IRCaBot 2.1.0
GPLv3 © acetone, 2021-2022
#dev
/2023/07/27
~R4SAS
~acetone
~orignal
~villain
&N00B
+relaybot
AreEnn
Leopold
Most2
Nausicaa
Vort
Xeha
anon2
nemiga
not_bob_afk
poriori_
soos
un
weko
whothefuckami_
relaybot 13apophis: > weko: Хоть из гавна и палок
relaybot 13apophis: какой злой и недоброжелательный ответ .. хахаха
weko Называется "шутка"
relaybot 13apophis: на самом деле у постмана все на вордпрес
relaybot 13apophis: я сам не знал, до вчера
weko И вообще при чём тут злость
relaybot 13apophis: > weko: Называется "шутка"
weko Вернее "не смешная шутка"
relaybot 13apophis: > weko: Вернее "не смешная шутка"
relaybot 13apophis: что мне всегда в тебе нравилось так это самокритика
weko apophis, ты пытался показаться крайне остроумным, но на самом деле ... Смешнее не стало
weko Transit Tunnels: 113
tetrimer Наблюдаю у себя на графиках некую зависимость: сначала идет резкий ( в течение 5мин) всплеск количества SSU2 транспортов с примерно 60-90 до 600-700,
tetrimer почти одновременно, с небольшим запаздыванием, так же на 500шт растёт количество роутеров, которое, затем, в течение пары часов приходит обратно в "норму".
tetrimer Это - роутеры за NAT-ом, более менее свежей версии. На флудфилах - такой явной цикличности не видно...
Vort почему увеличивается и падает - более-менее понятно. с U узлами плохая связь (частично из-за багов, частично из-за NAT), поэтому приходит коннект, добавляется в netdb, затем коннект отключается, но при попытке проверить доступность узла с
Vort лучается неудача - и такой узел вылетает из netdb
Vort а вот почему это происходит волнами - непонятно
Vort ^ в своём описании я на 100% не уверен. но наблюдал ситуацию, когда в виртуалке у меня запущен U узел, а с реального компа в netdb его RI нигде не находится
Vort не только в локальной netdb не находится, а по всем флудфилам, которых узел опрашивал
tetrimer Так это, исходя из архитектуры сети, необязательно: чтобы два рядом стоящие узла имели прямой коннект.
tetrimer Vort: >и такой узел вылетает из netdb
tetrimer Так вот и получается, что "вылетает" он в течение пары часов...
Vort ну как свой узел его протестирует, так и вылетает. не будет же он непрерывно только и делать, что тестировать
tetrimer Больше похоже на очередную попытку "отравления" netDb узлами-пустышками.
Vort ну так надо попытаться поподключаться к таким узлам. сохранить куда-то RI только
Vort чтобы возвращать на место когда удаляться будет
Vort посмотреть, что интродьюсеры возвращают, допустим
Vort после исправления теперь можно сделать destination с всего 1 узлом в туннеле - конкретным узлом
Vort и смотреть по логам, что происходит при попытке подключения к нему
tetrimer Чтобы отловить такие узлы - нужен анализ скорости добавления в RI...
Vort RI только свежий нужен. в старом будут старые интродьюсеры - они не заработают
tetrimer Или при увеличении частоты добавления - включать какой-то параноидальный режим анализа доступности... Хотя, это тоже потенциальный вектор атаки.
Vort я говорю не про изменения в i2pd, а в методах анализа - чтобы для начала понять, что происходит
Vort а про методы*
weko [07:00:51] <tetrimer> Наблюдаю у себя на графиках некую зависимость: сначала идет резкий ( в течение 5мин) всплеск количества SSU2 транспортов с примерно 60-90 до 600-700,
weko [07:00:55] <tetrimer> почти одновременно, с небольшим запаздыванием, так же на 500шт растёт количество роутеров, которое, затем, в течение пары часов приходит обратно в "норму".
weko [07:03:17] <tetrimer> Это - роутеры за NAT-ом, более менее свежей версии. На флудфилах - такой явной цикличности не видно...
weko Подтвержаю, у меня была такая же фигня. Писал выше
tetrimer Дык, я тоже за то, чтобы сначала исследовать... :) Добавление очередного роутера в базу - на каком уровне логирования видно?
Vort info
Vort NetDb: RouterInfo added:
Vort и hash
tetrimer Попробуем...
tetrimer # awk '/NetDb: RouterInfo added:/ {print $1}' /var/log/i2pd/i2pd.log|wc -l
tetrimer Видно...
tetrimer Вот так, мне кажется, будет информативнее:
tetrimer # awk -F ':' '/NetDb: RouterInfo added:/ {print $1":"$2}' /var/log/i2pd/i2pd.log|uniq -c
tetrimer 4 10:47
tetrimer 5 10:48
tetrimer 4 10:49
tetrimer 7 10:50
tetrimer 10 10:51
tetrimer 8 10:52
tetrimer 6 10:53
tetrimer 7 10:54
tetrimer 2 10:55
tetrimer Первая колонка - это количество записей за минуту...
tetrimer Ждём "всплеска"...
tetrimer Вот примерно так выглядит поминутное добавление роутеров во время "пика":
tetrimer 5 12:54
tetrimer 193 12:55
tetrimer 121 12:56
tetrimer 88 12:57
tetrimer 92 12:58
tetrimer 8 12:59
tetrimer Пробовал выковыривать из RI адреса хостов - ну, из 193 - группируются по несколько штук в одной сети...
Vort так надо вот те все 193 куда-то отдельно сохранить и поизучать
Vort будет ли у них что-то общее допустим
Vort при соединении через интродьюсера адресов обычно нету. надо у интродьюсера адрес выспрашивать
tetrimer Хмм, не представляю: как это сделать? Так-то я просто через strings смотрю то, что есть в файле читаемого...
Vort для начала надо скопировать куда-то. роутер ведь их грохнет иначе
Vort ну вот caps есть. те, что в конце файлы, - это для самого роутера
Vort версия там чистым текстом тоже
tetrimer Версии - да, вижу
Vort если написано SSU2 - значит, i2pd. если SSU без 2 - значит, java (ну примерно)
Vort вот и посмотреть, группируются ли они по какому-то признаку
Vort если группируются, значит может быть атака (то есть, тот же самый владелец)
tetrimer caps= - пустые
Vort чтобы проверить на клоны, можно взять IP для какого-то RI из найденной группы и сделать поиск этого IP по всем RI в netdb
tetrimer netId=
tetrimer router.version=
tetrimer 0.9.57;CJK
tetrimer Вот, например.
Vort там после = не текст, а байт
Vort указывающий на размер
tetrimer IP пробовал искать (не все) - достаточно уникальны.
Vort этот байт надо или по нормальному обработать или просто пропустить
Vort я смотрю просто в текстовом просмотрщике (из Total Commander)
Vort достаточно так штук 10 RI просмотреть и приходит понимание их природы
Vort можно не только IP поискать, но и ключи
Vort i=, s=, key=. я пока ещё плохо понимаю их суть, но, думаю, то они должны быть уникальны
Vort там тоже байт после = - размер
tetrimer А вот эти параметры "stat_tunnel.buildExploratoryExpire" - говорят о чем-то? Т.к. из 148 файлов RI - они есть только в пяти...
tetrimer Хочется понять: по каким признакам можно, не тыкаясь в этот роутер, определить, что информация пришла левая...
tetrimer 1 router.version= 0.9.38
tetrimer 1 router.version= 0.9.46
tetrimer 4 router.version= 0.9.51
tetrimer 1 router.version= 0.9.52
tetrimer 2 router.version= 0.9.53
tetrimer 1 router.version= 0.9.54
tetrimer 1 router.version= 0.9.55
tetrimer 2 router.version= 0.9.56
tetrimer 13 router.version= 0.9.57
tetrimer 36 router.version= 0.9.58
tetrimer 86 router.version= 0.9.59
orignal Vort насчет i и s
orignal i это ключ симметричный
orignal s это ключ асимметриный публичный
orignal i применяется только для шифрования заголовка
orignal s для согласмования общего ключа шифрования данных
Vort tetrimer: похоже, что buildExploratoryExpire - это какая-то фишка Java. у меня тоже мало таких RI
Vort распределение по версиям выглядит нормальным. похоже, что это обычные RI. надо было бы конечно ещё и по caps статистику, но, вряд ли она что-то добавит
Vort про волну RI - я думаю это или фишка/баг i2p или кто-то массово гонит данные по сети, "возбуждая" все подряд узлы
Vort orignal: ну так про уникальность я прав? при нормальных обстоятельствах каждый такой ключ не должен быть больше, чем в одном RI?
orignal эта фишка какая то очень древняя
orignal Vort естественно ключи i и s уникальны для каждлого RI
Vort хорошо