~AreEnn
~R4SAS
~orignal
~villain
&N00B
+Xeha
+relaybot
DUHOVKIN
Guest29533
HackerMan
Most2
Nausicaa
Ruskoye_911
Vort
`
acetone_
anon3
b3t4f4c3
fidoid
flumental
nemiga
not_bob_afk
plap
poriori
profetikla
segfault
soos
teeth
tensor
un
weko_
whothefuckami
weko
Почему SSU2Session а не на сервер?
orignal
потому что считает каждая сессия отдельно
orignal
ну или сделай общий в SSU2Server
weko
Так а если сессия закончится
weko
Там же на час вроде
weko
И ещё надо когда удаляется вычитать
weko
Сделаю позже сейчас другое дело
orignal
чего вычитать?
orignal
речь идет о том сколько раз тебя использовали в качестве инродьюсера
weko
А я думаю считать сколько сейчас именно
orignal
так чего сейчас я не понял?
weko
Для скольких роутеров мы сейчас интродьюсеры
orignal
а как ты это узнаешь?
orignal
только когда запросят
orignal
а так если входяшие с iTag значит может быть интродьюсером
weko
А понял
weko
Тоесть пиру её говорится что он интродьюсер
weko
Не*
weko
Запросы хз надо ли именно в морду
weko
В статистике будет полезно
orignal
у пира только запрашивается согласие
weko
А ну выходит что говорится
orignal
так не факт что он станет тебя публиковать как интредьюсера
weko
Тоесть могут просто запросить и всё?
weko
А зачем
weko
Если не использовать
orignal
чтобы иметь резерв
Vort
поставил себе чистую версию 2.48.0-15-g17c4038c. рейт 28%. мало. надо разбираться, почему
Vort
с моей only_r2 веткой было 55%. 28% это примерно то же, что было вообще до исправлений, связанных с U узлами
orignal
у меня вот везде резкое улучшение
Vort
запущу опять с логгером, может ситуация прояснится
Vort
вылез U узел без IP адреса даже на 1 хопе
Vort
попробую поотлаживать значит
Vort
orignal: при отсутствии IPv4 адреса в RI, RouterInfo::IsV4 должен false вернуть что ли?
Vort
или это IsPublished такую проверку делает?
Vort
хотя вроде начинаю понимать. IPv4 адрес на конце нужен только если этот конец на входящем туннеле?
Vort
то есть, для исходящего туннеля U на конце - это нормально и так и должно быть?
Vort
хорошо, что я логирование направления добавил. вот такое выловилось: [2023.07.14 02:13:19]: O T UU~bD5ViVubsW9zcdHlzWkBD~GVAK7afvW3fdhlBYyI=
Vort
UU~b - это XU без записи host (то есть, без адреса)
Vort
на всякий случай выкладываю коммит чисто с логгером. с добавленной индикацией направления (I или O): github.com/Vort/i2pd/commit/3846a16a75e0f1406fed4ca2897bdb4af3cd1c04
Vort
перезапустил узел с тем же коммитом 17c4038c, но с логированием - рейт с 28% поднялся до 49%. нездорово это
Vort
но в любом случае надо разбираться с транспортными коннектами вначале. причину прыганья рейта можно потом половить
Vort
сделал сбор статистики по исходящим SSU2 соединениям
Vort
S: 1567 (45%) | T: 1798 (51%) | TI: 115 (3%)
Vort
успех | таймаут обычный | таймаут интродьюсера
Vort
не так уж много проблем из-за самих по себе интродьюсеров. тем более, i2pd ломится к интродьюсерам даже тогда, когда узел доступен (R)
Vort
странное явление какое-то - очень сложно словить RI для таймаутов U узлов. это из-за того, что коннекты инициированы другими узлами (то есть, мой узел промежуточный хоп)?
Vort
(я вначале собираю лог, а потом сопоставляю с данными netdb)
Vort
получается, таймаутов много, но к каким узлам (R или U) они относятся в большинстве случаев понять не выходит
Vort
наверно надо просто дольше собирать данные и со временем кеш с RI наполнится как надо
Vort
ох и упёрто же i2pd бывает долбится к узлам с таймаутом
Vort
к одному из узлов он попытался подключиться 169 раз за 3 часа
Vort
i8wLZ-4JNWml4H4H55Q50xvXDCpSQNpBn2uM2~Bk6k4=
Vort
в пирпрофиле нули. разве что connected=true есть
Vort
получается, это запросы коннектов из-за транзита?
Vort
выкладываю статистику по SSU2 коннектам
Vort
рейт узла 51%. коммит последний + моё логирование: github.com/Vort/i2pd/commit/80da9c4f6665bcf5b0b9b5d12cc9817ceb03e4af
Vort
аптайм 4.5 часа
Vort
RI found: 13816 / 14349 (96.3%)
Vort
A | E: 10679 (34%) / T: 19613 (62%) / TI: 1185 ( 4%)
Vort
R | E: 8399 (38%) / T: 13339 (60%) / TI: 363 ( 2%)
Vort
U | E: 2148 (63%) / T: 641 (19%) / TI: 614 (18%)
Vort
? | E: 132 ( 2%) / T: 5633 (94%) / TI: 208 ( 3%)
Vort
? | (1.2%) (28.7%) (17.6%)
Vort
расшифровка символов: первый столбец: A - коннекты ко всем узлам (хоть нашёлся RI, хоть нет). R - коннекты к R узлам. U - коннекты к U узлам. ? - коннекты неизвестно, то ли к U, то ли к R (не нашлось RI)
Vort
E - успешно установлено соединение, T - таймаут обычный, TI - таймаут интродьюсера
Vort
промежуточные выводы:
Vort
таймауты интродьюсера всё же вносят значительный вклад в проблемы соединения с U узлами
Vort
успешность соединения с U узлами даже выше, чем соединения с R узлами
Vort
однако точность этих результатов под вопросом из-за 5633 неопознанных таймаутов
Vort
хотя, скорее всего, это таймауты к R узлам (так как туда идёт долбёжка как я понимаю)
Vort
так что пока что предполагаю, что таймауты туннелей через U узлы связаны не с таймаутами SSU2 соединений, а с чем-то другим
weko
Из в принципе дохера
weko
Что говорит об очень плохом профилировании
Vort
кого дохера?
weko
Таймаутов
Vort
тут же ещё из-за транзитов коннекты как я понимаю
weko
Ну да
weko
Я об этом же
Vort
то есть, профилирование может быть и в java не очень
weko
А тут хз
Vort
я не следил за причиной установки коннекта
weko
Корреляцию наверное можно попробовать сделать, но не думаю что хорошая идея
weko
Слишком много факторов
Vort
да, сложно локализовать
Vort
тут хоть бы что-то выловить достаточно надёжно...
weko
Ну я говорил что нужно
weko
Сделай корреляцию по реализации и версии протокола построение туннелей чистое (без профилирования)
weko
И с как можно большим кол-вом узлов на выбор
weko
Все что вообще возможно
weko
Таким образом, возможно, выловим какую то проблему
weko
Которая есть с какой то версии
weko
Или же убедимся что её нет
Vort
подозреваю, что профилирование сильно интегрировано в работу i2pd
Vort
по поводу массовой долбёжки несмотря на таймауты - похоже, основная цель - флудфилы
Vort
и что примечательно - для некоторых флудфилов это имеет смысл
Vort
проследил за одним из флудфилов. успешный коннект - в 20% случаев (примерно)
Vort
флаги NfR. похоже, следствие перегрузки
orignal
Vort IsPublished
orignal
IsV4 возвращает если там есть v4 в принципе
Vort
<Vort> то есть, для исходящего туннеля U на конце - это нормально и так и должно быть?
orignal
нет
Vort
ну так в коде только для входящего проверка IsPublished
orignal
но там может у него IP есть
orignal
а ну да конечно
orignal
для исхоящего можно главное чтоб ipv4
orignal
он же все равно будет только исходящие соендинения утсанавливать
Vort
окей, понятно
Vort
кто-нибудь рискнёт мне помочь и проверить два адреса - они онлайн или нет?
Vort
я проверил со своего компа и по онлайн сервисам. результат - не пингуется
Vort
но, может, у кого-то пройдёт коннект
Vort
2.60.56.79 (i8wLZ-4JNWml4H4H55Q50xvXDCpSQNpBn2uM2~Bk6k4=)
Vort
46.229.106.222 (TRQZ3nINxFbRY9T~HgiTLq-pFXLmR-PLc4fV2MCTuJA=)
orignal
а порт какой?
Vort
да можно просто пингануть. но сейчас скажу
Vort
46.229.106.222:23573
Vort
2.60.56.79:27056
orignal
пинги не пашут порты отвечают
Vort
окей, спасибо
Vort
мне показалось странным, что сеть упорно делает запросы на коннекты к этим адресам
Vort
вот график запросов по времени
Vort
у меня они недоступны. наверно мой провайдер глючит
orignal
даже и телнетом по порту?
Most2
06.<trusishka> хелло китти
Most2
06.<trusishka> ой не та конфа
Vort
да, и телнетом. но так как я ищу глюки в i2p, то локальный глюк мне сейчас не очень важен. разве что надо помнить о нём и исключать как-то из анализа
Vort
попробую сейчас разобраться, сколько в сети узлов, которые вообще не отвечают, сколько всегда отвечающих и сколько перегруженных
Vort
но для начала сделал ТОП по количеству записей в моём логе
Vort
i8wL на 12 месте. TRQZ на 20м месте
Vort
в кучке других недоступных (видимо) узлов. но то ладно
Vort
что меня заинтересовало больше, так это позиции #1 и #2
Vort
решил глянуть у себя вкладку транспортов и, мягко говоря, удивился
Vort
DtQs нашёлся 56 раз, F~Uz нашёлся 41 раз
Vort
orignal: это атака или очередная редкоиспользуемая фича i2p ?
Vort
или, может, вообще баг
Vort
может кто-нибудь глянуть - у него тоже будет уйма этих id?
Vort
F~UzS1mTN3XYlnOfidMBv5Z4lHI7dsCZ8N5mxpyc-OU=
Vort
DtQsGzkbeR3nilr6ZvywR2O7-f0XaaV~YfHXohqwjgI=
orignal
я думаю что баг
relaybot
13apophis: ...
Vort
orignal: у твоих узлов среди SSU2 есть размножение именно этих id ?
orignal
посмотрю
Vort
просто поиском браузера можно глянуть
orignal
но они же должны быстро сдыхать
orignal
мне счас некогда
Vort
да запросы целый день нон-стоп прут. какое там сдыхать
Vort
агаа. они все входящие
Vort
ещё загадочнее
Vort
всё больше подозреваю атаку
Vort
шанс что атакующий (если это атака) читает чат невелик, но всё же было бы хорошо если бы кто-нибудь проверил в ближайшее время свой узел
orignal
SSU2 или NTCP2?
Vort
SSU2
Vort
я NTCP2 сегодня не смотрел
orignal
ладно починим
Vort
атакующего? :))
Vort
вариант #1 баг #2 атака #3 я мог поломать что-то логированием
Vort
вырубалось электричество у меня. а так как сбор данных прервался, то переставил узел на версию с последнего коммита
Vort
ну и опять насрано DtQs и F~Uz. так что это не в бинарнике дело
orignal
да это просто чинить надо
orignal
значит там connid разный
Vort
то есть, считаешь, что эти транспортные коннекты от реальных юзеров, но почему-то показывается неправильный identhash ?
Vort
там же кстати и IP разные
orignal
вот теперь все ясно
orignal
это ебучий впн
orignal
такого надо банить
orignal
который все время меняют IP
orignal
дрозд давно про них говорил
orignal
что меняют IP каждую минуту
orignal
такие впн есть
Vort
сейчас посмотрю по базам
Vort
что за провайдер
orignal
дрозд таких банит
orignal
и нам надо
Vort
страны разные, провайдеры разные. что-то этот ВПН больше на ботнет похож
Vort
ну или эксплоит какой-то и эти IP поддельные. ну если такое возможно, я не очень хорошо SSU2 понимаю
Vort
ничего по адресам не нагугливается. подозреваю, что может быть подделка по типу фейковых RI
orignal
думаешь спуфинг UDP пакетов?
orignal
тогда как они SessionCreated получают?
Vort
ну я думал может раскопировали на сотню компов один и тот же RI. хотя можно попробовать проверить, идут ли данные одновременно
Vort
если идут - ботнет. не идут - ВПН (ботнетоподобный)
Vort
а вот про SSU2 говорю же - плохо его понимаю
Vort
один раз заметил этот id и через NTCP2
orignal
смотри
orignal
раз мы знаем что это за ротуер
Vort
точнее, один F~Uz и один DtQs. при том, что в SSU2 их 19 и 40
orignal
значит мы получили SessionConfirmed
orignal
но они должны получить от нас SessionCreated
orignal
потому что там половинку ключа будет
Vort
это значит, что адрес "живой"?
Vort
точнее, адреса
orignal
да
orignal
в момент соединеняи они настоящие
Vort
такс. похоже, данные ползут одновременно
Vort
не 100% уверен, но очень похоже
orignal
понятно
Vort
открыл в двух вкладках браузера транспорты
Vort
и сравниваю
orignal
то есть какая то обезьяна склоировала докер
orignal
или типа того
Vort
вероятно
Vort
только вот адреса эти не хостинг провайдеров
Vort
и по всему миру
relaybot
13apophis: "а я говорил/писал про такое..." ( ТМ ) .. (ясно что не я)
orignal
ну есть такие впн которые дают по всему миру
Vort
тут скорее всего параллельные потоки данных, так что на впн мало похоже
Vort
я вот подумал - первым хопом L узлы ведь только недавно перестали выбираться?
Vort
может большим количеством транспортов атакующий мог повысить шанс, что он будет первым хопом?
Vort
не знаю, правда, чем бы это ему помогло
orignal
я думаю последние лет 8 точно
orignal
для клиентских тоннелей L не выбиралисб
Vort
даже первым хопом?
Vort
просто помню какой-то фикс был несколько месяцев назад
Vort
на эту тему
orignal
даже из соединенных
orignal
а ну возможно
Vort
2.46.0: Select first hop from high bandwidth peers for client tunnels
orignal
а ну возможно
orignal
но какой смысл в такой тупой атаке?
Vort
вот не знаю
orignal
какие проблемы генерить уникальный адрес
Vort
вообще не пойму зачем эти странные клоны сделаны
Vort
может чтобы на графиках RI не заметно было?
Vort
может они так транзит через себя пытались минимизировать
Vort
ну или контроллировать
Vort
чтобы сами по себе другие узлы не лезли
Vort
а только когда сам атакующий хренову тучу коннектов сделает
orignal
я думаю что просто одна обезьяна сделала готовый образ в докере
orignal
и раздала его другим
orignal
мораль такова
Vort
надо посмотреть, здоровые ли паттерны реконнектов у SSU2
orignal
надо при подкючаении нового выкидывать старые
Vort
не модифицирован ли клиент то есть
orignal
помню кстати тут кто то спрашивал про "мультихоминг роутера"
Vort
вот я тоже об этом вспоминл когда про экзотическую фичу спрашивал
Vort
может есть какой-то нужный сценарий использования фичи?
Vort
уж явно не с сотней адресов правда. хотя кто знает
Vort
загадочно слишком это всё
Vort
версия у них кстати не старая - 0.9.58
Vort
или обновляют или запустили просто недавно
orignal
короче надо с этим что то делать
Vort
ещё одна странность, которая мне не понятна: эти два RI самые старые у меня в папке netdb
Vort
то есть, они очень редко обновляются
Vort
один файл в 6 утра создан, второй в 7 утра, а следующий (по времени создания) - 3 часа дня
Vort
из 9500 файлов
Vort
"<~orignal> короче надо с этим что то делать" - ну можно изучить получше вначале. можно и без изучения ограничить количество IP на один ключ
Vort
можно ещё подумать, не сломает ли такое ограничение какой-то реальный сценарий использования
orignal
да нет если адрес ломится с разных IP однозначно банить
Vort
ну и если это атака, то атакующий может просто перегенерить ключи и тогда уже фиг поймешь, что эти узлы от одного автора
orignal
тут уж ничего не поделать
Vort
то есть, не изучив что он делает сейчас, можно потерять возможность изучить позже
Vort
хотя не уверен, что это важно
orignal
я вот почти уверен что это не атака а чей то тупняк
Vort
есть объяснение почему RI редко обновляется? или это маловажно?
orignal
надо таймстапм внутри смотреть
Vort
оно, конечно, можно. но дата файла не меняется, значит таймстамп явно не новее файла
Vort
сейчас прогоню через джаву и скину
Vort
лол
Vort
Published: Tue Feb 13 06:10:23 EET 2035
Vort
чей-то косяк? :))
orignal
ага будущее
orignal
потому так и просиходит
orignal
надо просто дропать и все такие
Vort
ну только как всегда подумать о том, что и у обычного юзера i2pd бывают проблемы с датой
Vort
чтобы поставить такую дату, это надо постараться. обычно в ОС встроена синхронизация времени
Vort
то есть, конечно, это всё же может быть следствием ошибки. но есть и признаки намеренности
Vort
кстати, дата - это гарантированный признак связи двух ключей
Vort
и ещё одно - у них есть интересное различие - в паддинге
Vort
то ли один ключ в реальности старее другого, то ли зачем-то так сделано специально
Vort
и нагрузка между этими ключами распределена более-менее равномерно
Vort
если бы один ключ был от старой версии софта, второй - от новой, то их, наверно, перекосило бы по нагрузке
Vort
хотя не обязательно конечно
orignal
ну это не важно
orignal
важно что мы можем таких клоунов отсекать легко