~AreEnn
~R4SAS
~orignal
~villain
&N00B
+Xeha
+relaybot
DUHOVKIN
Guest18377
HackerMan
KabaOS
Most2
Nausicaa
Ruskoye_911
Trusishka
Vort
`
acetone_
anon3
b3t4f4c3
mittwerk
nemiga
not_bob_afk
plap
poriori_
profetikla
segfault
soos
teeth
tensor
un
weko_
whothefuckami
orignal
починил я ту хрень с сэмом
Vort
похоже, новая волна атаки: Transit Tunnels: 20472 / Transit: 5131.82 KiB/s
orignal
у меня и не прекращалась
relaybot
13apophis: атаки или "атаки" ?
Vort
чётких доказательств нету. интуитивно оцениваю шанс, что это именно атака, процентов на 80
Vort
а так как каждый раз говорить "то ли атака, то ли не атака" неудобно, то говорю "атака"
orignal
я бы сказал наоброт что просто что то тяжлеое постоянно гоняют
relaybot
13apophis: ну вы поднаторели на ощущениях, как ИИ по паттерну определяете :)
relaybot
13apophis: ну а какого типа это тяжелое может быть ?
relaybot
13apophis: УДП что то ?
orignal
видео напимер
Vort
ну аргумент у меня был - совпадение всплеска количества китайских X роутеров с всплеском количества транзитов
relaybot
13apophis: видео и по ТСП идет хорошо на и2п, но наверное да УДП если видео
Vort
второй аргумент - подозрительно сбитое время именно у китайских роутеров
relaybot
13apophis: сбитое ? разве роутер не глючит если время асинк ?
orignal
нет это понятно что китайцы порождают трафик но почему именно атака?
Vort
там всего несколько штук со сбитым временем из тысячи
Vort
не только глючит, но и другие роутеры глюченым временем заражает (точнее, пытается)
relaybot
13apophis: вот это проблема
orignal
там проблема не в том что время сбито а что ИНОГДА сбито
relaybot
13apophis: я думал вы это исправили все, я не следил
Vort
orignal: потому, что нагрузка пришла резко. потому, что у всех X флаг
orignal
ну да исправлено в 2.50.2
relaybot
13apophis: лол уже .2 есть :)
Vort
1. не все обновились 2. для классификации атака/не атака это не важно
relaybot
13apophis: оперативно, молодцы
orignal
Vort ну они какую то свою фалообменную сеть запускают
orignal
кстати попробовал сэм?
Vort
orignal: я считаю, что интерес обычных юзеров будет нарастать скорее плавно, чем включаться (и выключаться) резко
Vort
а если это какой-то один юзер что-то там себе запускает, то это не далеко от атаки
orignal
а ты не думаешь что дело во временной зоне?
Vort
нет, sam не пробовал. но надеюсь же что ты тестировал )
orignal
они резко включаются когда у них рабочий день
orignal
неее я не тестировал
orignal
я запустил госткойн что ничего не сломалось и все
Vort
чтобы проверить гипотезу про временную зону нужно иметь данные хорошего качества за весь период "атаки"
Vort
а я то включал, то выключал, то ещё что-то
Vort
ещё третий признак атаки - что XR узлы не принимают входящие
orignal
а вот это надо проверить
orignal
построить тоннель в 1 хоп
Vort
чем это будет отличаться от тыкания через telnet ?
orignal
или ты про NTCP2?
Vort
ну да
orignal
все не принимают или только некоторые?
Vort
я выборочно тыкал. думаю, > 90 процентов
Vort
хотя... я ж нормально потыкать не могу. так как Tor
Vort
тыкал через сайт
Vort
а там капча
Vort
короч через зад
orignal
надо проверить будет по списку
Vort
сейчас гляну, остались ли они в netdb
Vort
мало получилось. видимо, из-за того, что волна атаки уже ушла
orignal
у китаезов наступила ночь
Vort
надо бы вывод портов в таблицу добавить
Vort
но пока что отдельно RI перешлю
orignal
ну да NTCP2
orignal
счас поглядим
Vort
ну вот первого ткнул: 39.104.142.142:10175 port is closed
orignal
может уже опустили?
orignal
надоб бы SSU2 проверить
orignal
возможно у них по UDP проходит и ставить статус OK а входяие NTCP2 нет
orignal
но тогда пох
Vort
64 bytes from 39.104.142.142: icmp_seq=1 ttl=109 time=182 ms
orignal
вопрос то с SSU2
Vort
ну этого же я не проверю, так как Tor
orignal
ну я попробую
orignal
задать явный маршрут
Vort
ага, чинили эту фичу некоторое время назад
orignal
а что ее чинить? она всегда работала
orignal
там с нулевыми тоннелями что то было
Vort
ну а как ты хочешь? 1 + 1 делать?
orignal
ну длиной в 1 хоп и все
Vort
и исходящие и входящие?
orignal
смотри есть у них R а соединения нет
orignal
то это означает что или по UDP есть или они что то поправили
Vort
я ставил 0 на входящие и 1 на исходящие, чтобы был всего один туннель
Vort
поэтому было нужно 0 хоп делать
Vort
расскажи, как сделаешь
Vort
у меня было вот так: outbound.length = 1 inbound.length = 0 outbound.quantity = 1 inbound.quantity = 1
orignal
счас
orignal
explicitPeers=<b64> в какмо нибудь тоннеле
Vort
это понятно, а outbound.length inbound.length outbound.quantity inbound.quantity какие?
orignal
у меня 1 везде
Vort
ок
Vort
то есть, это будет два туннеля с узлом (если он ответит) ?
orignal
да
orignal
в разные стороны
orignal
мы так тестировали SSU2 и прочее
Vort
ещё что вспомнил - приходилось подсовывавать routerinfo в netdb если были проблемы с поиском
orignal
ну это само собой
Vort
222.171.8.146:11572 port is open
orignal
ну значит не все так плохо
Vort
118.24.126.195:9316 port is open
Vort
короч они похоже врубают узлы и потом их быстро вырубают
Vort
но некоторые остаются постоянно
orignal
например на телефонах
Vort
Tencent Cloud Computing
Vort
ALISOFT
Vort
это хостинги, а не телефоны
Vort
при этом сам комп остаётся включенным, пинги идут
Vort
это поведение соответствует волнам нагрузки
Vort
пришли, насрали - и убежали
relaybot
13apophis: > Vort: короч они похоже врубают узлы и потом их быстро вырубают
relaybot
13apophis: каков смысл такого поведения узлов, если только он есть ? Среднее время работы какое ?
Vort
может это для того, чтобы через них не успели транзит начать гнать? не знают, как транзит отключать
relaybot
13apophis: если это и есть паттерн атаки, то почему волнами ?
Vort
хрен его знает какое среднее время. только выяснили, что они выключаются )
relaybot
13apophis: почему не врубить и захлестнуть сеть на долгий период ?
Vort
или может так банов джавы избегают
relaybot
13apophis: я просто думаю, что они могут использовать на ПО уровне, которое вот дает такой паттерн
relaybot
13apophis: ааа.. про яву роутеры это таки идея
relaybot
13apophis: сколько Китайских роутер там примерно ?
Vort
тыща где-то
Vort
не помню уже
relaybot
13apophis: ок спс
Vort
ну и важная особенность - адреса хостингов. не всегда, правда
Vort
то есть, это не юзер залез на сайт, глянул что-то и вырубил узел
relaybot
13apophis: хостинговые компании ?
Vort
ну да. в основном, Alibaba Cloud
relaybot
13apophis: хорошо, я не в тренде сильно про крипту, но предположительно .. монеро или битки на и2п и вся инфраструктура, может такой паттерн давать ?
Vort
вырубать узлы? им делать нехрен что ли? маловероятно
relaybot
13apophis: Китай сильно влез в крипту с поддержкой тора и навеноре и2п
relaybot
13apophis: ну если нет .. то нет
Vort
разве что если китайцы специально так настроили
Vort
но зачем - непонятно
Vort
да и нет в крипте столько трафика
relaybot
13apophis: вот потому и спросил, так как известно, что они полезли в крипту на торе. Я думал имеет какое то отношение
relaybot
13apophis: торренты столько траффика не дают, верно ?
orignal
apophis версия с криптой плохая
orignal
потому что число лизсетов не растет
Vort
могут торренты. но паттерн потребления был бы другой
relaybot
13apophis: я понял да
relaybot
13apophis: загадка однако :)
Vort
я же рассказывал про загадку с раздачей убунты?
relaybot
13apophis: я не в курсе.. на самом деле не слыхал
relaybot
13apophis: а что там было ?
Vort
приходили китайцы/тайваньцы и качали у меня убунту, определённой версии. десятки раз по кругу. на протяжении больше года
Vort
пока я не заметил и не перебанил их нахрен
Vort
это через торрент
Vort
через клирнет
Vort
9 терабайт накачали
relaybot
13apophis: т.е. у них НЕТ доступа к убунту ?
relaybot
13apophis: и наверное дебиан и .т.д
Vort
так один и тот же юзер по 10 раз качал ))
relaybot
13apophis: тогда что происходит, если они делают апдейт/апгрейд
relaybot
13apophis: ОДИН юзер ?
relaybot
13apophis: лол
Vort
ну их было много. и каждый раз по 10
Vort
я точно не считал конечно же
relaybot
13apophis: обрывались тоннели наверное
Vort
но если бы по 1-2-3 раза качали, я бы ничего не заметил
Vort
и это было бы нормально
Vort
да это ж клирнет говорю
relaybot
13apophis: клирнет ?
relaybot
13apophis: я в шоке
Vort
я думаю они так зачем-то забивали себе канал
Vort
и говорю это к тому, что они так и сетью i2p могут себе канал забивать
Vort
зачем - загадка
relaybot
13apophis: на подобии трансита
Vort
но им явно та убунта нафиг не нужна была
relaybot
13apophis: могли бы ГСЧ себе поставить и забивать идеально свои надобности :)
relaybot
13mauzer: да
Vort
странно, то, что и Китай и Тайвань. но больше с других стран такого не замечал
Vort
то есть, это не один какой-то юзер был (в моём случае с убунтой)
Vort
традиция такая на востоке - убунту качать что ли? :D
relaybot
13apophis: в клире искал какие то упоминания о таких делах ?
Vort
искал, ничего не нашёл
Vort
разве что находил магнитку этой убунты
Vort
но это объясняет только почему именно эта версия
Vort
но не объясняет нафига это вообще нужно делать
ubd
у меня рейт немного вырос до 10% и кол-во тоннелей уменьшилось
orignal
у меня тоже
orignal
трафик примерно в 2 раза ниже
R4SAS
какой то чувак решил сделать в alpine по красоте пакет - бинарник, библиотеки, заголовочные для сборки с libi2pd, отладочные символы.
ubd
и в чем профит?
ubd
это для docker?
ubd
а это просто для alpine linux?
relaybot
13apophis: > ubd: и в чем профит?
relaybot
13apophis: лол ... кейворд одного любимца публики
un
R4SAS, ты alpine на каком ниить деске юзаешьь?
un
R4SAS, кароче, если юзаешь - как ты там сделал /run/user/<PID> ? я на стром буке развернул. просто mkdir в rclocal. и еще Xorg тоже пришлось сделать setuid побыстрому. не понял как там