IRCaBot 2.1.0
GPLv3 © acetone, 2021-2022
#dev
/2024/01/08
~AreEnn
~R4SAS
~acetone
~orignal
~villain
&N00B
+relaybot
DUHOVKIN_
Guest7184
Komap-
Most2
Nausicaa
Nikat
Ruskoye_911
Vort
WebClient16
Xeha
anon3
b3t4f4c3
fidoid
karamba_i2p
nemiga
not_bob_afk
onon
plap
poriori
profetikla
qend
segfault
soos
teeth
tetrimer_
uis
un
unlike
user
weko
whothefuckami
orignal починил я ту хрень с сэмом
Vort похоже, новая волна атаки: Transit Tunnels: 20472 / Transit: 5131.82 KiB/s
orignal у меня и не прекращалась
relaybot 13apophis: атаки или "атаки" ?
Vort чётких доказательств нету. интуитивно оцениваю шанс, что это именно атака, процентов на 80
Vort а так как каждый раз говорить "то ли атака, то ли не атака" неудобно, то говорю "атака"
orignal я бы сказал наоброт что просто что то тяжлеое постоянно гоняют
relaybot 13apophis: ну вы поднаторели на ощущениях, как ИИ по паттерну определяете :)
relaybot 13apophis: ну а какого типа это тяжелое может быть ?
relaybot 13apophis: УДП что то ?
orignal видео напимер
Vort ну аргумент у меня был - совпадение всплеска количества китайских X роутеров с всплеском количества транзитов
relaybot 13apophis: видео и по ТСП идет хорошо на и2п, но наверное да УДП если видео
Vort второй аргумент - подозрительно сбитое время именно у китайских роутеров
relaybot 13apophis: сбитое ? разве роутер не глючит если время асинк ?
orignal нет это понятно что китайцы порождают трафик но почему именно атака?
Vort там всего несколько штук со сбитым временем из тысячи
Vort не только глючит, но и другие роутеры глюченым временем заражает (точнее, пытается)
relaybot 13apophis: вот это проблема
orignal там проблема не в том что время сбито а что ИНОГДА сбито
relaybot 13apophis: я думал вы это исправили все, я не следил
Vort orignal: потому, что нагрузка пришла резко. потому, что у всех X флаг
orignal ну да исправлено в 2.50.2
relaybot 13apophis: лол уже .2 есть :)
Vort 1. не все обновились 2. для классификации атака/не атака это не важно
relaybot 13apophis: оперативно, молодцы
orignal Vort ну они какую то свою фалообменную сеть запускают
orignal кстати попробовал сэм?
Vort orignal: я считаю, что интерес обычных юзеров будет нарастать скорее плавно, чем включаться (и выключаться) резко
Vort а если это какой-то один юзер что-то там себе запускает, то это не далеко от атаки
orignal а ты не думаешь что дело во временной зоне?
Vort нет, sam не пробовал. но надеюсь же что ты тестировал )
orignal они резко включаются когда у них рабочий день
orignal неее я не тестировал
orignal я запустил госткойн что ничего не сломалось и все
Vort чтобы проверить гипотезу про временную зону нужно иметь данные хорошего качества за весь период "атаки"
Vort а я то включал, то выключал, то ещё что-то
Vort ещё третий признак атаки - что XR узлы не принимают входящие
orignal а вот это надо проверить
orignal построить тоннель в 1 хоп
Vort чем это будет отличаться от тыкания через telnet ?
orignal или ты про NTCP2?
Vort ну да
orignal все не принимают или только некоторые?
Vort я выборочно тыкал. думаю, > 90 процентов
Vort хотя... я ж нормально потыкать не могу. так как Tor
Vort тыкал через сайт
Vort а там капча
Vort короч через зад
orignal надо проверить будет по списку
Vort сейчас гляну, остались ли они в netdb
Vort мало получилось. видимо, из-за того, что волна атаки уже ушла
orignal у китаезов наступила ночь
Vort надо бы вывод портов в таблицу добавить
Vort но пока что отдельно RI перешлю
orignal ну да NTCP2
orignal счас поглядим
Vort ну вот первого ткнул: 39.104.142.142:10175 port is closed
orignal может уже опустили?
orignal надоб бы SSU2 проверить
orignal возможно у них по UDP проходит и ставить статус OK а входяие NTCP2 нет
orignal но тогда пох
Vort 64 bytes from 39.104.142.142: icmp_seq=1 ttl=109 time=182 ms
orignal вопрос то с SSU2
Vort ну этого же я не проверю, так как Tor
orignal ну я попробую
orignal задать явный маршрут
Vort ага, чинили эту фичу некоторое время назад
orignal а что ее чинить? она всегда работала
orignal там с нулевыми тоннелями что то было
Vort ну а как ты хочешь? 1 + 1 делать?
orignal ну длиной в 1 хоп и все
Vort и исходящие и входящие?
orignal смотри есть у них R а соединения нет
orignal то это означает что или по UDP есть или они что то поправили
Vort я ставил 0 на входящие и 1 на исходящие, чтобы был всего один туннель
Vort поэтому было нужно 0 хоп делать
Vort расскажи, как сделаешь
Vort у меня было вот так: outbound.length = 1 inbound.length = 0 outbound.quantity = 1 inbound.quantity = 1
orignal счас
orignal explicitPeers=<b64> в какмо нибудь тоннеле
Vort это понятно, а outbound.length inbound.length outbound.quantity inbound.quantity какие?
orignal у меня 1 везде
Vort ок
Vort то есть, это будет два туннеля с узлом (если он ответит) ?
orignal в разные стороны
orignal мы так тестировали SSU2 и прочее
Vort ещё что вспомнил - приходилось подсовывавать routerinfo в netdb если были проблемы с поиском
orignal ну это само собой
Vort 222.171.8.146:11572 port is open
orignal ну значит не все так плохо
Vort 118.24.126.195:9316 port is open
Vort короч они похоже врубают узлы и потом их быстро вырубают
Vort но некоторые остаются постоянно
orignal например на телефонах
Vort Tencent Cloud Computing
Vort ALISOFT
Vort это хостинги, а не телефоны
Vort при этом сам комп остаётся включенным, пинги идут
Vort это поведение соответствует волнам нагрузки
Vort пришли, насрали - и убежали
relaybot 13apophis: > Vort: короч они похоже врубают узлы и потом их быстро вырубают
relaybot 13apophis: каков смысл такого поведения узлов, если только он есть ? Среднее время работы какое ?
Vort может это для того, чтобы через них не успели транзит начать гнать? не знают, как транзит отключать
relaybot 13apophis: если это и есть паттерн атаки, то почему волнами ?
Vort хрен его знает какое среднее время. только выяснили, что они выключаются )
relaybot 13apophis: почему не врубить и захлестнуть сеть на долгий период ?
Vort или может так банов джавы избегают
relaybot 13apophis: я просто думаю, что они могут использовать на ПО уровне, которое вот дает такой паттерн
relaybot 13apophis: ааа.. про яву роутеры это таки идея
relaybot 13apophis: сколько Китайских роутер там примерно ?
Vort тыща где-то
Vort не помню уже
relaybot 13apophis: ок спс
Vort ну и важная особенность - адреса хостингов. не всегда, правда
Vort то есть, это не юзер залез на сайт, глянул что-то и вырубил узел
relaybot 13apophis: хостинговые компании ?
Vort ну да. в основном, Alibaba Cloud
relaybot 13apophis: хорошо, я не в тренде сильно про крипту, но предположительно .. монеро или битки на и2п и вся инфраструктура, может такой паттерн давать ?
Vort вырубать узлы? им делать нехрен что ли? маловероятно
relaybot 13apophis: Китай сильно влез в крипту с поддержкой тора и навеноре и2п
relaybot 13apophis: ну если нет .. то нет
Vort разве что если китайцы специально так настроили
Vort но зачем - непонятно
Vort да и нет в крипте столько трафика
relaybot 13apophis: вот потому и спросил, так как известно, что они полезли в крипту на торе. Я думал имеет какое то отношение
relaybot 13apophis: торренты столько траффика не дают, верно ?
orignal apophis версия с криптой плохая
orignal потому что число лизсетов не растет
Vort могут торренты. но паттерн потребления был бы другой
relaybot 13apophis: я понял да
relaybot 13apophis: загадка однако :)
Vort я же рассказывал про загадку с раздачей убунты?
relaybot 13apophis: я не в курсе.. на самом деле не слыхал
relaybot 13apophis: а что там было ?
Vort приходили китайцы/тайваньцы и качали у меня убунту, определённой версии. десятки раз по кругу. на протяжении больше года
Vort пока я не заметил и не перебанил их нахрен
Vort это через торрент
Vort через клирнет
Vort 9 терабайт накачали
relaybot 13apophis: т.е. у них НЕТ доступа к убунту ?
relaybot 13apophis: и наверное дебиан и .т.д
Vort так один и тот же юзер по 10 раз качал ))
relaybot 13apophis: тогда что происходит, если они делают апдейт/апгрейд
relaybot 13apophis: ОДИН юзер ?
relaybot 13apophis: лол
Vort ну их было много. и каждый раз по 10
Vort я точно не считал конечно же
relaybot 13apophis: обрывались тоннели наверное
Vort но если бы по 1-2-3 раза качали, я бы ничего не заметил
Vort и это было бы нормально
Vort да это ж клирнет говорю
relaybot 13apophis: клирнет ?
relaybot 13apophis: я в шоке
Vort я думаю они так зачем-то забивали себе канал
Vort и говорю это к тому, что они так и сетью i2p могут себе канал забивать
Vort зачем - загадка
relaybot 13apophis: на подобии трансита
Vort но им явно та убунта нафиг не нужна была
relaybot 13apophis: могли бы ГСЧ себе поставить и забивать идеально свои надобности :)
relaybot 13mauzer: да
Vort странно, то, что и Китай и Тайвань. но больше с других стран такого не замечал
Vort то есть, это не один какой-то юзер был (в моём случае с убунтой)
Vort традиция такая на востоке - убунту качать что ли? :D
relaybot 13apophis: в клире искал какие то упоминания о таких делах ?
Vort искал, ничего не нашёл
Vort разве что находил магнитку этой убунты
Vort но это объясняет только почему именно эта версия
Vort но не объясняет нафига это вообще нужно делать
ubd у меня рейт немного вырос до 10% и кол-во тоннелей уменьшилось
orignal у меня тоже
orignal трафик примерно в 2 раза ниже
R4SAS какой то чувак решил сделать в alpine по красоте пакет - бинарник, библиотеки, заголовочные для сборки с libi2pd, отладочные символы.
ubd и в чем профит?
ubd это для docker?
ubd а это просто для alpine linux?
relaybot 13apophis: > ubd: и в чем профит?
relaybot 13apophis: лол ... кейворд одного любимца публики
un R4SAS, ты alpine на каком ниить деске юзаешьь?
un R4SAS, кароче, если юзаешь - как ты там сделал /run/user/<PID> ? я на стром буке развернул. просто mkdir в rclocal. и еще Xorg тоже пришлось сделать setuid побыстрому. не понял как там