~AreEnn
~R4SAS
~orignal
~villain
&N00B
+Xeha
+relaybot
DUHOVKIN
Guest7184
Leopold
Most2
Nausicaa
Ruskoye_911
Vort
acetone
anon2
b3t4f4c3
karamba_i2p
nemiga
not_bob_afk
plap
poriori
profetikla
soos
teeth
un
weko_
whothefuckami
orignal
Transit: 919.13 GiB (6154.31 KiB/s)
yerion
это за год?
orignal
за 4 дня
orignal
суть что сейчас 60 мбс
yerion
ну я прям не знаю что это может быть, надо смотреть где что под i2p появилось или обновилось
yerion
похоже на ddos
orignal
нет это реальный транзит прет по тоннелям
orignal
Transit: 921.05 GiB (7123.33 KiB/s)
orignal
Transit Tunnels: 25840
yerion
почему бы не сделать тысячу нод постоянно запрашивающих случайные тоннели и посылающих по ним трафик, формально это ничем не отличается от увеличения юзер базы
orignal
отсылка трафика тоже жрет ресурсы
orignal
его же надо шифровать
yerion
ну так это госы и иллюминаты, накупили себе суперкомпьютеров
yerion
и шалят
orignal
а смысл?
yerion
а смысл предыдущих атак в этом году? Либо свернуть i2p либо указать на уязвимость отсутствия внутренних рейт-лимитов или чего-то такого
orignal
и смысла предыдущих не было
orignal
а возможно и правда что то тяжелое стали гонять
orignal
на самом деле тут все проще
orignal
джавовские узлы начинают давать отлупы и выкидывать пакеты
orignal
в интоге весь поток ломится на i2pd
orignal
итересно что у R4SAS-а поскольку у него дедик
Vort
сделал на всякий случай кластерный анализ NTCP2 IP адресов во время всплеска. ничего интересного. максимальный размер группы в подсети из 256 адресов - 10 штук. это нормально
Vort
а вот на i2p-metrics кое что интересное нашлось. появились данные за вчерашний день и по ним заметен всплеск числа X роутеров
Vort
+ 1200 X роутеров за 2 дня
Vort
в принципе, подобное уже бывало. так что может это и рандом
Vort
на графике по странам виден очередной всплеск от китайцев
Vort
но по числам не сходится. + 500 китайцев за 2 дня
Vort
наверное, таки китайцы опять гадят. я сделал выборку по странам из своего NTCP2 списка и китайцев там всего 3 (из 4110 адресов всего)
Vort
видимо, кому-то "везёт" получить вход атаки с толпой китайцев в списке
Vort
остальным же достаются последствия в виде низкого рейта и большого транзита
Vort
weko: это же у тебя была несколько месяцев назад куча китайских коннектов? наблюдалось ли такое же вчера, сегодня?
weko
Не смотрел
orignal
а все эти X китайские?
orignal
насчет китайцев и джависты говорят
orignal
Transit Tunnels: 29392
Vort
"<~orignal> а все эти X китайские?" - чтобы это понять, надо кому-то словить всплеск коннектов именно с китайскими IP адресами
Vort
но по косвенным признакам очень похоже на то
Vort
Transit Tunnels: 23510
orignal
а лимит какой?
Vort
60к
orignal
интресно чего они добиваются
Vort
это же скорее всего с хостинга атака идёт. так что тут ещё вопрос, кто её организует. вполне могут быть и не китайцы
Vort
хотя мне сложно представить логику того, кто в Китае заказывает хостинг. может, просто дёшево?
un
какаято движуха в китае. которая через i2p коммуницируется
orignal
а почему family zzz?
orignal
явно какой то намек
un
я свои мысли изложу:
orignal
мы слушаем внимательно
un
пытаются траффик на свои раутеры перенаправить. ставят X и думают что если family = zzz то типа доверят будут
un
нарушить работу i2p имеют цель
orignal
короче атака 51%
un
ddos
orignal
вопрос заключается во в чем
un
как мне кажется, что0то там в китае не хочет i2p чтобы в китае работало
un
либо тренируются
orignal
действительно ли эти X роутеры пропускают через себя трафик
un
если преследовать цель нарушить работу - то не должны
un
и постоянно новые подниматься
orignal
надо будет попробовать
orignal
еще странное совпадение что атака началась как только джависты выпустили новый релиз
un
можно дать такое обьяснение - тестируют метод атаки на i2p на новом релизе
un
отсюда можно предположить что в Китае не пользуют i2pd
orignal
логичноэ
orignal
кстати эти X китайские джава или i2pd?
orignal
ransit Tunnels: 30112
Vort
надо хотя бы несколько RI чётко с этой атаки словить
Vort
так кто видел массовость family zzz ? сколько штук RI было?
Vort
у меня всего один находится
Vort
caps=PR у него кстати
Vort
и провайдер не хостинг
Vort
мне кажется, что роутеры атакующего банят все адреса кроме тех, на которые идёт атака
Vort
иначе бы они были заметны в списке у всех узлов
Vort
в списке коннектов у меня китайских узлов почти не было, а вот в netdb нашлось побольше
orignal
а как ты определяешь китайские?
Vort
сейчас рассмотрю получше. 32 из 12598
Vort
по IP адресу
Vort
хотя у меня там регулярки. короч буду перепроверять, может фигня
orignal
то то и оно
orignal
caps=^BXR;^Ffamily=^FUnholy
orignal
причем явно джава
orignal
я предлагаю смотреть в транспортах на те линки через которые идут слишком большие объемы
orignal
вот по ygg совсем мизер везде
Vort
orignal: вот результат по китайскому срезу netdb: paste.i2pd.xyz/?b678546bf1628054#CnpztV1N9KNQM31Kin7pVLqiExixRDwKC3qRg7bKFf5F
orignal
отсюда я делаю вывод что атакуащий таки джава
orignal
а как ты i2pd и джаву развличаешь?
orignal
у них счас тоже SSU2 публикуется
Vort
именно 2 сразу после SSU ?
Vort
я по этому различаю
Vort
ну да я сейчас запакую эти RI и кину ссылку. для перепроверки
orignal
да
orignal
в новом релизе так
Vort
сейчас версию ещё выведу в таблицу
Vort
22 узла из 32: 0.9.58 XR
Vort
хз, атакующий это или нет, но китайские X подтвердились
Vort
а точнее XR
Vort
хотя может и U есть, но я же у них IP не вижу
Vort
у некоторых вижу ALISOFT - то есть хостинг (Alibaba Cloud)
Vort
несколько штук уже вижу оттуда
Vort
orignal: знаешь как проверять, пускают ли они через себя трафик? вот эти вот 0.9.58 XR - хорошие кандидаты для проверки
Vort
особенно те, которые на хостинге сидят
orignal
0.9.58 однако
orignal
учитывая что текущий 0.9.61
Vort
хех. C:\Users\Vort>telnet 139.196.175.45 9198 / Подключение к 139.196.175.45...Не удалось открыть подключение к этому узлу, на порт 9198: Сбой подключения
Vort
может, правда, меня из-за Tor забанили. orignal, потыкаешь telnet`ом ?
Vort
ping.eu/port-chk : 139.196.175.45:9198 port is closed
Vort
"<~orignal> 0.9.58 однако" так они же наверно хакнули клиент. и им лениво для новых версий патч портировать
relaybot
13apepi: что опять под подозрением "мешканци" Поднебесной ?
un
apepi: там ниче не слышно по новостям в китае?
relaybot
13apepi: особо такого я не заметил, я ж не шпион китайский. Но факт то, что у них много сервисов и особенно интереса к и2п... с обеих сторон полит. спектра. Тут ресурсы <clipped message>
relaybot
13apepi: большие против партии .. тибетские.
relaybot
13apepi: хмпп у них было и есть свое. Ну вот как то так
orignal
счас
orignal
не соединяется
orignal
так а вообще хоть какие то китайские соединяеются?
Vort
orignal: 119.123.91.86:15927 port is open
Vort
218.79.112.188:23154 port is open
Vort
у меня не коннектит, только через ping.eu open, но меня китайский фаерволл не любит, не удивительно
orignal
да отвечают
Vort
в общем, пока что предполагаю, что вот тот кластер XR специально настроен не отвечать - чтобы не отвлекаться от атаки
un
а помоему в этом его смысл
orignal
да но i2pd сразу отпрофилирует такие
orignal
что недостижимый
orignal
странно что число лизсетов не растет
orignal
возникает вопрос куда или откуда прет весь этот потомк
orignal
Router Caps: XfRE
orignal
упрерся в 35K по тоннелям
R4SAS
Uptime: 7 days, 22 hours, 34 minutes, 37 seconds
R4SAS
Network status: OK
R4SAS
Network status v6: OK
R4SAS
Tunnel creation success rate: 24%
R4SAS
Received: 2038.18 GiB (6022.77 KiB/s)
R4SAS
Sent: 2114.50 GiB (6254.32 KiB/s)
R4SAS
Transit: 1914.45 GiB (5860.55 KiB/s)
R4SAS
Routers: 11211 Floodfills: 1306 LeaseSets: 0
R4SAS
Client Tunnels: 194 Transit Tunnels: 19296
R4SAS
Uptime: 7 days, 22 hours, 32 minutes, 59 seconds
R4SAS
Network status: OK
R4SAS
Network status v6: OK
R4SAS
Tunnel creation success rate: 40%
R4SAS
Received: 1353.79 GiB (963.61 KiB/s)
R4SAS
Sent: 1428.29 GiB (1229.00 KiB/s)
R4SAS
Transit: 1269.53 GiB (834.27 KiB/s)
R4SAS
Routers: 13625 Floodfills: 1152 LeaseSets: 264
R4SAS
Client Tunnels: 282 Transit Tunnels: 15000
R4SAS
Uptime: 7 days, 22 hours, 33 minutes, 9 seconds
R4SAS
Network status: OK
R4SAS
Tunnel creation success rate: 9%
R4SAS
Received: 1870.66 GiB (1964.99 KiB/s)
R4SAS
Sent: 1901.27 GiB (1888.71 KiB/s)
R4SAS
Transit: 1767.82 GiB (1878.73 KiB/s)
R4SAS
Routers: 10898 Floodfills: 1233 LeaseSets: 0
R4SAS
Client Tunnels: 20 Transit Tunnels: 13296
R4SAS
Uptime: 7 days, 22 hours, 33 minutes, 16 seconds
R4SAS
Network status: OK
R4SAS
Tunnel creation success rate: 14%
R4SAS
Received: 1759.92 GiB (2600.48 KiB/s)
R4SAS
Sent: 1785.60 GiB (2536.83 KiB/s)
R4SAS
Transit: 1673.88 GiB (2481.49 KiB/s)
R4SAS
Routers: 10937 Floodfills: 1241 LeaseSets: 0
R4SAS
Client Tunnels: 25 Transit Tunnels: 14580
R4SAS
^^^ это дедик
R4SAS
и второй:
R4SAS
Uptime: 7 days, 22 hours, 44 minutes, 1 second
R4SAS
Network status: OK
R4SAS
Network status v6: OK
R4SAS
Tunnel creation success rate: 13%
R4SAS
Received: 1878.28 GiB (5715.45 KiB/s)
R4SAS
Sent: 1943.99 GiB (5941.36 KiB/s)
R4SAS
Transit: 1767.98 GiB (5766.96 KiB/s)
R4SAS
Routers: 11300 Floodfills: 1297 LeaseSets: 0
R4SAS
Client Tunnels: 66 Transit Tunnels: 17463
R4SAS
Uptime: 7 days, 22 hours, 57 minutes, 30 seconds
R4SAS
Network status: OK
R4SAS
Network status v6: OK
R4SAS
Tunnel creation success rate: 28%
R4SAS
Received: 148.39 GiB (175.55 KiB/s)
R4SAS
Sent: 171.59 GiB (227.51 KiB/s)
R4SAS
Transit: 108.70 GiB (90.20 KiB/s)
R4SAS
Routers: 11061 Floodfills: 861 LeaseSets: 148
R4SAS
Client Tunnels: 63 Transit Tunnels: 6088
R4SAS
Uptime: 7 days, 22 hours, 45 minutes, 32 seconds
R4SAS
Network status: OK
R4SAS
Network status v6: OK
R4SAS
Tunnel creation success rate: 16%
R4SAS
Received: 356.49 GiB (1691.79 KiB/s)
R4SAS
Sent: 384.68 GiB (2052.58 KiB/s)
R4SAS
Transit: 290.46 GiB (1510.74 KiB/s)
R4SAS
Routers: 9352 Floodfills: 900 LeaseSets: 0
R4SAS
Client Tunnels: 27 Transit Tunnels: 12410
orignal
<R4SAS> Client Tunnels: 194 Transit Tunnels: 19296
orignal
там лимит случайно не 20K?
weko
Я сижу с низким лимитом и заебись. Иначе я не усну просто.
weko
Вертушка сделается вертолётом
orignal
ну мы эксперимент проводим
weko
Кажется не мы
weko
А на нас
Vort
ко мне ещё второй DDoS сегодня пришёл - на Tor узел атака
Vort
но, судя по прошлому разу, больше суток не будет
relaybot
13apophis: спасибо сказать надо... массовая проверка на прочность
relaybot
13apophis: хорошо, что за бесплатно
Vort
ну разработчики Tor вообще нифига не делают. атака ведь избирательная, а пока вся сеть не ляжет, они шевелиться не будут
Vort
мои сообщения на форуме тупо игнорят
orignal
ну почему можно просто ограничить и все
orignal
но я хочу посмотрерть сколько будет