#dev (ilita) | Обсуждение разработки I2Pd | i2pd development discussion | http://i2pd.website/

relaybot 13apophis: > weko: Хоть из гавна и палок

relaybot 13apophis: какой злой и недоброжелательный ответ .. хахаха

weko Называется "шутка"

relaybot 13apophis: на самом деле у постмана все на вордпрес

relaybot 13apophis: я сам не знал, до вчера

weko И вообще при чём тут злость

relaybot 13apophis: > weko: Называется "шутка"

weko Вернее "не смешная шутка"

relaybot 13apophis: > weko: Вернее "не смешная шутка"

relaybot 13apophis: что мне всегда в тебе нравилось так это самокритика

weko apophis, ты пытался показаться крайне остроумным, но на самом деле ... Смешнее не стало

weko Transit Tunnels: 113

weko U

tetrimer Наблюдаю у себя на графиках некую зависимость: сначала идет резкий ( в течение 5мин) всплеск количества SSU2 транспортов с примерно 60-90 до 600-700,

tetrimer почти одновременно, с небольшим запаздыванием, так же на 500шт растёт количество роутеров, которое, затем, в течение пары часов приходит обратно в "норму".

tetrimer Это - роутеры за NAT-ом, более менее свежей версии. На флудфилах - такой явной цикличности не видно...

Vort почему увеличивается и падает - более-менее понятно. с U узлами плохая связь (частично из-за багов, частично из-за NAT), поэтому приходит коннект, добавляется в netdb, затем коннект отключается, но при попытке проверить доступность узла с

Vort лучается неудача - и такой узел вылетает из netdb

Vort а вот почему это происходит волнами - непонятно

Vort ^ в своём описании я на 100% не уверен. но наблюдал ситуацию, когда в виртуалке у меня запущен U узел, а с реального компа в netdb его RI нигде не находится

Vort не только в локальной netdb не находится, а по всем флудфилам, которых узел опрашивал

tetrimer Так это, исходя из архитектуры сети, необязательно: чтобы два рядом стоящие узла имели прямой коннект.

tetrimer Vort: >и такой узел вылетает из netdb

tetrimer Так вот и получается, что "вылетает" он в течение пары часов...

Vort ну как свой узел его протестирует, так и вылетает. не будет же он непрерывно только и делать, что тестировать

tetrimer Больше похоже на очередную попытку "отравления" netDb узлами-пустышками.

Vort ну так надо попытаться поподключаться к таким узлам. сохранить куда-то RI только

Vort чтобы возвращать на место когда удаляться будет

Vort посмотреть, что интродьюсеры возвращают, допустим

Vort после исправления теперь можно сделать destination с всего 1 узлом в туннеле - конкретным узлом

Vort и смотреть по логам, что происходит при попытке подключения к нему

tetrimer Чтобы отловить такие узлы - нужен анализ скорости добавления в RI...

Vort RI только свежий нужен. в старом будут старые интродьюсеры - они не заработают

tetrimer Или при увеличении частоты добавления - включать какой-то параноидальный режим анализа доступности... Хотя, это тоже потенциальный вектор атаки.

Vort я говорю не про изменения в i2pd, а в методах анализа - чтобы для начала понять, что происходит

Vort а про методы*

weko [07:00:51] <tetrimer> Наблюдаю у себя на графиках некую зависимость: сначала идет резкий ( в течение 5мин) всплеск количества SSU2 транспортов с примерно 60-90 до 600-700,

weko [07:00:55] <tetrimer> почти одновременно, с небольшим запаздыванием, так же на 500шт растёт количество роутеров, которое, затем, в течение пары часов приходит обратно в "норму".

weko [07:03:17] <tetrimer> Это - роутеры за NAT-ом, более менее свежей версии. На флудфилах - такой явной цикличности не видно...

weko Подтвержаю, у меня была такая же фигня. Писал выше

tetrimer Дык, я тоже за то, чтобы сначала исследовать... :) Добавление очередного роутера в базу - на каком уровне логирования видно?

Vort info

Vort NetDb: RouterInfo added:

Vort и hash

tetrimer Попробуем...

tetrimer # awk '/NetDb: RouterInfo added:/ {print $1}' /var/log/i2pd/i2pd.log|wc -l

tetrimer 26

tetrimer Видно...

tetrimer Вот так, мне кажется, будет информативнее:

tetrimer # awk -F ':' '/NetDb: RouterInfo added:/ {print $1":"$2}' /var/log/i2pd/i2pd.log|uniq -c

tetrimer 4 10:47

tetrimer 5 10:48

tetrimer 4 10:49

tetrimer 7 10:50

tetrimer 10 10:51

tetrimer 8 10:52

tetrimer 6 10:53

tetrimer 7 10:54

tetrimer 2 10:55

tetrimer Первая колонка - это количество записей за минуту...

tetrimer Ждём "всплеска"...

tetrimer Вот примерно так выглядит поминутное добавление роутеров во время "пика":

tetrimer 5 12:54

tetrimer 193 12:55

tetrimer 121 12:56

tetrimer 88 12:57

tetrimer 92 12:58

tetrimer 8 12:59

tetrimer Пробовал выковыривать из RI адреса хостов - ну, из 193 - группируются по несколько штук в одной сети...

Vort так надо вот те все 193 куда-то отдельно сохранить и поизучать

Vort будет ли у них что-то общее допустим

Vort при соединении через интродьюсера адресов обычно нету. надо у интродьюсера адрес выспрашивать

tetrimer Хмм, не представляю: как это сделать? Так-то я просто через strings смотрю то, что есть в файле читаемого...

Vort для начала надо скопировать куда-то. роутер ведь их грохнет иначе

Vort ну вот caps есть. те, что в конце файлы, - это для самого роутера

Vort версия там чистым текстом тоже

tetrimer Версии - да, вижу

Vort если написано SSU2 - значит, i2pd. если SSU без 2 - значит, java (ну примерно)

Vort вот и посмотреть, группируются ли они по какому-то признаку

Vort если группируются, значит может быть атака (то есть, тот же самый владелец)

tetrimer caps= - пустые

Vort чтобы проверить на клоны, можно взять IP для какого-то RI из найденной группы и сделать поиск этого IP по всем RI в netdb

tetrimer caps=

tetrimer netId=

tetrimer router.version=

tetrimer 0.9.57;CJK

tetrimer ;,9f

tetrimer Вот, например.

Vort там после = не текст, а байт

Vort указывающий на размер

tetrimer IP пробовал искать (не все) - достаточно уникальны.

Vort этот байт надо или по нормальному обработать или просто пропустить

Vort я смотрю просто в текстовом просмотрщике (из Total Commander)

Vort достаточно так штук 10 RI просмотреть и приходит понимание их природы

Vort можно не только IP поискать, но и ключи

Vort i=, s=, key=. я пока ещё плохо понимаю их суть, но, думаю, то они должны быть уникальны

Vort там тоже байт после = - размер

tetrimer А вот эти параметры "stat_tunnel.buildExploratoryExpire" - говорят о чем-то? Т.к. из 148 файлов RI - они есть только в пяти...

tetrimer Хочется понять: по каким признакам можно, не тыкаясь в этот роутер, определить, что информация пришла левая...

tetrimer 1 router.version= 0.9.38

tetrimer 1 router.version= 0.9.46

tetrimer 4 router.version= 0.9.51

tetrimer 1 router.version= 0.9.52

tetrimer 2 router.version= 0.9.53

tetrimer 1 router.version= 0.9.54

tetrimer 1 router.version= 0.9.55

tetrimer 2 router.version= 0.9.56

tetrimer 13 router.version= 0.9.57

tetrimer 36 router.version= 0.9.58

tetrimer 86 router.version= 0.9.59

orignal Vort насчет i и s

orignal i это ключ симметричный

orignal s это ключ асимметриный публичный

orignal i применяется только для шифрования заголовка

orignal s для согласмования общего ключа шифрования данных

Vort tetrimer: похоже, что buildExploratoryExpire - это какая-то фишка Java. у меня тоже мало таких RI

Vort распределение по версиям выглядит нормальным. похоже, что это обычные RI. надо было бы конечно ещё и по caps статистику, но, вряд ли она что-то добавит

Vort про волну RI - я думаю это или фишка/баг i2p или кто-то массово гонит данные по сети, "возбуждая" все подряд узлы

Vort orignal: ну так про уникальность я прав? при нормальных обстоятельствах каждый такой ключ не должен быть больше, чем в одном RI?

orignal эта фишка какая то очень древняя

orignal Vort естественно ключи i и s уникальны для каждлого RI

Vort хорошо