~R4SAS
~acetone
~orignal
~villain
&N00B
+relaybot
AreEnn
Leopold
Most2
Nausicaa
Vort
Xeha
anon2
nemiga
not_bob_afk
poriori_
soos
un
weko
whothefuckami_
relaybot
13apophis: > weko: Хоть из гавна и палок
relaybot
13apophis: какой злой и недоброжелательный ответ .. хахаха
weko
Называется "шутка"
relaybot
13apophis: на самом деле у постмана все на вордпрес
relaybot
13apophis: я сам не знал, до вчера
weko
И вообще при чём тут злость
relaybot
13apophis: > weko: Называется "шутка"
weko
Вернее "не смешная шутка"
relaybot
13apophis: > weko: Вернее "не смешная шутка"
relaybot
13apophis: что мне всегда в тебе нравилось так это самокритика
weko
apophis, ты пытался показаться крайне остроумным, но на самом деле ... Смешнее не стало
weko
Transit Tunnels: 113
weko
U
tetrimer
Наблюдаю у себя на графиках некую зависимость: сначала идет резкий ( в течение 5мин) всплеск количества SSU2 транспортов с примерно 60-90 до 600-700,
tetrimer
почти одновременно, с небольшим запаздыванием, так же на 500шт растёт количество роутеров, которое, затем, в течение пары часов приходит обратно в "норму".
tetrimer
Это - роутеры за NAT-ом, более менее свежей версии. На флудфилах - такой явной цикличности не видно...
Vort
почему увеличивается и падает - более-менее понятно. с U узлами плохая связь (частично из-за багов, частично из-за NAT), поэтому приходит коннект, добавляется в netdb, затем коннект отключается, но при попытке проверить доступность узла с
Vort
лучается неудача - и такой узел вылетает из netdb
Vort
а вот почему это происходит волнами - непонятно
Vort
^ в своём описании я на 100% не уверен. но наблюдал ситуацию, когда в виртуалке у меня запущен U узел, а с реального компа в netdb его RI нигде не находится
Vort
не только в локальной netdb не находится, а по всем флудфилам, которых узел опрашивал
tetrimer
Так это, исходя из архитектуры сети, необязательно: чтобы два рядом стоящие узла имели прямой коннект.
tetrimer
Vort: >и такой узел вылетает из netdb
tetrimer
Так вот и получается, что "вылетает" он в течение пары часов...
Vort
ну как свой узел его протестирует, так и вылетает. не будет же он непрерывно только и делать, что тестировать
tetrimer
Больше похоже на очередную попытку "отравления" netDb узлами-пустышками.
Vort
ну так надо попытаться поподключаться к таким узлам. сохранить куда-то RI только
Vort
чтобы возвращать на место когда удаляться будет
Vort
посмотреть, что интродьюсеры возвращают, допустим
Vort
после исправления теперь можно сделать destination с всего 1 узлом в туннеле - конкретным узлом
Vort
и смотреть по логам, что происходит при попытке подключения к нему
tetrimer
Чтобы отловить такие узлы - нужен анализ скорости добавления в RI...
Vort
RI только свежий нужен. в старом будут старые интродьюсеры - они не заработают
tetrimer
Или при увеличении частоты добавления - включать какой-то параноидальный режим анализа доступности... Хотя, это тоже потенциальный вектор атаки.
Vort
я говорю не про изменения в i2pd, а в методах анализа - чтобы для начала понять, что происходит
Vort
а про методы*
weko
[07:00:51] <tetrimer> Наблюдаю у себя на графиках некую зависимость: сначала идет резкий ( в течение 5мин) всплеск количества SSU2 транспортов с примерно 60-90 до 600-700,
weko
[07:00:55] <tetrimer> почти одновременно, с небольшим запаздыванием, так же на 500шт растёт количество роутеров, которое, затем, в течение пары часов приходит обратно в "норму".
weko
[07:03:17] <tetrimer> Это - роутеры за NAT-ом, более менее свежей версии. На флудфилах - такой явной цикличности не видно...
weko
Подтвержаю, у меня была такая же фигня. Писал выше
tetrimer
Дык, я тоже за то, чтобы сначала исследовать... :) Добавление очередного роутера в базу - на каком уровне логирования видно?
Vort
info
Vort
NetDb: RouterInfo added:
Vort
и hash
tetrimer
Попробуем...
tetrimer
# awk '/NetDb: RouterInfo added:/ {print $1}' /var/log/i2pd/i2pd.log|wc -l
tetrimer
26
tetrimer
Видно...
tetrimer
Вот так, мне кажется, будет информативнее:
tetrimer
# awk -F ':' '/NetDb: RouterInfo added:/ {print $1":"$2}' /var/log/i2pd/i2pd.log|uniq -c
tetrimer
4 10:47
tetrimer
5 10:48
tetrimer
4 10:49
tetrimer
7 10:50
tetrimer
10 10:51
tetrimer
8 10:52
tetrimer
6 10:53
tetrimer
7 10:54
tetrimer
2 10:55
tetrimer
Первая колонка - это количество записей за минуту...
tetrimer
Ждём "всплеска"...
tetrimer
Вот примерно так выглядит поминутное добавление роутеров во время "пика":
tetrimer
5 12:54
tetrimer
193 12:55
tetrimer
121 12:56
tetrimer
88 12:57
tetrimer
92 12:58
tetrimer
8 12:59
tetrimer
Пробовал выковыривать из RI адреса хостов - ну, из 193 - группируются по несколько штук в одной сети...
Vort
так надо вот те все 193 куда-то отдельно сохранить и поизучать
Vort
будет ли у них что-то общее допустим
Vort
при соединении через интродьюсера адресов обычно нету. надо у интродьюсера адрес выспрашивать
tetrimer
Хмм, не представляю: как это сделать? Так-то я просто через strings смотрю то, что есть в файле читаемого...
Vort
для начала надо скопировать куда-то. роутер ведь их грохнет иначе
Vort
ну вот caps есть. те, что в конце файлы, - это для самого роутера
Vort
версия там чистым текстом тоже
tetrimer
Версии - да, вижу
Vort
если написано SSU2 - значит, i2pd. если SSU без 2 - значит, java (ну примерно)
Vort
вот и посмотреть, группируются ли они по какому-то признаку
Vort
если группируются, значит может быть атака (то есть, тот же самый владелец)
tetrimer
caps= - пустые
Vort
чтобы проверить на клоны, можно взять IP для какого-то RI из найденной группы и сделать поиск этого IP по всем RI в netdb
tetrimer
caps=
tetrimer
netId=
tetrimer
router.version=
tetrimer
0.9.57;CJK
tetrimer
;,9f
tetrimer
Вот, например.
Vort
там после = не текст, а байт
Vort
указывающий на размер
tetrimer
IP пробовал искать (не все) - достаточно уникальны.
Vort
этот байт надо или по нормальному обработать или просто пропустить
Vort
я смотрю просто в текстовом просмотрщике (из Total Commander)
Vort
достаточно так штук 10 RI просмотреть и приходит понимание их природы
Vort
можно не только IP поискать, но и ключи
Vort
i=, s=, key=. я пока ещё плохо понимаю их суть, но, думаю, то они должны быть уникальны
Vort
там тоже байт после = - размер
tetrimer
А вот эти параметры "stat_tunnel.buildExploratoryExpire" - говорят о чем-то? Т.к. из 148 файлов RI - они есть только в пяти...
tetrimer
Хочется понять: по каким признакам можно, не тыкаясь в этот роутер, определить, что информация пришла левая...
tetrimer
1 router.version= 0.9.38
tetrimer
1 router.version= 0.9.46
tetrimer
4 router.version= 0.9.51
tetrimer
1 router.version= 0.9.52
tetrimer
2 router.version= 0.9.53
tetrimer
1 router.version= 0.9.54
tetrimer
1 router.version= 0.9.55
tetrimer
2 router.version= 0.9.56
tetrimer
13 router.version= 0.9.57
tetrimer
36 router.version= 0.9.58
tetrimer
86 router.version= 0.9.59
orignal
Vort насчет i и s
orignal
i это ключ симметричный
orignal
s это ключ асимметриный публичный
orignal
i применяется только для шифрования заголовка
orignal
s для согласмования общего ключа шифрования данных
Vort
tetrimer: похоже, что buildExploratoryExpire - это какая-то фишка Java. у меня тоже мало таких RI
Vort
распределение по версиям выглядит нормальным. похоже, что это обычные RI. надо было бы конечно ещё и по caps статистику, но, вряд ли она что-то добавит
Vort
про волну RI - я думаю это или фишка/баг i2p или кто-то массово гонит данные по сети, "возбуждая" все подряд узлы
Vort
orignal: ну так про уникальность я прав? при нормальных обстоятельствах каждый такой ключ не должен быть больше, чем в одном RI?
orignal
эта фишка какая то очень древняя
orignal
Vort естественно ключи i и s уникальны для каждлого RI
Vort
хорошо