IRCaBot 2.1.0
GPLv3 © acetone, 2021-2022
#dev
/2023/12/27
~AreEnn
~R4SAS
~orignal
~villain
&N00B
+Xeha
+relaybot
DUHOVKIN
Guest7184
Leopold
Most2
Nausicaa
Ruskoye_911
Vort
acetone
anon2
b3t4f4c3
karamba_i2p
nemiga
not_bob_afk
plap
poriori
profetikla
soos
teeth
un
weko_
whothefuckami
orignal Transit: 919.13 GiB (6154.31 KiB/s)
yerion это за год?
orignal за 4 дня
orignal суть что сейчас 60 мбс
yerion ну я прям не знаю что это может быть, надо смотреть где что под i2p появилось или обновилось
yerion похоже на ddos
orignal нет это реальный транзит прет по тоннелям
orignal Transit: 921.05 GiB (7123.33 KiB/s)
orignal Transit Tunnels: 25840
yerion почему бы не сделать тысячу нод постоянно запрашивающих случайные тоннели и посылающих по ним трафик, формально это ничем не отличается от увеличения юзер базы
orignal отсылка трафика тоже жрет ресурсы
orignal его же надо шифровать
yerion ну так это госы и иллюминаты, накупили себе суперкомпьютеров
yerion и шалят
orignal а смысл?
yerion а смысл предыдущих атак в этом году? Либо свернуть i2p либо указать на уязвимость отсутствия внутренних рейт-лимитов или чего-то такого
orignal и смысла предыдущих не было
orignal а возможно и правда что то тяжелое стали гонять
orignal на самом деле тут все проще
orignal джавовские узлы начинают давать отлупы и выкидывать пакеты
orignal в интоге весь поток ломится на i2pd
orignal итересно что у R4SAS-а поскольку у него дедик
Vort сделал на всякий случай кластерный анализ NTCP2 IP адресов во время всплеска. ничего интересного. максимальный размер группы в подсети из 256 адресов - 10 штук. это нормально
Vort а вот на i2p-metrics кое что интересное нашлось. появились данные за вчерашний день и по ним заметен всплеск числа X роутеров
Vort + 1200 X роутеров за 2 дня
Vort в принципе, подобное уже бывало. так что может это и рандом
Vort на графике по странам виден очередной всплеск от китайцев
Vort но по числам не сходится. + 500 китайцев за 2 дня
Vort наверное, таки китайцы опять гадят. я сделал выборку по странам из своего NTCP2 списка и китайцев там всего 3 (из 4110 адресов всего)
Vort видимо, кому-то "везёт" получить вход атаки с толпой китайцев в списке
Vort остальным же достаются последствия в виде низкого рейта и большого транзита
Vort weko: это же у тебя была несколько месяцев назад куча китайских коннектов? наблюдалось ли такое же вчера, сегодня?
weko Не смотрел
orignal а все эти X китайские?
orignal насчет китайцев и джависты говорят
orignal Transit Tunnels: 29392
Vort "<~orignal> а все эти X китайские?" - чтобы это понять, надо кому-то словить всплеск коннектов именно с китайскими IP адресами
Vort но по косвенным признакам очень похоже на то
Vort Transit Tunnels: 23510
orignal а лимит какой?
Vort 60к
orignal интресно чего они добиваются
Vort это же скорее всего с хостинга атака идёт. так что тут ещё вопрос, кто её организует. вполне могут быть и не китайцы
Vort хотя мне сложно представить логику того, кто в Китае заказывает хостинг. может, просто дёшево?
un какаято движуха в китае. которая через i2p коммуницируется
orignal а почему family zzz?
orignal явно какой то намек
un я свои мысли изложу:
orignal мы слушаем внимательно
un пытаются траффик на свои раутеры перенаправить. ставят X и думают что если family = zzz то типа доверят будут
un нарушить работу i2p имеют цель
orignal короче атака 51%
un ddos
orignal вопрос заключается во в чем
un как мне кажется, что0то там в китае не хочет i2p чтобы в китае работало
un либо тренируются
orignal действительно ли эти X роутеры пропускают через себя трафик
un если преследовать цель нарушить работу - то не должны
un и постоянно новые подниматься
orignal надо будет попробовать
orignal еще странное совпадение что атака началась как только джависты выпустили новый релиз
un можно дать такое обьяснение - тестируют метод атаки на i2p на новом релизе
un отсюда можно предположить что в Китае не пользуют i2pd
orignal логичноэ
orignal кстати эти X китайские джава или i2pd?
orignal ransit Tunnels: 30112
Vort надо хотя бы несколько RI чётко с этой атаки словить
Vort так кто видел массовость family zzz ? сколько штук RI было?
Vort у меня всего один находится
Vort caps=PR у него кстати
Vort и провайдер не хостинг
Vort мне кажется, что роутеры атакующего банят все адреса кроме тех, на которые идёт атака
Vort иначе бы они были заметны в списке у всех узлов
Vort в списке коннектов у меня китайских узлов почти не было, а вот в netdb нашлось побольше
orignal а как ты определяешь китайские?
Vort сейчас рассмотрю получше. 32 из 12598
Vort по IP адресу
Vort хотя у меня там регулярки. короч буду перепроверять, может фигня
orignal то то и оно
orignal caps=^BXR;^Ffamily=^FUnholy
orignal причем явно джава
orignal я предлагаю смотреть в транспортах на те линки через которые идут слишком большие объемы
orignal вот по ygg совсем мизер везде
Vort orignal: вот результат по китайскому срезу netdb: paste.i2pd.xyz/?b678546bf1628054#CnpztV1N9KNQM31Kin7pVLqiExixRDwKC3qRg7bKFf5F
orignal отсюда я делаю вывод что атакуащий таки джава
orignal а как ты i2pd и джаву развличаешь?
orignal у них счас тоже SSU2 публикуется
Vort именно 2 сразу после SSU ?
Vort я по этому различаю
Vort ну да я сейчас запакую эти RI и кину ссылку. для перепроверки
orignal в новом релизе так
Vort сейчас версию ещё выведу в таблицу
Vort 22 узла из 32: 0.9.58 XR
Vort хз, атакующий это или нет, но китайские X подтвердились
Vort а точнее XR
Vort хотя может и U есть, но я же у них IP не вижу
Vort у некоторых вижу ALISOFT - то есть хостинг (Alibaba Cloud)
Vort несколько штук уже вижу оттуда
Vort orignal: знаешь как проверять, пускают ли они через себя трафик? вот эти вот 0.9.58 XR - хорошие кандидаты для проверки
Vort особенно те, которые на хостинге сидят
orignal 0.9.58 однако
orignal учитывая что текущий 0.9.61
Vort хех. C:\Users\Vort>telnet 139.196.175.45 9198 / Подключение к 139.196.175.45...Не удалось открыть подключение к этому узлу, на порт 9198: Сбой подключения
Vort может, правда, меня из-за Tor забанили. orignal, потыкаешь telnet`ом ?
Vort ping.eu/port-chk : 139.196.175.45:9198 port is closed
Vort "<~orignal> 0.9.58 однако" так они же наверно хакнули клиент. и им лениво для новых версий патч портировать
relaybot 13apepi: что опять под подозрением "мешканци" Поднебесной ?
un apepi: там ниче не слышно по новостям в китае?
relaybot 13apepi: особо такого я не заметил, я ж не шпион китайский. Но факт то, что у них много сервисов и особенно интереса к и2п... с обеих сторон полит. спектра. Тут ресурсы <clipped message>
relaybot 13apepi: большие против партии .. тибетские.
relaybot 13apepi: хмпп у них было и есть свое. Ну вот как то так
orignal счас
orignal не соединяется
orignal так а вообще хоть какие то китайские соединяеются?
Vort orignal: 119.123.91.86:15927 port is open
Vort 218.79.112.188:23154 port is open
Vort у меня не коннектит, только через ping.eu open, но меня китайский фаерволл не любит, не удивительно
orignal да отвечают
Vort в общем, пока что предполагаю, что вот тот кластер XR специально настроен не отвечать - чтобы не отвлекаться от атаки
un а помоему в этом его смысл
orignal да но i2pd сразу отпрофилирует такие
orignal что недостижимый
orignal странно что число лизсетов не растет
orignal возникает вопрос куда или откуда прет весь этот потомк
orignal Router Caps: XfRE
orignal упрерся в 35K по тоннелям
R4SAS Uptime: 7 days, 22 hours, 34 minutes, 37 seconds
R4SAS Network status: OK
R4SAS Network status v6: OK
R4SAS Tunnel creation success rate: 24%
R4SAS Received: 2038.18 GiB (6022.77 KiB/s)
R4SAS Sent: 2114.50 GiB (6254.32 KiB/s)
R4SAS Transit: 1914.45 GiB (5860.55 KiB/s)
R4SAS Routers: 11211 Floodfills: 1306 LeaseSets: 0
R4SAS Client Tunnels: 194 Transit Tunnels: 19296
R4SAS Uptime: 7 days, 22 hours, 32 minutes, 59 seconds
R4SAS Network status: OK
R4SAS Network status v6: OK
R4SAS Tunnel creation success rate: 40%
R4SAS Received: 1353.79 GiB (963.61 KiB/s)
R4SAS Sent: 1428.29 GiB (1229.00 KiB/s)
R4SAS Transit: 1269.53 GiB (834.27 KiB/s)
R4SAS Routers: 13625 Floodfills: 1152 LeaseSets: 264
R4SAS Client Tunnels: 282 Transit Tunnels: 15000
R4SAS Uptime: 7 days, 22 hours, 33 minutes, 9 seconds
R4SAS Network status: OK
R4SAS Tunnel creation success rate: 9%
R4SAS Received: 1870.66 GiB (1964.99 KiB/s)
R4SAS Sent: 1901.27 GiB (1888.71 KiB/s)
R4SAS Transit: 1767.82 GiB (1878.73 KiB/s)
R4SAS Routers: 10898 Floodfills: 1233 LeaseSets: 0
R4SAS Client Tunnels: 20 Transit Tunnels: 13296
R4SAS Uptime: 7 days, 22 hours, 33 minutes, 16 seconds
R4SAS Network status: OK
R4SAS Tunnel creation success rate: 14%
R4SAS Received: 1759.92 GiB (2600.48 KiB/s)
R4SAS Sent: 1785.60 GiB (2536.83 KiB/s)
R4SAS Transit: 1673.88 GiB (2481.49 KiB/s)
R4SAS Routers: 10937 Floodfills: 1241 LeaseSets: 0
R4SAS Client Tunnels: 25 Transit Tunnels: 14580
R4SAS ^^^ это дедик
R4SAS и второй:
R4SAS Uptime: 7 days, 22 hours, 44 minutes, 1 second
R4SAS Network status: OK
R4SAS Network status v6: OK
R4SAS Tunnel creation success rate: 13%
R4SAS Received: 1878.28 GiB (5715.45 KiB/s)
R4SAS Sent: 1943.99 GiB (5941.36 KiB/s)
R4SAS Transit: 1767.98 GiB (5766.96 KiB/s)
R4SAS Routers: 11300 Floodfills: 1297 LeaseSets: 0
R4SAS Client Tunnels: 66 Transit Tunnels: 17463
R4SAS Uptime: 7 days, 22 hours, 57 minutes, 30 seconds
R4SAS Network status: OK
R4SAS Network status v6: OK
R4SAS Tunnel creation success rate: 28%
R4SAS Received: 148.39 GiB (175.55 KiB/s)
R4SAS Sent: 171.59 GiB (227.51 KiB/s)
R4SAS Transit: 108.70 GiB (90.20 KiB/s)
R4SAS Routers: 11061 Floodfills: 861 LeaseSets: 148
R4SAS Client Tunnels: 63 Transit Tunnels: 6088
R4SAS Uptime: 7 days, 22 hours, 45 minutes, 32 seconds
R4SAS Network status: OK
R4SAS Network status v6: OK
R4SAS Tunnel creation success rate: 16%
R4SAS Received: 356.49 GiB (1691.79 KiB/s)
R4SAS Sent: 384.68 GiB (2052.58 KiB/s)
R4SAS Transit: 290.46 GiB (1510.74 KiB/s)
R4SAS Routers: 9352 Floodfills: 900 LeaseSets: 0
R4SAS Client Tunnels: 27 Transit Tunnels: 12410
orignal <R4SAS> Client Tunnels: 194 Transit Tunnels: 19296
orignal там лимит случайно не 20K?
weko Я сижу с низким лимитом и заебись. Иначе я не усну просто.
weko Вертушка сделается вертолётом
orignal ну мы эксперимент проводим
weko Кажется не мы
weko А на нас
Vort ко мне ещё второй DDoS сегодня пришёл - на Tor узел атака
Vort но, судя по прошлому разу, больше суток не будет
relaybot 13apophis: спасибо сказать надо... массовая проверка на прочность
relaybot 13apophis: хорошо, что за бесплатно
Vort ну разработчики Tor вообще нифига не делают. атака ведь избирательная, а пока вся сеть не ляжет, они шевелиться не будут
Vort мои сообщения на форуме тупо игнорят
orignal ну почему можно просто ограничить и все
orignal но я хочу посмотрерть сколько будет