~AreEnn
~R4SAS
~acetone
~orignal
~villain
&N00B
+Xeha
GFW
Nobody
Opax
WebClient95
anon
anontor
anonuser
b3t4f4c3
deserving-stegosaur
duanin2
fidoid
fujifilm
gobo
halloy1341
iiii
kaneki
karamba_i2p
leopold
mareki2p
negative_rock127
nik0tr
not_bob_afk
ntty
osoznayka
poriori
profetikla
rc13
shaye
slfd
sonya
teeth
un
weko_
КрутыеЖиды]]]]]]]]]]]]]_Z
weko
[19:21:27] <orignal> но понимаешь в чем дело как правило это соотвествует действительности
weko
Тогда почему повторный даже через пару секунд показывает OK? Даже если пакеты не дошли, не значит, что не могут (потери в UDP бывают)
weko
Может быть, иногда не везёт, что все 5 пиров - кал?
Vort
weko: дело в том, что некоторым юзерам "везёт" больше, чем, другим. а такого быть не может
Vort
скорее всего, нужно комплексную проблему глюков пиртеста разбивать на мелкие части и по кусочкам делать, иначе толку не будет
weko
Tunnel creation success rate: 8%
weko
Routers: 18106
weko
Опять??
Vort
Transit Tunnels: 24008
Vort
видимо, до этого были тесты
weko
У меня лимит
weko
Сейчас видно другой способ
weko
Спам туннелями
Vort
я об этом и говорю - повышенное количество уже неделю как
Vort
но было чуть чуть повышенное, а теперь - уже не чуть чуть
weko
Вот откуда нагрузка
weko
1000 туннелей за 15 секунд забило
weko
SSU2 - 7000 NTCP2 - 3000
Vort
у меня SSU2 меньше. странно
Vort
NTCP2 ( 3101 ) SSU2 ( 2912 )
Vort
может, кластер узлов у тебя в SSU2 найдётся?
weko
Нашёл странный баг - коннекшены дублируются
weko
Или даже 3 бывают
Vort
как проявляется?
weko
Может он старый?
weko
И на разные порты
weko
На разные порты, но роутер и ip одинаковые
Vort
кто старый?
Vort
ну я видел, что специально так делали - рассказывал же про китайцев
Vort
можно же несколько узлов с одним и тем же id запустить
Vort
weko: это происходит часто или нет? со всем примерно адресами или только с какими-то определёнными?
tetrimer
weko: >Tunnel creation success rate: 8%
tetrimer
У меня сегодня на двух линуксовых машинах за файрволом - такие же эффекты: падение tcsr с 60% до 20% буквально за час.
tetrimer
Сейчас ткнул на обеих машинах PeerTest - посмотрим...
Vort
tetrimer: а дублирование коннектов как у weko есть?
tetrimer
А где это смотреть?
Vort
tetrimer: на вкладке Transports, раскрыть списки
Vort
weko: последние сообщения видел?
tetrimer
Ща...
weko
Нет
weko
Меня ж выкинуло
weko
139.224.* , 139.196.* , 120.55.* - вот тут такого много
weko
Да вообще они как то группами
weko
В каких то подсетях дохера, в других почти нету
weko
Это не единственные
weko
При чём часто один из дупликатов - slow
tetrimer
Полных строковых дублей - нет, могу повыковыривать только адреса...
Vort
weko: это только на SSU2 или и на NTCP2 ?
Vort
weko: странные подсети. их у меня в SSU2 нету, только в NTCP2
Vort
уже подозрительно
tetrimer
У меня в SSU2: IpvT: 139.162.162.238:22517 ⇒ [1177:52]
weko
В ntcp2 не вижу дубликатов по IP
weko
Если и есть, то мало
tetrimer
А в NTCP - 139-й сетки нет
Vort
бля. это все подсети Китая
weko
Даже это подсети в NTCP2 у меня не дублируются
weko
Ну блять китайцы видимо
Vort
weko: короч я думаю через тебя идёт вход атаки
Vort
а через меня - нет
weko
Один из входов
weko
Да логично
weko
Я говорил уже что это не все роутеры
weko
Какие то выбираются
weko
14.29.*
Vort
тоже дубли?
Vort
это опять Китай. и у меня их почти нету - всего 3 коннекта
Vort
weko: сколько примерно из этой подсети коннектов?
weko
Дофига
Vort
ну примерно. сотня, тыща?
Vort
можно в текстовый редактор скопипастить и посмотреть на количество строк :)
weko
55
weko
По сравнению с другими подсетями это много
Vort
многовато, но не очень
Vort
надо искать, откуда твои 7 тыщ
weko
[10:05:22] <Vort> можно в текстовый редактор скопипастить и посмотреть на количество строк :)
weko
Я в python .count("\n") написал
Vort
то есть, эти 7 тыщ могут состоять как из обычных узлов, так и из атакующих
Vort
пока что подозрение на DDoS от китайцев. но всё-таки 55 узлов - это не очень много. это на грани
Vort
была бы тысяча - другое дело. тогда было бы явно
weko
55 из этого кластера
Vort
количество транзитов, кстати, уменьшается
weko
Остальные я не считал
weko
И хз сколько кластеров всего
weko
Сейчас смотрю
Vort
вырубили атаку что ли?
Vort
50 минут атака была похоже
Vort
weko: если не сохранил старый список, то сейчас уже можно не смотреть
Vort
уже 10 минут атаки нету
weko
Ну я не обновлял страницу
Vort
сохрани куда-то в текстовый файл
Vort
чтобы не потерять. вдруг пригодится
weko
101.200.*
Vort
Название провайдера: ALISOFT
weko
112.74.*
weko
Vort: тож китайцы?
Vort
это не просто китайцы, а одна из самых крупных их компаний. похоже
Vort
Aliexpress и т.д.
Vort
хотя может и провайдер тоже так называется. не уверен
weko
116.62.*
weko
120.24-26.*
tetrimer
У меня, если группировать, вот так примерно получается:
tetrimer
9 23.128
tetrimer
9 65.21
tetrimer
9 82.66
tetrimer
9 93.95
tetrimer
9 95.216
tetrimer
9 95.91
tetrimer
11 146.70
tetrimer
12 107.189
tetrimer
23 23.137
tetrimer
Первая колонка - количество повторов, вторая - первые два октета сетки /16.
weko
120.76.*
Vort
tetrimer: это данные на момент когда ещё была атака или когда уже прекратилась?
tetrimer
Это уже на излете...
Vort
атаки 20 минут уже нету
weko
120.76-78.*
tetrimer
У меня - минут 15...
Vort
weko: всё это ALI
weko
Вот походу оттуда
tetrimer
120.79.192.94:9388
tetrimer
120.79.202.26:9956
tetrimer
120.88.121.72:23154
weko
Явно не совпадение
Vort
надо бы выяснить - то ли эти адреса раздают юзерам, то ли это - собственность компании Alibaba
Vort
может они решили филиал aliexpress в i2p открыть? :D
weko
Даже если не они источник атаки, это всё равно гавно
weko
Разные порты на один роутер
weko
Итого несколько коннекшенов к нему
Vort
ну этот эффект я и раньше видел
Vort
вроде решили не блочить такое. ну или не решили, а по факту
weko
180.106.83.198 - вообще пиздец
weko
И несколько близко
Vort
а вот это уже не ALI: Название провайдера: CHINANET-JS
weko
6 коннектов, все slow
weko
[10:25:01] <Vort> а вот это уже не ALI: Название провайдера: CHINANET-JS
weko
Но тут мало разных адресов
weko
Просто скинул пиздец совсем
Vort
может и баг из-за тормозов китайского интернета
Vort
но атака точно была
Vort
то есть, может быть баг + атака, а может быть просто атака
weko
На разные порты оно
weko
Точно не тормоза
Vort
weko: а это не U узлы? был ли там [itag: ?
weko
У большинства нету, кажется
Vort
значит тогда несколько копий i2p запускали с одними и теми же ключами
weko
Обновил страницу, 4800 SSU2
Vort
weko: может стоит ещё забекапить netdb
Vort
вдруг там что-то интересное у них в RI
Vort
пока ещё не должно было очиститься - полчаса прошло
Vort
флажки надо бы рассмотреть - может, это X узлы допустим. или флудфилы
weko
Да не суть. Такое должно профилировщиком банится
weko
На недельку минимум
Vort
от атаки может понадобиться защита в ближайшее время. на переделку профилировщика может не быть времени
Vort
так что чем больше информации сохранено для анализа - тем лучше
Vort
удалить всегда можно если будет уже не актуально
tetrimer
У меня вот румыны дублем отметились:
tetrimer
nwvy: 79.118.91.98:28679 [5377:30805]
tetrimer
nwvy: 79.118.91.98:28679 [944:142]
tetrimer
caps=XfR;
weko
tetrimer: интересно, ведь тут и порт один
orignal
Transit Tunnels: 15708
orignal
больше но не критично
tetrimer
Ну да.
orignal
так писал же тут чувак откуда тоннели
tetrimer
RI я от него сохранил, если оно кому-то поможет.
orignal
придарки с кисолицы сотни тоннелей прописывают
orignal
разыне порты на один роутер это значит несколько узлов сидят за натом на одном IP
Vort
"<~orignal> так писал же тут чувак откуда тоннели". я тоже писал. ссылку-то передал zzz, которую я просил передать?
Vort
ну и найденные свидетельства наплыва китайцев тоже стоит учитывать
orignal
какую?
Vort
на сообщения Козлова
orignal
это да
Vort
ок
Vort
weko: можешь проверить - ушла ли из списка коннектов основная масса узлов с Ali ?
Vort
"<weko> 55 из этого кластера" - сейчас сколько?
orignal
а они тут причем?
orignal
они же китайским барахлом торгуют
Vort
сомневаешься, что атаку организовала Alibaba Group?
Vort
это предположение хоть и выглядит фантастическим, но другого пока что нету
orignal
а им это зачем?
orignal
они же просто торгаши
Vort
может заказ государства выполняют
weko
Vort: не обязательно организована
weko
Мб они просто дают адреса
weko
Vort: 0 коннектов с всех этих кластеров
Vort
думаешь, могут предоставлять услуги хостинга?
weko
NTCP2 тоже
Vort
про 0 коннектов понял. значит, точно оттуда атака шла
Vort
попорбую получше погуглить про этот диапазон адресов. не уверен, что получится, правда
orignal
так а в чем атака если 0 коннектов?
orignal
зафлуживание левыми роутерами?
Vort
orignal: ну почитай логи ёпт. атака длилась 50 минут
orignal
ну это счас профилируется
orignal
скажи в одной фразе что было
orignal
некогда
Vort
был прыжок транзитов до 24к, длилось это 50 минут. скорее всего, атака шла с адресов некоего alisoft
Vort
weko смог словить список коннектов в момент атаки. было дофига китайских адресов
Vort
после того, как атака ушла, теперь этих адресов нету в списке
weko
[14:46:58] <orignal> ну это счас профилируется
weko
Нифига оно не профилируется. Должно было сразу таких забанить
orignal
да но транзиты откуда взялись?
Vort
так реальные роутеры были блин
orignal
значит они с кем то соединялись
Vort
надо вначале думать, а потом банить
orignal
ты сказало 0 коннектов
orignal
если реальные никто не будет банить
Vort
0 коннектов _после окончания_ атаки
Vort
и это только одна из подсетей
Vort
а их было штук 10
orignal
а все понял
orignal
ну так а в чем атака то я не понял?
orignal
ну много транзитов насоздавали. и че?
Vort
orignal: не заметил, как тебя из чата выкидывало?
Vort
вот как раз в тот момент была атака
orignal
ну выкидвает иногда и без атаки
Vort
эту волну сеть более-менее выдержала, но фиг его знает что организаторы придумают в будущем
weko
[14:51:17] <Vort> надо вначале думать, а потом банить
weko
А чего думать? Там на одном адресе (и один роутер) имел разные порты для подключения. Думать не о чем
Vort
ну нагенерят они ключей - легче станет что ли?
Vort
а несколько узлов на одном IP - это нормально и иногда даже полезно
weko
Я о том, что профилирования нет
weko
И они реально отключились, а не их забанило
weko
Vort: нормально, но нет же ещё системы, чтобы распределять свои туннели на них как на один роутер? Нету.
weko
А тут роутер был один и тот же
weko
Это факт
weko
И их не забанило моментально
weko
Тоже факт
weko
Вывод - косяк
Vort
если такой бан элементарно обходится, то делать его смысла мало - только код усложнять
weko
Код усложнится если он изначально криво написан
Vort
ну и сейчас есть метод выявления атакующих по этому признаку
weko
А в хороший код добавить это - легко
Vort
убрать признак - выявлять станет сложнее. а атака останется
weko
И сложнее он от этого не станет
weko
Vort: дак сейчас они исправят
weko
Мы ж уже знаем
Vort
такс, похоже, что они переименовались в Alibaba Cloud
Vort
weko: можешь сверить айпишники - хотя бы один гарантированно в этом списке есть?
Vort
это, наверное, не все адреса. можно будет ещё поискать
`
Хах, представил ситацию:
`
- *Китайский блохер рассказывает о ш2з и инициирует китайский хаброэффект*
`
- Тем временем в ш2зв-илите: "Китайские какеры отокують!11"
Vort
они не только резко пришли, но и резко ушли
Vort
weko: хотя можешь и не проверять. 99% что это они
Vort
вот ещё списочек: bgp.he.net/AS37963#_prefixes
`
<weko> Вывод - косяк
`
* китайцефф вся netDb
Vort
ещё одно их название: Aliyun Computing Co., LTD
`
* у китайцефф теперь вся netDb за 50 минут
Vort
aliyun.com редиректит на eu.alibabacloud.com/en
Vort
так что да, таки хостинг. только вот сомневаюсь, что кому попало разрешено там арендовать сервера. скорее всего, это только для китайцев
Vort
хотя на сайтике какие-то free trial...
Vort
может атакующий набрал free серваков и гадил пока они не "кончились"? :)
Vort
в Tor, кстати, ещё одну дырку прикрыли
Vort
жаль только в Tor не удалось адреса атакующих словить
Vort
они прекратили атаки после выхода прошлой обновы
Vort
почитал я ещё немного про Alibaba Cloud - скорее всего, арендовать сервер может кто угодно
Vort
вот чтобы сделать сайт в .cn зоне - там уже специальные условия нужны
Vort
но для атаки на i2p это не нужно
orignal
так я все же не понял в чем суть атаки
orignal
ну засрали транзитами
Vort
ну да
orignal
опять джависты стали промежуточные узлы банить?
orignal
я просто не понимаю механизма
`
Экспертно утверждаю, что собрали всю netDb.
Vort
а я не пойму, в чём сомнения
Vort
в том, что это атака?
Vort
может, не просто срали, а как-то по особому
Vort
хотя, скорее всего, проверяли сеть на прочность
Vort
если была бы атака на внутренний сервис, то мне кажется, так быстро они бы не отстали
Vort
есть предположение, почему они делали много транспортных коннектов: у них же китайский фаерволл, он скорее всего режет скорость
Vort
вот и гнали в несколько потоков
`
не скорее всего а режет
`
Да, пытались говнокислицу прогрузить в 100500 потокофф. шутка
Vort
"<~orignal> опять джависты стали промежуточные узлы банить?" похоже, пока что только атакующие исследуют влияние перегрузок на сеть :)
orignal
сомнение в том какой механизм атаки
Vort
как именно количество транзитов влияет на сеть - вопрос интересный
orignal
в i2pd никак
orignal
а вот джависты банят тех от кого много запросов приходит
Vort
что значит механизм? как количество туннелей влияет на сеть?
Vort
или вопрос в том, делал ли атакующий что либо ещё кроме туннелей?
Vort
по поводу влияния транзитов: они жрут трафик. понемножку, но жрут
Vort
у кого-то может упираться в лимит физической сети и приводить к потерям пакетов
Vort
а потери уже просаживают рейт
orignal
так пустые транзиты с чего жрут? только запросы на построение но это ж мизер
Vort
orignal: если юзер поставит лимит 2 мегабайта в сек, а его сеть больше 1 мегабайта в сек выдать не может, то congestion cap при перегрузке ведь не выставится?
Vort
пинги через туннели вроде ж идут
Vort
около 50 килобайт за 10 минут у меня туннель сжирает
Vort
пустой
orignal
не выставится
Vort
возможно стоит думать, как такую ситуацию ловить. такой узел, как я понимаю, будет конкретно тупить и гадить сети
orignal
так что он делает еще кроме запросов на простоение тоннелей?
Vort
теперь только гадать можно. он может их держать
Vort
побольше дестинейшенов сделать, включить узел и всё. сам не проверял, просто предполагаю
Vort
по-хорошему, надо мониторить размеры транзитов. тогда можно будет сказать точно - сколько пустых, сколько полных
orignal
там может это правда любитель срать на кислицу
orignal
сделал несколько сотен тоннелей и срет
Vort
точнее, сколько совсем пустых, сколько пустых с пингами и сколько с данными
Vort
сотни серверов в Китае арендовать для этих целей?
Vort
ну и это же не сотня туннелей. это прыжок количества по всей сети в 2 раза
Vort
сколько точно сейчас транзитов по всем узлам не знаю, но явно миллионы
orignal
так погоди это один узел срет или сотни?
Vort
сотни. weko только из одной подсети насчитал 55 узлов во время атаки. а подсетей было штук 10
orignal
и все срали кучей транзитов?
Vort
похоже на то. "вход" атаки был у weko, у меня только сами транзиты
Vort
кстати. это же значит, что атака была не такая уж простая
Vort
просто включенный узел равномерно бы по всей сети гадил, а тут избирательно
Vort
то есть, транзиты были по всей сети, а китайские транспортные коннекты - не везде
orignal
я думаю построили первые тоннели а дальше уже через них
Vort
вот на графиках виден эффект от атаки: ujtui6edpiqofdhuwdwo3trfrjznqgvzcagvofybu666wivwkdqa.b32.i2p/i2pd_stat-day.png
Vort
значение Transit speed не прыгало, так что, может, действительно туннели были совсем пустые
orignal
интересно дед хотя бы заметил?
Vort
да у него вроде были какие-то графики
Vort
но как часто он на них смотрит - без понятия
orignal
счас почитаю
orignal
тишина
Vort
посмотрим, что будет дальше
Vort
или атакующий решил, что оно не стоит того
Vort
или это была тренировка перед полноценной атакой
orignal
я просто не понимаю что тут вообще можно сделать
orignal
в i2pd транзитный тоннель не потребляет вообще ничего
Vort
разве что 16 битный лимит на 32 битный переделать :)
orignal
16 битный лимит чего?
Vort
transittunnels
orignal
аааа числа транзитных тоннелей
orignal
да. стоит