizdabol: В этом я подкован чуть больше чем c++ и i2p
Vort
есть вариант сбора парсингом веб консоли
relaybot
13pizdabol: Да, хотел предложить такой вариант
Vort
и есть вариант через протокол. забыл как там его. i2pcontrol что ли
Vort
ну и логи
Vort
этого предостаточно
l13kdsa
кстати говоря, зато зацените как легко сделать так: w3m 127.0.0.1:7070 -dump | grep 'Routers'
relaybot
13pizdabol: Vort, если поможешь разобраться с этим протоколом то можем и через него
Vort
пример есть в github.com/i2p/i2p.itoopie
Vort
ну там много чего нету. поэтому веб всё равно парсить надо
Vort
или добавлять в протокол самостоятельно (форк делать)
Vort
я же не спешу парсер веб консоли делать из-за проблем с потокобезопаностью. но polistern говорила что у неё проблем не было (если я правильно запомнил)
l13kdsa
> i2p-metrics.np-tokumei.net < Ну... вон графики строить сложновато, а какие-нибудь простейшие сортировки\группировки вполне
Most2
08.<rattea> Vort, а какие там данные есть ?
Most2
08.<rattea> Для графиков можно metabase завести
Most2
08.<rattea> Или графану
Vort
rattea: в i2pcontrol? ну трафик точно есть
Vort
да оно много чего можно. но никто не сделал просто
Most2
08.<rattea> Ладно, посмотрю что там есть и что можно сделать
Most2
08.<rattea> Начну с этого протокола, если все понравится, то форкну этот репозиторий и допишу сборку логов
Most2
08.<rattea> И парсинг вэба
Most2
08.<rattea> К счастью с java имел дело
l13kdsa
может вообще сразу, любой желающий (по запросу) чтобы мог отправить свой лог в реальном времени на сокет сборщика, правда логи даже в режиме error с 3-5 роутеров это жирно
l13kdsa
:D
l13kdsa
рейт растёт, с 2% до 4
l13kdsa
ой ёй, 800 мегабайт peerProfiles
l13kdsa
Vort: "не знаю что там на линуксах, но винде это не нравится", на линуксах это может слегка подтормаживать при открытии, если выполняется stat для каждого файла\каталога
l13kdsa
А вообще, если рамы много, то пиры можно засунуть и в подмонтированную папку tmpfs в раме
relaybot
13pizdabol: l13kdsa: может вообще сразу, любой желающий (по запросу) чтобы мог отправить свой лог в реальном времени на сокет сборщика, правда логи даже в режиме error с 3-5 ро <clipped message>
relaybot
13pizdabol: утеров это жирно
relaybot
13pizdabol: Можно же не чисто логи отправлять, а уже обработанные данные
relaybot
13pizdabol: На же не так важна высокая детализация как количественно-временные и временные характеристики
Vort
хакер тоже сможет что-то отправить. это разве что от доверенных людей только принимать
Vort
хотя я по-прежнему считаю, что даже с 1 узла данных будет достаточно
l13kdsa
я и уточнил в скобках, по запросу, а то так конечно, говна в сокет накидать легко)
Vort
надо только проверить будет по каталогам - вдруг кто-то уже сделал такой сервис, но мало порекламировал и мы не знаем
l13kdsa
я лишь горазд на такие штуки, не более:
l13kdsa
while true; do w3m 127.0.0.1:7070 -dump; sleep 1; done | grep -E 'Tunnel creation success rate|Routers|Received|Sent|Transit:'
Vort
графану настроить несложно. как и mysql (или ему подобное)
Vort
самому писать надо по сути только сборщик
Vort
инструменты для хранения и отображения уже есть
relaybot
13pizdabol: 3830318 transports ri not found
relaybot
13pizdabol: 2327911 NetDbReq: No outbound tunnels
relaybot
13pizdabol: 1227858 BetDbReq: No inbound tunnels
relaybot
13pizdabol: Vort, да инструменты есть нужен сборщик который превратит 2gb логи во что-то менее тяжёлое
Vort
их в реальном времени обрабатывать надо
Vort
можно даже выкидывать потом
Vort
можно же логировать не в файл, а в stdout
Vort
и завернуть этот stdout в сборщик
l13kdsa
ну да i2pd --loglevel warn --daemon 0 | socat - TCP:ygg_addr_for_example:12345 :)
relaybot
13pizdabol: Vort, лучший вариант
relaybot
13pizdabol: Атака где в 2 ночи по UTC началась
l13kdsa
ну, вообще, пока логгера не нашли, могу чисто for science выложить аутпут по краткой сводке из веб консоли по команде выше, в сокет через ygg, надо кому?
l13kdsa
ну, я имел ввиду, что это просто shared сокет, подключаетесь к нему и в реальном времени вам строчит каждую секунду
relaybot
13pizdabol: l13kdsa, за несвязанными точками я и сам могу посмотреть...
relaybot
13pizdabol: За день логов уровня warn 2 гига натикало
l13kdsa
попытка логгировать и анализировать хаос однако...
Vort
важна история изменения параметров
Vort
поэтому ещё одна важная особенность - это выбор стабильных параметров для логирования
Vort
то, что лучше всего характеризует состояние сети и то, что скорее всего никто не уберёт в очередном релизе
Vort
кстати, ещё один важный источник (4й после логов, вебконсоли и i2pcontrol) - это netdb
Vort
надо бы к примеру следить за динамикой congestion caps
Vort
вполне вероятно что одного этого параметра будет достаточно для отслеживания атаки
l13kdsa
так капсы не часто меняются вроде?
Vort
не знаю насколько часто. так и не разобрался ещё
Vort
но если бы вообще нечасто менялись, тогда в congestion не было бы смысла
Vort
я думаю, там точность где-то минут 10
Vort
а если взять 10 тыщ роутеров, так вообще с точностью до секунд можно словить начало атаки. наверно )
relaybot
13pizdabol: Vort, тогда надо все уменьшить до просто парсинга web консоли
Vort
ну я имею в виду congestion не конкретного узла со статистикой, а по всей netdb
Vort
этого в консоли нету
Vort
можно конечно вначале добавить, а потом парсить консоль :D
relaybot
13pizdabol: Пхпхпхпх
l13kdsa
без какого-то routersinfo.exe netDb бесполезно анализировать?
l13kdsa
правда, всё же, а толку от отлавливания факта атаки, если ей ничего нельзя противопоставить, чтобы схлопнуть её? А то, так каждый раз, ночью или днем говна накидывать будут, чтобы сеть нормально не
l13kdsa
работала
l13kdsa
ну, только разве что, будет сервис по типу downdetector
relaybot
13pizdabol: Ну в целом что-то такое и получиться
relaybot
13pizdabol: Графики нарисуем в реалтайме они будут крутиться
weko
[06:16:44] <Vort> опять IRC развалился. что же эта штука такая ненадёжная :(
weko
Скорее сетевые проблемы
weko
[06:17:17] <Vort> очень странно вообще-то. флуд RI не должен приводить к дисконнектам
weko
Очевидно, что ведёт
l13kdsa
да, ирка-то кстати надёжная, вон в локалке сервер поднять и он никогда не дисконнектнется
l13kdsa
было бы ещё быстрее, если бы gzip поддерживался нативно
Vort
l13kdsa: можно свой парсер написать. но проще взять java i2p, там есть нужная команда
Vort
l13kdsa: без понимания сути атаки невозможно спланировать защиту
Vort
"<weko> Очевидно, что ведёт" механизм пояснить можешь?
l13kdsa
Если это напорная атака, то разве можно защититься? в i2p нет фичи antiddos к сожалению
l13kdsa
в blackhole трафик не отправишь
Vort
ну вот эти фейки-клоны они эксплуатируют баги и недоработки
Vort
от чистого трафика действительно защититься сложно
Vort
для начала надо чтобы сеть сама себя не ДДоСила
l13kdsa
но, вот загвозда, это же фича i2p) постоянный шум)
Vort
клонирование мусора - это баг
R4SAS
пойду проверю чего не так с irc.ilita.i2p
R4SAS
поднял, ожидаю когда поднимутся туннели
l13kdsa
эт наверное надолго
l13kdsa
А нет, быстро
orignal
Vort мне не понравилось то что это там на хуй не нужно
orignal
все есть внутри openssl уже
orignal
зачем переделывать legacy код?
orignal
запилите кто нибудь таблицу по endpoint аналогичное что я сделал по статическму ключу и все
tetrimer
Похоже, это и есть один из векторов атаки:
tetrimer
153 /var/db/i2pd/netDb/rG/routerInfo-GrNIcU3T67HbAYk2GKJEs4fAMZd86osy0jo98gv7dnk=.dat
tetrimer
178 /var/db/i2pd/netDb/ru/routerInfo-u5zECr5LvNZu6mjw7T0tiNYsZp1eCD54jA5lv5sArOU=.dat
tetrimer
192 /var/db/i2pd/netDb/rZ/routerInfo-ZaJo~SAEj~BaQCe8h3gWl4oe2DxHu5shsTrLBcTb77U=.dat
tetrimer
194 /var/db/i2pd/netDb/rn/routerInfo-nvSMIGMhfFsK8XA1dqVdw3cHR1MD1Oo42mqPaYSZ8og=.dat
tetrimer
204 /var/db/i2pd/netDb/ru/routerInfo-uxv2AfCRyOxkGy0CYQfmzvOlr1KVfOememNzDCyjODU=.dat
tetrimer
218 /var/db/i2pd/netDb/ru/routerInfo-u8MJPHpgzuV07TwPjPdbsm--JUEG9wWlZiW2k82iM6M=.dat
tetrimer
222 /var/db/i2pd/netDb/ru/routerInfo-u9yrNQ229W~qg72dh8FDWxHJ7AhMgB3RbJzI8qzkpx0=.dat
tetrimer
Первое число - повторы за сегодня с 10:00МСК
tetrimer
На двух разных серверах - поведение аналогичное, но имена файлов - не повторяются...
Vort
отвлёкся на полчаса и обнаружил что i2pd сожрал 2 GB RAM
orignal
вот потребление памяти надо смотреть где
Vort
по показателям ничего необычного. единственное что необычное - это я полчаса смотрел видео - нагрузка на CPU была выше обычной
orignal
ну так где это 2 гига?
orignal
явно в какой то очереди
Vort
небось те же всплески которые были без атак
Vort
ну как вариант
Vort
сейчас сброшу рабочий набор - гляну, активно ли используется эта память
orignal
у меня появилась идея фильтрации
orignal
если говно прет через тоннели то на OBEP ловить DatabaseStore и смотреть
orignal
на предмет того есть ли там IP адреса
orignal
если они там то почему они передаются через тоннель а не напрямую
tetrimer
Надо повторы отстреливать.
orignal
повторы чего?
tetrimer
Я выше показывал запросы к несуществующим записям в netDb
l13kdsa
15.1% [299.6 MB] рамы юзает щас
Vort
ну если надо что-то потестировать - проверю. писать же такой код я пока что не готов
Vort
l13kdsa: значит, это последствия просмотра YouTube :)
orignal
ну и о чем это говоит,
Vort
сбросил WS, пока что до 400 мегов дополз
orignal
только о том что другая жертва пытаеся строить тоннели
orignal
для начала я предлагаю отключить ловлю роутеров на OBEP и IBGW
tetrimer
Забивают условный "кэш", дергают файловую систему, в общем - жрут ресурсы.
l13kdsa
но, зато снова peerProfiles 800 мегов
orignal
это же просто запросы в сеть
tetrimer
orignal: Это же чей-то ответ на попытку открытия файла. :) Значит, как минимум, дернули fopen() и прочее.
tetrimer
Ну и пухнут директории netDb и peerProfiles - тоже неспроста. Где-то роутер на автопилоте - сожрет все пространство...
orignal
какого файла о ченм ты?
orignal
поиск в памяти же делается
l13kdsa
такс, щас я попробую открыть 6 гигабайт логов
orignal
нету в памяти запрос в сеть
orignal
все
Vort
orignal: он наверно о тех ошибках, про которые я говорил
l13kdsa
ничего интересного кроме дофигища RI not found на первом месте в топе варнов
tetrimer
orignal: RouterInfo: Can't open file - это, типа, понарошку?
Vort
да, точно о них :)
Vort
и я об этом тоже пару дней назад писал
Vort
атака этот баг проявляет
l13kdsa
7086 error - RouterInfo: Can't open file
orignal
это какая то отдельная бага
l13kdsa
немного
Vort
может, это и мелочи, но тоже по-хорошему, надо чинить
orignal
надо
orignal
это же просто буфер читается по запросу
orignal
а почему он не записался ну значит какие то проблемы с ним
Vort
orignal: может ли распухание RAM быть из-за сброса профилей на диск?
orignal
каким образом?
tetrimer
Это в случае медленной файловой системы.
Vort
уже почти час сброс идёт. наверно же какие-то структуры данных в этом участвуют
tetrimer
Но это надо сильно много писать...
Vort
так полмиллиона файлов ведь
Vort
или может процесс сброса мешает каким-то другим задачам
orignal
там же ничего нет при сбросе
Vort
может они ждут пока сброс завершится
tetrimer
find /var/db/i2pd/peerProfiles.del/ | wc -l
tetrimer
77656
tetrimer
Откуда там полмиллиона?
Vort
tetrimer: аптайм сколько? флудфил?
Vort
о, ещё и 30% CPU начало жрать что-то
l13kdsa
так это нормально наверное
l13kdsa
у меня так же
orignal
ну нет там ничего при сбросе
Vort
надо опять рабочий набор сбрасывать. нагнало опять 1.7 гигов
l13kdsa
главное не 101%
l13kdsa
оу, 1.7
tetrimer
Флудфилл, но аптайм - небольшой. Я уже сегодня пару раз перегружал: менял параметры.
orignal
лучше давайте сбор роутеров с концов тонелей отключим
Vort
tetrimer: сброс профилей идёт раз в 6 часов вроде бы
Vort
в общем, в сумме сейчас i2pd у меня сожрал 2.6 гиг. часть в своп ушла потому что я рабочий набор сбрасываю
Vort
а сброс профилей похоже уже завершился
orignal
это самое первое что надо сделать
l13kdsa
но, вообще, по хорошему надо отключать роутер, так будет быстрее
l13kdsa
но, пожалуй сделаю автодроп peerProfiles когда достигнет 500 мегабайт
orignal
weko Crypto.cpp строка 309
orignal
сделаешь для s ?
tetrimer
Причем если с утра в первую очередь распухал peerProfiles, то сейчас наоборот: быстро пухнет netDb, а peerProfiles - занимает какие-то жалкие 41К.
orignal
точнее давайте ка я сам
Vort
теперь i2pd начал худеть. вначале с 2.6 до 2 гиг упало, теперь с 2 гиг до 800 мегов
orignal
точно где то очередь
Vort
tetrimer: я же говорю профили через 6 часов сбросятся
orignal
и очередь эта в netdb
weko
[06:53:11] <Vort> но за этот промежуток времени они, похоже, успевают навредить
weko
Важно только количество, конкретно отношерние нормальных к гавну
Vort
i2p::util::Queue<std::__1::shared_ptr<i2p::I2NPMessage const> >::GetNonThreadSafe 2.97s 2.97s 30.11% 30.11% i2pd [unknown] 0 0x13fb4e2bf
l13kdsa
странно, ведь netdb редко разрастается
Vort
это о чём-то говорит?
weko
[07:09:46] <Vort> полноценный мониторинг тут давно требуется. никто не сделал. общедоступный имею в виду
weko
Конечно
weko
[07:16:53] <Vort> и есть вариант через протокол. забыл как там его. i2pcontrol что ли
weko
Я думаю надо будет расширять его значительно
l13kdsa
о отвал
Vort
так-так
l13kdsa
ну спасибо хоть игг с тором работает
Vort
не переполнилась ли ещё где-то RAM
Vort
"<weko> Я думаю надо будет расширять его значительно" - для нормального мониторинга однозначно. и проверить чётко на "гонки", чтобы не крешило
Vort
в общем, если триггером жирения был сброс профилей (а может и просмотр видоса), то 6 часов можно не беспокоиться
l13kdsa
Tunnel.cpp: // TODO: possible race condition with I2PControl
l13kdsa
RouterInfo.cpp: m_Addresses = addresses; // race condition
l13kdsa
в коде)
Vort
l13kdsa: спасибо
Vort
я так и думал
orignal
значит сброс профилей надо выносить в отлдельный тред через ыевЖЖфынтс
Vort
а не крешит у тех кто использует просто из-за везения
orignal
std::async
Vort
ну это не точно про сброс. надо чтобы ещё кто-то проследил. лишь бы нвыков у этого кого-то хватило
orignal
мне тут все не давало покоя почему ygg-only опчти не подврежено атакам
orignal
и я нашет ответ
Vort
Floodfills: 1308 - нетипично для атаки. или это последствия моего пика RAM или атаку остановили
l13kdsa
ну как из мема в вики 2.5 землекопа?
Vort
SSU2 ?
orignal
а ответ в том что они никогда не бывают OBEP и IBGW
l13kdsa
найс
orignal
то же самое будет и для ipv6-only
l13kdsa
всё, пошёл я на v6, или?...
Vort
полезная информация
orignal
<orignal> лучше давайте сбор роутеров с концов тонелей отключим
orignal
порробуйте кто нибудь проверить
weko
[09:32:25] <Vort> "<weko> Очевидно, что ведёт" механизм пояснить можешь?
weko
Больше RI => меньше TCSR и чаще дохнут туннели => больше дисконектов
orignal
это в файлах TunnelEndpoin.cpp и Tunnel.cpp
orignal
думаю атака закончилась потому что у меня наступило утро ))
Vort
да атакующий, похоже, приметил что orignal проснулся и вырубил атаку
orignal
он приметил еще кое что
l13kdsa
оригнал просыпается мафия засыпает
weko
[09:33:00] <l13kdsa> Если это напорная атака, то разве можно защититься? в i2p нет фичи antiddos к сожалению
weko
Почти на всё можно навесить антидудос. Остальное - хз, возможно тоже можно. Там вопрос не уменьшить анонимность
orignal
что остальные то тоже в EST
orignal
да просто ддос это на уровне оси можно сделать
orignal
обычным failtoban
Vort
ещё есть вариант, что проблема с RAM - это следствие конца атаки. вишенка на торте, блин. но тогда бы у всех такое было правда, а не только у меня
orignal
у меня не было
Vort
я и в конце прошлой атаки замечал аномалии. но наверно показалось
weko
[11:51:14] <orignal> если они там то почему они передаются через тоннель а не напрямую
weko
Несовместимость по транспортам?
orignal
ну да
orignal
обычно на флудфил кидают напрямую
orignal
кстати еще вариант что у них рабочий день закончился
orignal
на ДВ или у кенгуру
weko
[11:53:44] <orignal> для начала я предлагаю отключить ловлю роутеров на OBEP и IBGW
weko
Да. И блок RouterInfo в транспортах желательно, хотя бы лимитировать
Vort
атака кстати началась в час ночи UTC
Vort
и усилилась в 2 часа ночи
orignal
утро астралии
orignal
в это время открывается ASX ))
l13kdsa
ох уж эта тайминг атака
relaybot
13mauzer: аукус отакуэ
weko
[12:11:07] <orignal> точнее давайте ка я сам
weko
Так делать или нет?)
orignal
уже заокммитил )))
Vort
эм.. это другое,
Vort
? или нет?
orignal
что?
weko
[12:25:08] <orignal> а ответ в том что они никогда не бывают OBEP и IBGW
weko
А ещё не флудфилы, и мало транзита. Но вполне вероятно, что это причина. Стоит убрать
Vort
короч я о другом подумал
Vort
думал речь про "сбор роутеров с концов тонелей"
l13kdsa
disk write bytes 8.7 MB/s
l13kdsa
очень сильно наваливает peerProfiles
l13kdsa
прямо сейчас
Vort
l13kdsa: 6 часов с перезапуска прошло, да?
orignal
weko достаточно убрать с OBEP
orignal
тем более что уже все равно в этом нет смысла
orignal
потому что я в новой весии отправляю шифрованные
weko
[12:44:00] <orignal> потому что я в новой весии отправляю шифрованные
weko
А старые роутеры - нет
orignal
счас сделаю минут через 20
weko
И хакер тоже нет
Vort
а проверка ключей это полезно. если опять попрёт говно - пересоберусь
orignal
ну не будет ловиться подумаешь
weko
Я бы глянул но чуть позже
orignal
ну понятно что он тоже начнет сбрасывать бит со временемс
l13kdsa
а я его не рестартанул, я ещё не ставил ещё один очередной коммит) Uptime: 12 hours, каталог я недавно чистил, решил попробовать прямо в рантайме не выключая
l13kdsa
Vort:
weko
orignal: надо полностью выпилить эту "фичу"
Vort
l13kdsa: 6 + 6 часов
l13kdsa
1 гиг
Vort
l13kdsa: где-то полмиллиона файлов за 6 часов у меня набирается. то есть, за один сброс
Vort
эту мелюзгу не так просто измерить
Vort
лучше на количество смотреть
l13kdsa
да проблема ещё в том, что оно в большом количестве начинает жутчайше тормозить и грузить проц
Vort
l13kdsa: наверно 6 часов - это многовато. я ещё тогда, когда это было сделано, сомневался
Vort
раз в час будет норм
l13kdsa
ну, особенно учитывая моменты, когда в peer начинает сыпаться тоннами
Vort
оно и без этого всплеск давало, я видел на графиках
Vort
но решил не акцентировать внимания, так как других проблем хватает
orignal
так надо запись профилей в отдельном треде сделать std::async
weko
Тут скорее вопрос в а) количестве файлов б) количестве сохраняемых профилей
Vort
суть в том, что компам лучше переносить размазанную нагрузку. но конечно сама по себе идея верна. только надо настроить интервал
Vort
чтобы и диск побересь и всплесков сильных не делать
Vort
поберечь*
l13kdsa
или как-то вычислять интервал очистки в зависимости от того сколько требуется записать
l13kdsa
Но, это сложнее звучит)
l13kdsa
для каких-нибудь жирных впскок и компов нормальных это может быть и ок, но вот на малинке крякнет быстро думаю
weko
Вопрос ещё уменьшить количество записей профилирования. Если кратко, то алгоритм максимально прост: если значения профилирования близки к 0 (нейтральные), то можем удалять, потому что они являются умолчательными. Ну и все числа медленно движутся к 0 со временем
weko
(мы медленно "забываем" про хорошие и плохие роутеры, ввиду непктуальности этой информации)
Vort
weko: баланс нужен, в общем. можно по науке изучить, а можно просто поменьше интервал поставить
weko
Это не всё, но одно из самых важных
weko
Vort: ну да
weko
Дальше нужен уже некий анализ по IP адресам и тд
l13kdsa
главное чтобы по клирнетовским, остальные не имеет смысла, они толком не анализируются)
weko
Самое главное - сейчас мы можем убрать сохранение "пустых" профилей - которые содержат значения, близкие к умолчательным
weko
l13kdsa: ну в ygg тоже можно деанонить вроде
weko
Карту сети построить вроде надо
weko
И обновлять
l13kdsa
да, но я имею ввиду, что рандом не сможет whois ip сделать, в этом плане
l13kdsa
Да я знаю, что он не анонимизирует
l13kdsa
я просто юзаю как секурный транспорт
l13kdsa
хотя, у игга есть пиры доступные через тор и тот же i2p
l13kdsa
но, скорость там конечно, мягко говоря оставляет желать лучше
l13kdsa
го
weko
Не очень много смысла от такого
weko
Больше смысла в i2p over ygg
l13kdsa
правда стоит учесть, что при переполнении канала у пира или у того кто подключен к пиру - коннект просто отваливается и снова приваливается
weko
l13kdsa: это вопрос уже профилирования и надёжности ygg
weko
Там ещё более очевидно что нужно делать
l13kdsa
Кстати, а ygg-only i2p можно через прокси? ну, может знаете отдельную ветку yggdrasil, она работает как socks5
weko
Транзита не будет
weko
Через ygf
weko
ygf
weko
ygg
orignal
так можно точно также на чистом ipv6
weko
orignal: делать или нет?
orignal
что?
orignal
да нет не надо счас сам сделаю
weko
Хорошо
orignal
если ты про выпиливание
weko
Про это
weko
Пошла нагрузка на тред NetDb
Vort
weko: аптайм случаем 6 часам не кратен?
orignal
усе
weko
Vort: нет
weko
17h20m
weko
На 30 метров во время нагрузки потребление памяти выросло
Vort
в очередной раз наблюдаю - после перезапуска - Floodfills: 6724
Vort
оно то вычистится, но как-то неаккуратно
orignal
так надо записывать
orignal
таблицу статических ключий
weko
Transit Tunnels: 14073
Vort
вопрос, почему оно лежало в netdb
Vort
это ж не свежее приплыло
Vort
это на диске было
orignal
почему ты думаешь что не свежее?
Vort
мало времени после перезапуска прошло
weko
Может быть свежее...
orignal
говномет работает быстро
weko
А сколько
orignal
я считаю что свежее
Vort
ну как будете перезапускать - заметьте сколько ФФ до и после
weko
Особенно если прямо в тебя направлен )))
weko
Vort: у меня нормально обычно
Vort
у меня ещё крешнулось традиционно, может в этом дело
Vort
weko: да только подгрузилось с диска, так сразу в консоли и увидел
Vort
у меня же долго грузится
Vort
пока грузится, консоль недоступна
weko
За это время могло налететь))
l13kdsa
щас обновлю
orignal
у меня обычно резко вздлетает потом падает
weko
У меня грузится секунды 3 вроде
Vort
"За это время могло налететь))" ну может .надо было посчитать файлы, не сообразил
l13kdsa
Floodfills: 2806 до
Vort
у меня была тыща до перезапуска по-моему
Vort
ну или около того
l13kdsa
блин, кусок кода удалён, а сходу и не скажешь, что именно он отвечает за OBEP, потому что в этом куске кода его нет в названии, а наверняка ссылается в другое место)
orignal
)))))))
orignal
шифровка
orignal
я просто больше не ловлю RI на OBEP
orignal
что тут непонятного?
l13kdsa
минута аптайма Routers: 7967 Floodfills: 2149
orignal
будет расти я думаю
Vort
значит, какие то проблемы у меня
orignal
где то полчаса
Vort
у меня наоборот. с вот тех 7к сползло уже до 2к
Vort
скоро и 1к будет
orignal
ну так у тебя уже достаточный аптайм
Vort
Uptime: 20 minutes Floodfills: 1789
l13kdsa
кстати, пытался завезти роутер в v6 до того как обновил, обнаружил что v6 вовсе не работает у меня, извне он недоступен, хотя указан
relaybot
13mauzer: абажди чутарик
relaybot
13mauzer: у меня тоже так было
relaybot
13mauzer: Uptime: 1 hour, 48 minutes, 40 seconds
relaybot
13mauzer: Network status: OK
relaybot
13mauzer: Network status v6: OK
relaybot
13mauzer: Tunnel creation success rate: 7%
relaybot
13mauzer: Received: 2,35 GiB (402,26 KiB/s)
relaybot
13mauzer: Sent: 2,67 GiB (479,86 KiB/s)
relaybot
13mauzer: Transit: 1,35 GiB (262,45 KiB/s)
Vort
Uptime: 30 minutes, Floodfills: 1254. прочистилось
orignal
лонично
weko
[14:08:31] <orignal> я просто больше не ловлю RI на OBEP
weko
А IBGW не может быть? Или там и не было?
l13kdsa
и так, 30 минут аптайма, 9 tcsr, Routers: 5281 Floodfills: 1117
Vort
роутеры с каждым перезапуском теряются :( так и до атаки было
Vort
мне как всегда кажется, что баг. а, может, это фича )
l13kdsa
и в принципе, в моем случае это нормально, потому что до всяких там атак примерно так и было, разве что рейт выше был
Vort
по моему пониманию, перезапуск вообще мало на что должен влиять
orignal
с IBGW атака невозможна
Vort
примерно как если кабель на минуту выдернул кто-то
l13kdsa
ну а как же автобан на 3 дня, если роутер плохо доступен?
Vort
да я следил за этим эффектом. колиество роутеров резко прыгает вниз через какое-то время после запуска. и больше такого эффекта в процессе работы нету
Vort
не похоже это на баны. хотя кто знает
Vort
все странности перепроверять надо. а их тут много...
Vort
Floodfills: 867. получается, реальных флудфилов не так и много осталось после атаки?
l13kdsa
Вопрос ещё в их доступности, мало кто ставит последний коммит наверное...
l13kdsa
хотя... ради ухода от атаки, наверно стоило бы и попробовать компилировать каждый раз новый коммит)
l13kdsa
1 час 30 минут Routers: 8597 Floodfills: 1252
user
Uptime: 3 hours, 14 minutes, 6 seconds
user
Routers: 11002 Floodfills: 1290 LeaseSets: 62
l13kdsa
я так понял, из адресной книжки, откроется только те сервисы, что обновили свой i2pd до новейшего коммита)
develion
кстати если у кого есть власть над aur i2pd-git, поудаляйте оттуда патчи чтоб собирался
l13kdsa
А что с ним? Он же просто собирает из гита судя по названию пакета
Vort
"Floodfills: 1252" "Floodfills: 1290" - вот вечно у меня что-то не так :) хоть бы до нуля не спустилось
l13kdsa
ну, как вариант можно потыкать рандомные сайты из адресной книги, но я не уверен что это помогает
l13kdsa
особенно сейчас, когда большая часть host is down
develion
l13kdsa: а можно пример хоста который down?
l13kdsa
ну, например та же кислица, только у меня не открывается?
Vort
Floodfills: 1183 - вернулось в норму. странно, что же это было такое
develion
l13kdsa: у меня кислица открылась
develion
правда очень долго идет коннект, но не сказать что прям невозможно достучатьяс
develion
надо при этом уточнить что у меня ipv4 = false, ipv6 = false, yggdrasil = true
Vort
работают сайты
l13kdsa
хм
Vort
во время активной фазы атаки на 3х хопах было 0 туннелей
Vort
теперь появляются время от времени
l13kdsa
for i in $(cat .i2pd/addressbook/addresses.csv | cut -d, -f 1); do echo "$i: $(curl --compressed --max-time 30 --head -s -x 127.0.0.1:4444 $i | grep 'HTTP')"; done вот типа так попинговать адресную книгу
Vort
можно или на 1 хоп перейти - там стабильно или ловить момент
l13kdsa
ладно, наверное на одном хопе будет яснее жив ли хост на той стороне или не очень
user
А что если, атака специально спланирована, что бы пользователи ставили короткие туннели...
user
Что-то паранойя разыгралась
Vort
user: а я думаю для того, чтобы на джаву переходили
develion
атаки это хорошо, чем больше атак тем меньше остается багов когда мы их фиксим
l13kdsa
ну да, не очень, я в принципе на анонимность последнее время особо не расчитываю, разве что главное чтобы шифрование не разваливалось
l13kdsa
уже столько демагогий повидал на форумах, с километровыми постами
user
Vort: Видимо дед развлекается...
ncop
Атаку организовал orignal, чтобы кто-то психанул и начал разбираться в i2pd. Ему скучно без деда. Не с кем и поговорить.
develion
пора делать новую реализацию, на сях
develion
но как-то необычно, чтобы код можно было читать и понимать
l13kdsa
кстати о хопах, опять outbound не строится, не удивительно что у меня отвал прокси
Vort
не везёт просто
weko
[14:41:33] <orignal> с IBGW атака невозможна
weko
Почему?
weko
[15:32:51] <Vort> Floodfills: 867. получается, реальных флудфилов не так и много осталось после атаки?
weko
Нет. Получается , что так получилось.
weko
[16:25:12] <user> А что если, атака специально спланирована, что бы пользователи ставили короткие туннели...
weko
[16:25:26] <user> Что-то паранойя разыгралась
weko
Скорее бред
weko
[16:28:08] <ncop> Атаку организовал orignal, чтобы кто-то психанул и начал разбираться в i2pd. Ему скучно без деда. Не с кем и поговорить.
weko
Ахахахахаха ахаххаха!))
l13kdsa
щас будет
l13kdsa
или не будет
orignal
ну а как ты себе мыслишь ее?
l13kdsa
кстати, интересно, а что будет если прогнать код i2pd через ChatGPT... шутка
Vort
не влезет
l13kdsa
да, нужно интерпрайс версию
l13kdsa
А точно, вдруг кто-то для атаки как раз прогнал через нейронку и спросил найти уязвимости (бред наверное)
Vort
даже специальные инструменты ничего интересного не находят
l13kdsa
наконец-то, раздуплился до 10% tcsr
l13kdsa
это я ещё на фоне пингую адресную книгу
Vort
TCSR зависит от количества хопов
Vort
на 1 хопе будет выше
l13kdsa
А, чёрт...
weko
Я думал как то про расчёт успеха на один туннель
Vort
я удивлялся как люди вчера получали TCSR 0%. потом понял что у меня есть 1 хоповые туннели
weko
Сложности возникли тогда
develion
у меня через иггдрасиль сейчас 28%
develion
хопы дефолтные
weko
Ну так понятно
orignal
кстати они флудфилы и с ygg клонировали
weko
orignal: 589-599 там похожий код, но остался
weko
Tunnel.cpp
l13kdsa
я просто с расчётом на то, надеясь, что ковыряясь в своем роутере и пытаясь пинговать других - улучшить связность сети
l13kdsa
ну, хотя бы на 1%
orignal
weko он для IBGW
l13kdsa
"получали TCSR 0%" наверное так будет если поставить 12 хопов
weko
orignal: так а почему там то оставлять можно?
weko
l13kdsa: у меня так в прошлый раз было
weko
И не 12))
weko
12 нельзя кстати
weko
8 максимум
l13kdsa
А, перепутал
l13kdsa
Ну короче да, логично, длиннее туннель, больше вероятность, что где-то он навернется
orignal
потому ты не знаешь зондируеющие тоннели у роутера
weko
orignal: так мы же через флудфилы lookup делаем
weko
Разве нет?
orignal
угу
orignal
ну так это только ответы
orignal
говномет ты так не запустишь
weko
Я могу создать туннель, где роутер жертва будет IBGW и с другого туннеля напихаю гавна
orignal
расскажи как
orignal
<orignal> потому ты не знаешь зондируеющие тоннели у роутера
orignal
они же не пбуликуются
l13kdsa
Routers: 11181 Floodfills: 1221 пока в норме
weko
А при чём тут они?
orignal
так в IBGW какого тоннеля ты будешь пихать?
orignal
если в IBGW дейстинейена там сразу дропаются
orignal
единстенная твоя возможность это пихнуть в IBGW зондирующего тоннеля
orignal
но они нигде не публтикуется
l13kdsa
Кстати, а зондирующий лучше делать подлиннее или покороче? Может это как-то будет помогать?
orignal
без разницы
weko
Тоесть IBGW знает, является ли туннель зондирующим?
orignal
нет не знает
orignal
ты не догнал
weko
как он определяет, когда отклонять
orignal
он не знает он шлет
orignal
но дестинейшин дропнет
orignal
так какой смысл туда говно лить
weko
Тут вопрос чтобы когда мы IBGW мы не получали RI
orignal
чтобы только атаковать IBGW?
weko
Ну да
weko
В этом и суть
orignal
логично
orignal
но это уже будущий вариант атаки
weko
Делаем туннель где жертва - IBGW и насылаем гавна, IBGW всосёт всё, а дестнейшен понятное дело отклонит
orignal
ну я понял
weko
[17:52:08] <orignal> но это уже будущий вариант атаки
weko
Возможно сейчас именно так и качают гавно, а не через OBEP. Два варианта, второй просто посложнее
orignal
счас проверим с OBEP дальше IBGW
weko
Ок
orignal
не ну говно качать по OBEP им придется по любому
orignal
не напрямую же они кидают
weko
Могут и напрямую с тора
weko
Хотя в таком случае при нормальном профилировании весь тор побанится ( но профилирования нету)
orignal
ну так о том и речь
weko
[17:53:55] <orignal> не ну говно качать по OBEP им придется по любому
weko
Ну дополнительная причина убрать "фичу"
orignal
напрямую и же говорю надо замерять чисто сообщени
weko
Надо
weko
Надо только продумать куда писать
weko
А в код добавить не сложно будет
weko
Но опять же лучше это в "dev" версию
orignal
это следующий шаг
l13kdsa
может просто выключить i2pd, и побыстрому глянуть в момент сразу после отключения, какие там к серверу айпишники подключены последними к нестандартным портам, хотя это абсолютный рандом
weko
Зачем
weko
Я тоже
weko
Зачем для этого i2pd выключать
l13kdsa
А потому что пока он включен, нихрена не понятно, посмотреть остаточное
weko
Так транспорты смотри
weko
Там все подключения
Vort
даже сортировка есть ))
Vort
и там можно найти интересные адреса Hetzner`а
Vort
наверно
l13kdsa
ну мало ли, может атакер следит уже за серверами всеми
l13kdsa
тыкается по всем портам
Vort
это было бы странно
orignal
зачем ему это?
weko
А толку
Vort
он пытается получить максимальный эффект минимальными усилиями
Vort
гоняться за каждым юзером - это сложно
weko
И имеет ли в этом смысл?)
Vort
не ну можно найти какой-то уязвимый сервис у кого-то и криптовымогатель туда всобачить. но это долго и сложно
l13kdsa
да ладно, забейте, просто сказал не к месту
Vort
это разве что если сейчас атака идёт по факту не на сеть, а на конкретный сервис
Vort
вот тогда автору сервиса надо быть поосторожнее. его в порты потыкать вполне могут
Vort
если найдут IP конечно )
weko
Кстати возможно это результат каких то разборок
weko
Среди гопоты всякой
Vort
ну да. вымогательство допустим. или дашь бабло или будем твой сервис ДДоСить
orignal
я так понимаю счас атаки нет?
Vort
это надо вначале найти юзера без последней версии :)
Vort
ну прыжков Floodfills по крайней мере нету
Vort
и значение в норме - 1.1к
orignal
счас у хохла спрошу
orignal
ух ты
orignal
че он показал
orignal
они клонирую и family вместе с подписью
orignal
а она разумеется фейлится
orignal
21:25:30@799/warn - RouterInfo: Family gostcoin signature verification failed
orignal
понятна мысль?
Vort
не особо. важно то, какой эффект от действий
l13kdsa
family, а ну доверенные роутеры, они наверное щас живее всех живых (если они только меж собой пирируются)
Vort
если они где-то тупанули, но сеть положили, то не особо важно, тупанули или нет
orignal
мысль в том что если проверка family фейлится значит клон
Vort
ок. вопрос в том, что "дешевле" проверять
Vort
тут идёт обмен ресурсов атакующего на ресурсы узлов
orignal
так когда роутер читаем все равно подпись family провряем
Vort
то есть, можно выкинуть пораньше?
orignal
так вот у stromycloud они все с подписью
orignal
и мощные
orignal
да можно выкинуть сразу
Vort
это я просто писал к тому, что надо думать о ресурсах. помнил, что проверка подписей - дело долгое. но раз всё равно проверять - тогда хороший вариант сделать это пораньше
Vort
меня беспокоит, что при сильной атаке может не хватить реурсов на тщательные проверки
Vort
так что об этом стоит подумать. хотя может такой сильной и не будет, кто знает
orignal
да проверка подписи счас почти ничего не стоит
Vort
хорошо
l13kdsa
ну как там, рейт у кого-нибудь растёт?
Vort
смотря с чем сравнивать
Vort
сейчас у меня 8%
l13kdsa
я вот думаю, может быть постепенно по мере роста tcsr удлинять хопы
Vort
мне кажется, что низкий TCSR сейчас - следствие мусорного транзитного трафика и мусорных туннелей
Vort
хотя может и эхо от атаки влияет
Vort
посмотрим, если не будет атаки и если больше юзеров обновится - может чуть повысится
l13kdsa
у меня 11%, но сейчас на http 1 хоп. Вот если есть способ ломать сеть, то должен быть способ как-то быстрее наладить связи с соседними роутерами
Vort
мне кажется, никто до конца не понимает, что с сетью происходит. ну вот эти клоны - это понятно. но когда нету клонов? всё равно же низкий рейт
orignal
у меня 15%
Vort
раньше говорили, что java не справляется. но их ведь около половины. а рейт нифига не половина
Vort
да и перегруженные роутеры сейчас должны пропускаться
l13kdsa
ну я вот теперь из книги беру и "пингую" 30 случайных сайтов, и многие уже хотя бы не отваливаются в таймаут и отвечают, но опять же, это наверняка спасибо 1 хопу на out
Vort
1 хоп даже во время атаки без исправления более-менее работал
Vort
сейчас так тем более
l13kdsa
Пытался пингануть всю адресную книгу кстати, одновременно (а не по очереди), так у меня OOM прибил скрипт и i2pd :D
weko
[18:32:45] <orignal> мысль в том что если проверка family фейлится значит клон
weko
Далеко не у всех есть "family", да и исправить они могут это
Vort
l13kdsa: баги, баги...
l13kdsa
не уверен что это баги, так вообще по хорошему делать нельзя)
Vort
ну сколько RAM надо на 1 запрос?
Vort
а запросов сколько?
l13kdsa
это создаёт много стримов в туннеле я заметил
Vort
там небось программа скачивающая сожрала RAM, а не i2pd
Vort
много процессов создалось, да?
l13kdsa
ну так, в книге 880 хостов, наверное curl в фоне для таких целей жирноват
weko
Помню заспамил i2pd огроменным количеством стримов, так i2pd грохнулся))) ну тут я сам дурак))
Vort
то есть, 880 копий curl одновременно? :)
weko
В SAM если быть точным
Vort
да тут наверно от curl`а глюкануло
l13kdsa
да, и параллельно ещё и i2pd досталось, как самому крупному процессу
Vort
можно проверить на клирнетовых сайтах, 880 штук =)
l13kdsa
хотя, наверное каким-нибудь асинком в питоне или thread не вылетел бы точно, спавн процессами жирноват
Vort
в линуксе попроще с этим, чем в винде, но предел тоже какой-то есть
Vort
а тогда уже мог бы i2pd вылететь из-за багов :))
Vort
хотя торрент у меня держит. но там не тысячи стримов, а сотни. при чём, полудохлых
orignal
weko я же говорю у stormycloud есть оно
orignal
само собой исправят
weko
family вообще бесполезная херня
weko
Даже вредная
orignal
тем не менее мы проверяем
l13kdsa
в секции с туннелями, много failed туннелей, в том числе однохоповых, но как-то работает на остаточном принципе
l13kdsa
туннелей на out*
orignal
Vort кстати я понял почему рейт низкйи
orignal
вот счас l13kdsa спросил я понял
orignal
"англичанка гадит" простите "джависты банят"
l13kdsa
а, реально XD возможно
orignal
раз failed значит не походит delivery status
orignal
а значит где то линк банят
l13kdsa
хотя, честно говоря, я думал i2pd отдаёт приоритет роутерам своим собственным, если конечно в инфе о роутере написано на каком он ПО держится
orignal
нет он этого не делает
orignal
а придется
Vort
отдаёт приоритет неперегруженным
Vort
а они вероятно i2pd
orignal
не всегда
Vort
точнее, так должно быть
orignal
джависты который забанили у себя половину сети тоже будут неперегруженными
Vort
а если роутер выглядит неперегруженным, но банит, то надо разбираться
Vort
я думал что они банят когда под нагрузкой
Vort
а не просто так
orignal
нет они именно просто так
l13kdsa
но, джава весит больше, жирней, может они всегда перегружены :D
orignal
и еще хвастаются что у них списки по 40K забаненныз
orignal
этого не знаю
Vort
жаль что профили приходилось чистить
Vort
может это тоже влияет
l13kdsa
казалось бы, много-много роутеров, но они в большинстве своём либо "оглушены" атакой или в случае джавы просто банят...
l13kdsa
С - стабильность
Vort
нерациональное использование ресурсов
Vort
только недавно хоть какой-то приоритет роутерам с жирным каналом стали отдавать
Vort
а один такой за сотню мелких может работать
Vort
и то, просто верим роутеру что он жирный
orignal
ну мы не верим
orignal
мы вообще то меряем
Vort
измерить бы, отбалансировать нагрузку. мечты.. ну, может, когда-то и будет
Vort
пинги?
l13kdsa
да, но какой эпичный спотыкач будет, когда он внезапно вырубается без graceful)
Vort
l13kdsa: это тоже измерять можно
Vort
сейчас i2pd слишком забывчивый. RI чистятся, профили чистятся. а этой информации можно много применений находить
Vort
конечно, если профили засираются атакой, то их и надо чистить. но вообще-то атаки быть не должно :)
Vort
по сути, надо развивать сортировку узлов по качеству
Vort
сейчас есть из чего выбрать, сильно анонимность не пострадает
l13kdsa
XfRG хороший капс, да?
Vort
как писал orignal, G - говно
l13kdsa
бля
l13kdsa
how fix it?
Vort
лимиты повыше поставить
orignal
значит он висит на останове
l13kdsa
Вроде по потреблению сейчас ок, fd даже не уперлись в лимит, сеть вроде окей
orignal
G значит не принимает тоннели совсем
Vort
количество транзита может упёрлось?
orignal
нет это E
Vort
хотя сейчас вроде волны нету
Vort
странно тогда
orignal
такое бывает про останове
orignal
или сам транзит отключил
l13kdsa
А, да, я ж транзит щас вырубил, думал так может туннели поменьше фейлится будут, чтобы джавистам не напрягать их роутеры
l13kdsa
и как ни странно, вроде пока всё established
l13kdsa
ну парочку фейлов разве что
orignal
ну так а чего тогда тебя G удивляет?)))
l13kdsa
не сразу въехал, пардон
l13kdsa
Хм, чисто теоритически, часть пользователей ушла на жаву, так что таких роутеров наверняка прибавилось
orignal
каких?
l13kdsa
ну, джава роутеров
orignal
джава вобще G пуликует?
orignal
наверное
l13kdsa
не влияет вообщем, фейлы стали появлятся во всех туннелях in out, особенно напрягает ломающийся исследовательский, без него же рисунок сети нормально не будет расти
l13kdsa
46 established 24 failed
l13kdsa
как-то так
l13kdsa
включил транзит, спустя время стало: 39 established 31 failed
l13kdsa
47 established 31 failed
l13kdsa
44 established 41 failed
l13kdsa
фейлы растут
l13kdsa
точно жава наверняка)
l13kdsa
35 established 48 failed иии... в итоге фейлы перевешивают
l13kdsa
как думаете, если форкнуть джава роутер без банов соединений, то как быстро прибъет OOM?)
l13kdsa
хм, это что же получается, если я буду активнее пытаться строить туннели, то буду ловить ещё больше фейлов
R4SAS
чего интересного сегодня?
l13kdsa
вроде не особо
R4SAS
не особо что?
WayBest
G - Gava?)