IRCaBot 2.1.0
GPLv3 © acetone, 2021-2022
#dev
/2024/03/21
~AreEnn
~R4SAS
~orignal
~villain
&N00B
+Xeha
+relaybot
DUHOVKIN
Guest18377
HackerMan
KabaOS
Most2
Nausicaa
Ruskoye_911
Spirit90
Trusishka
Vort
`
acetone_
anon3
b3t4f4c3
mittwerk
nemiga
not_bob_afk
plap
poriori_
profetikla
segfault
soos
teeth
tensor
un
weko_
whothefuckami
relaybot 13apophis: zhopa
Vort по зелёному графику видно, что в 3 ночи что-то началось, в следующие 3 ночи и закончилось
Vort на моём узле тоже этот эффект виден, но не так явно
WebClient91 Здравствуйте
Vort доброе утро
WebClient79 orignal здравствуйте
WebClient79 вы тута?
tetrimer Vort: > в 3 ночи что-то началось
tetrimer SSU2 транспорты незначительно увеличились...
tetrimer На машинах за NAT-ом картинка выглядит более ужасающей: короткий пик возрастания SSU2, а вместе с ним - растет число роутеров, которое уменьшается до старого значения в течение 2-3-4 часов.
tetrimer Через 12 часов - все повторяется. Иногда идут несколько пиков с интервалом 20-30 минут.
tetrimer Пики SSU2 во время выросшего числа роутеров: при этом количество роутеров более менее постоянно.
tetrimer Похоже на имитацию коннектов от фейковых роутеров, причем из нескольких источников у которых множества адресов где-то пересекаются: т.к. рост роутеров - непропорциональный.
Vort по-хорошему, надо разбираться, как эти волны создаются
Vort угадать будет сложно
Vort количество транспортов и роутеров может возрастать по множеству причин
Vort но надо бы выяснить первопричину
Vort у меня подозрение, что атака может идти запросами к флудфилам
Vort надо бы собрать дебаг лог до всплеска и во время него и нарисовать графики по количестсву запросов
Vort понятно, что и эхо от атаки будет генерировать запросы, но график от эха должен быть плавнее
Vort надо же искать резкий всплеск
tetrimer Так на моих флудфилах в это время - относительно тихо.
Vort а 666 - это не флудфил разве?
whothefuckami Опять атака?
tetrimer Флудфил. Но на нем это не так выражено.
whothefuckami Моему флудфилу тоже пофиг
whothefuckami Только трафика несколько больше
whothefuckami Routers: 13608
Vort tetrimer: я вот стрелочкой отметил выраженность. резче прыжка я ещё ни разу не видел: paste.i2pd.xyz/?59f455de02e4342e#EuNfpzcP4PKGefny1fJ6Sp39bGT5MAkcbFgA9FTdWM9U
Vort whothefuckami: на последние коммиты обновлялся?
whothefuckami <Vort> whothefuckami: на последние коммиты обновлялся?
Vort жаль
whothefuckami А надо?
Vort много багов исправлено, которые вредят сети
whothefuckami Окей, сейчас обновимся
Vort но только прошу следить, не появятся ли новые баги
tetrimer Ну вот у меня на тех двух машинках, что за натом - такие пики, только узкие.
Vort так флудфилы шлют ответы через машины за НАТом :( точнее, слали до исправления
Vort ну точнее не совсем так. слали через зондирующие туннели, а зондирующие туннели часто шли через НАТ
Vort высокоскоростные узлы же чаще без НАТа
Vort whothefuckami: если сможешь, расскажи, какой будет эффект от обновления флудфила
tetrimer Там, правда, почи 5 дней не обновлялся бинарник.
tetrimer Version: 2.50.2-162-g161ff357
Vort tetrimer: на таком масштабе не понять, резкие были всплески или нет. ну и не понятно, чётко в 3 часа или хаотично
Vort в целом, я похожий эффект на U узлах ранее видел
Vort и, по-моему, на R узлах он тоже есть, просто "тонет в шуме" от остальной активности
tetrimer privatebin.i2p/?f48323351b351e4c#889JYcUppynM4xvk5V32gGt1kdnsxjQSewym5aDuf8kP - ну вот дневной график с другого сервера.
Vort немного просматривается кратность часу
Vort хотя не точно
tetrimer При сравнении двух дневных графиков - "просматривается" очередность. Т.е. пики появляются не одновременно, а по очереди. То на одном, то на другом.
tetrimer Сканируют сеть?
Vort ну на расписание по крайней мере не похоже. в отличие от "в 3 часа включилась нагрузка, в 3 часа выключилась"
Vort "по очереди" - может быть признаком рандомности
tetrimer Могло просто совпасть с какой-нибудь закачкой, которая сутки шла. :)
Vort то туда попал нагруженный транзит, то сюда
tetrimer Тогда это нельзя считать атакой.
Vort закачка не идёт через тысячи узлов
Vort вот эти шипы - не похожи на атаку
tetrimer Просто кто-то сильно грузит сеть (или пытается)
Vort а нагрузка от 3 до 3 - похоже
tetrimer По мне - так как раз "шипы" - больше похожи, т.к. малым/коротким воздействием - создают длительное возмущение.
Vort моя гипотеза - что это туннели с ответам флудфилов дают такой эффект
Vort они же отвечают то одному узлу, то другому
Vort поэтому и растёт количество Routers
Vort а через 10 минут - туннель протух и всё, уже на другом узле такое же
tetrimer Воот, а если, грубо говоря, кто-то вбрасывает узлу пачку запросов от несуществующих узлов? Получаем "шип" воздействия.
Vort обновление сети покажет, верна гипотеза или нет. но ждать придётся долго
Vort могут быть и вбросы, конечно. но какие-то они нерегулярные
tetrimer Потому, что в одновременное обращение тысячи роутеров в адрес одного узла - лично я не верю.
Vort не тыща на один узел, а один узел (флудфил) отвечает тыще других узлов. через туннель. через NAT узел
Vort колиечество транзитных туннелей на графике ведь не особо прыгает
tetrimer А как так получается, что пути к этой тысяче лежат через узел за nat-ом, у которого транзитных туннелей - полтора десятка?
Vort значит, скорее всего, это всего один транзит такой эффект даёт
tetrimer По-идее - узел за nat - должен быть на периферии.
Vort полтора десятка - это из-за багов. должно быть больше
Vort а вот когда удаётся через баги пробиться, да ещё и флудфилу - имеем вот такой эффект
tetrimer Если скорость заявить побольше - будет больше транзитов.
Vort у NAT узла больше 100-200 - вряд ли будет
Vort а должны быть тысячи
tetrimer У меня на флудфилах-то сейчас держится меньше 10000.
tetrimer Вечером перегружу эти машинки на 172-ю версию, посмотрим.
tetrimer Кстати, на 666 смена версии не помогла от нагрузки "с 3 до 3". Там на дневном графике в районе 13:00-14:00 виден провал транзитных туннелей из-за перезапуска i2pd.
tetrimer Т.е. это не глюк i2pd, а приходила реальная нагрузка по сети.
tetrimer Uptime: 1 day, 1 hour, 38 minutes, 45 seconds
tetrimer_ 13:22 было запущено
Vort да, я это видел
Vort я вот только думаю, может, нагрузка была как-то связана с расположением узла в DHT
Vort есть ли информация по другим флудфилам - была ли там нагрузка с 3 до 3 ?
karamba_i2p orignal там на ру канале спамер ошалел...
relaybot 13apophis: это наш спаммер
relaybot 13apophis: местный
whothefuckami <Vort> whothefuckami: если сможешь, расскажи, какой будет эффект от обновления флудфила
whothefuckami Пока никаких отличий
Vort whothefuckami: хорошо, спасибо. главное, чтобы не было хуже
Vort транзитного трафика больше не стало?
onon У меня одного роутеры через одни и те же узлы туннели строят?
Vort onon: если это пересоздание expired туннелей - то так и должно быть
onon Нет там было 7 одинаковых туннелей на одном роутере. И на других по три и более с похожим набором узлов.
onon Может остальные уперлись в лимит по туннелям и только эти отвечали на запросы по туннелям...
Vort скорее, это был глюк с пересозданием. таймаут прошёл - ещё одно пересоздание запросилось. а затем пришёл ответ на оба запроса, вот и получился дубль. ну и сам expired же ещё остаётся
Vort сейчас рейт очень низкий, вот и глючит
Anonymous Vort: any news about SAM thing?
Anonymous Could it be possible that it's actually just tracker2.postman.i2p at fault? lol
Anonymous like it not giving me peers or something?
Anonymous I doubt it's a wide-spread issue though
Anonymous any update*
Anonymous I don't remember that when I 1st started using qBittorrent over I2P that it has that issue, either first few torrents were very lucky, or maybe postman changed something? but I guess there would be complaints
Anonymous actually nevermind, tracker says a few peers, the peer tab doesn't show any, so it's probably the connetcion to them that's non-existent
Vort I suggest you to try torrent with lots of peers
Vort it will be easier to see what's going on this way
Anonymous I did try that
Anonymous same issue
Anonymous One of many-peer torrents was special and worked well for hours, the other one didn't like most don't
Anonymous Also where I said in the past that torrent speed was very low, that was because of low amount of peers, I think, maybe there is another issue with speed I don't know, but having 0 torrents is greater issue as speed is 0kb/s with 0 peers )
Vort another thing to try is to just transfer file from one computer to another (if you have access to several computers) with bittorrent and i2p
Vort in such case you will be single seeder (on one PC) and single peer (on other PC)
tetrimer_ Vort: Нет, на другом флудфиле - такой ярко выраженной ступени не просматривается. Правда, есть небольшой часовой "провал" в 04:30, это когда на первом - нагрузка закончилась.
Anonymous Why? some people mentioned DISK SHIT
Anonymous Can't test that right now
Vort Anonymous: to see if that's just bad peers or problems with torrents/i2p
Anonymous Doing some other little tests that's all i can fucking do :-(
Vort also you can use virtual machines
Anonymous Vort: there are too many torrents tested for all of them to go bad AT ONCE
Anonymous at same time
Anonymous fck virtual machines
Vort without controlled environment it will be hard to debug this problem
Vort if you won't do these tests, maybe someone else will... probably in distant future
Anonymous Vort: I know....
Anonymous Anything that I'd want to keep an eye on in i2pd.log?
Anonymous I should probably switch to debug log type? I won't if I don't have to, too much space
Anonymous I get Stream read error, operation canceled
Anonymous end of file
Anonymous those are actually errors
Anonymous basically a lot of those 2 errors
Anonymous like a few every minute
Anonymous a lot every minute*
Anonymous error - SAM: Stream read error: Operation canceled
Anonymous error - SAM: Read error: Operation canceled
Anonymous error - SAM: Read error: End of file
Anonymous these 3 error types
Anonymous I remember orignal or R4SAS saying errors are OK.. so they probably mean jack shit
orignal чего нового?
orignal пишу с бора бора
relaybot 13apophis: и что там ? снег идет ?
Vort Anonymous: you may track connection attempts to peers in "Streams" table
Vort to see if connections are being made at all and if yes, then what responses from peers are
Vort I mean if they send data bytes as responses at all
Anonymous there are not
Anonymous when the issue starts, there are less and less Streams
Anonymous like i said
Vort "<~orignal> чего нового?" - похоже на новую волну атаки, рейт просел опять. а так вроде ничего особого
Vort Anonymous: so torrent client stop trying to make connections?
Anonymous no idea
Anonymous nothing in qbittorrent log tab
Anonymous qbittorrent handle libtorrent's log?
Anonymous or something
Anonymous There's no qbittorrent --debug sadly
Vort Anonymous: try client_test then, it have logs
Anonymous Does it have same settings as qBittorrent?
Vort -f log.txt --alert_mask=all
Anonymous I2P settings I mean
Vort you can set options with command line parameters
Anonymous it's sad that the binary port of libtorrent-rasterbar doesn't include client_test :(
Anonymous Really? Nice
Vort something like this: --enable_dht=false --i2p_hostname=127.0.0.1 --i2p_port=7656 --i2p_inbound_quantity=8 --i2p_outbound_quantity=8 --i2p_inbound_length=1 --i2p_outbound_length=1
Anonymous damn examples/client_test is 2400 SLOC
Anonymous I'll need to review it against possible patches as libtorrent itself has them for OpenBSD: cvsweb.openbsd.org/cgi-bin/cvsweb/ports/net/libtorrent-rasterbar/patches
Anonymous why disable dht?
Vort because it does not work for i2p anyway yet
Anonymous who does it depend on? libtorrent or SAM?