~AreEnn
~R4SAS
~orignal
~villain
&N00B
+Xeha
+relaybot
DUHOVKIN
Guest18377
HackerMan
KabaOS8
Most2
Nausicaa
Ruskoye_911
Trusishka
Vort
`
acetone_
anon3
b3t4f4c3
flumental
mittwerk
nemiga
not_bob_afk
plap
poriori_
profetikla
segfault
soos
teeth
un
weko_
whothefuckami
orignal
сделал предпочтения для прямых соединений
Vort
orignal: похоже, мой узел словил вход атаки. чётко в 3 часа ночи попёрло "NetDb: DatabaseLookup for zero ident. Ignored" и "Gzip: Inflate error -3"
Vort
orignal: не знаю, связано ли это с "zero ident", но я обнаружил расклонированные RI одного флудфила ^^
Vort
"Inflate error", точнее, были с 4 ночи до 7 утра. сейчас их нету, а вот "zero ident" продолжаются
Vort
небольшое наблюдение по клонам: набор их ident`ов не фиксирован - старые со временем заменяются новыми
`
Всё ещё реквестую строку в i2pd.conf типа:
`
FireWallTest = FALSE
`
Единственный минус - шобы поднастрать сети не нужно будет иметь моск модифицировать кодъ
Vort
решил рассмотреть получше сообщение с zero ident:
Vort
вот байты в виде текста: paste.i2pd.xyz/?900163ad815db92e#5pbbfScbjAkeA5HD9MPjpymAnhQH85DFFDGjn1nk9pAC
Vort
похоже, что оно сформировано "по правилам"
Vort
orignal: но такой вопрос: не может ли атакующий прислать короткое сообщение с запросом? есть ли где-то проверка на допустимую длину? мусор за пределами массива принимать за данные не хотелось бы
`
Я не часто завершаю рОбОту ровутера graceful путём. Но на non-floodfill ровутере кажеца при graceful выходе вместе с таймером ставится кОкОй-то флаг, а на floodfill ентого флага не вижу.
Vort
`: G флаг что ли? он, наверно, раз в 10 минут ставится, поэтому заметен не всегда
`
Vort, тоже думаю то ли "G" то ли "g" (доки не читал давным давно). Просто на обычном роутере вроде как замечал такое, а на флудфиле нет.
`
С одной стороны ничего не стоит сейчас полчаса-час потыкать вкл-выкл тот и ентот режим роутера..ночоталенька..
Vort
`: G ставится при отключении приёма транзита. как раз это и происходит при graceful shutdown. так что логично
Vort
меня больше беспокоит, что G 10 минут _не_ ставится при старте с notransit = true
Vort
разобрался с "zero ident". моему узлу "повезло" оказаться "близко" к нулевому ident`у. какого фига вообще нулевые ident запрашиваются - отдельный вопрос
Vort
то есть, осталось разобраться с "Inflate error" и клонами с адресами 68.183.196.133
orignal
` тогда это надо в ssu2 и для кажоого типа отдельно
orignal
а общая такая строчка уже есть
orignal
nat=false называется
orignal
Vort да ты прав проверку на длину недо делать
Vort
пока что неправильную длину не шлют, но проверку добавить не помешает
orignal
скорее всего атака идет не в запросе этом
orignal
а у кого то оно в запросе на построение тоннеля
Vort
да я уже понял, что мой узел оказался близким к нулю. а ~20 глюченых запросов в минуту _по всей сети_ - это не так уж и много
orignal
насчет G. если notransit то будет стоять всегда
orignal
кроме первых 10 минут
orignal
и да надо ставить сразу
orignal
почему не ставится? этот хак я для себя сделал )))))
Vort
я иногда делаю тесты без транзита и когда сразу начинают узлы ломиться - то как-то нехорошо получается
Vort
я же ставлю notransit, чтобы "тишина" была
Vort
чтобы логи не заваливало допустим
orignal
ну надо переделать да чтобы G ставился
orignal
говорю же то просто хак был
orignal
я не хотел в сети светиться )))
Vort
а, ну теперь в сети G хватает :D
orignal
именно
orignal
потому его надо ставить сразу
Vort
окей. а что скажешь про клоны?
Vort
может, стоит проверить, адекватно ли i2pd на это реагирует?
Vort
не поломалось ли чего с прошлой атаки
orignal
а что про клоны?
orignal
если они реальны
orignal
у нас никогда такой проверки не было
orignal
я думал ты про обратное
orignal
когда один RI в нескольких экземлярах
Vort
хреново я поясняю просто
Vort
не можешь сам глянуть?
orignal
что именно?
Vort
описать степень клоновости содержимого этого архива
orignal
ну понял
Vort
потому что я объясняю криво, а там всё сразу понятно
orignal
вот как раз деду сказать надо
orignal
weko уже и пропозал делал
Vort
думаешь, i2pd по-прежнему нормально отбивает эту атаку?
orignal
да
Vort
ну окей
orignal
там смотри как
orignal
если роутер новый мы сначала пробуем по NTCP2
Vort
я просто вижу, что туда коннекты идут массово
Vort
но ладно
orignal
если по нему отлуп а адрес публикуется мы дропаем
orignal
по NTCP2 или SSU2?
orignal
потому что дыра в SSU2
orignal
счас деду скину твой архив
Vort
ну по NTCP2 мне хорошо это видно, а про SSU2 не знаю
Vort
дубли просто лезли при просмотре списка транспортов (моя "ловушка")
Vort
так я эту атаку и заметил
orignal
ээто флудфилы или просто роутеры?
Vort
PfR
Vort
коннекты висят в Syn-Sent
orignal
ну разумеется
Vort
то ли заDDoSили этот адрес, то ли там вообще никогда ничего не было - хз
orignal
там сессия не установится в приницпе
Vort
так адрес не отвечает
orignal
потому что адрес роутера не совпадает
orignal
ну так и все
Vort
ок
orignal
i2pd посчитает такой роутер говном
orignal
и забанит
orignal
правда нынче всего на 8 минут
Vort
да там "ротация"
Vort
так что пофиг
Vort
свежие клоны прут
orignal
ну прут мы их баним
orignal
кстати мы их не считаем флудфилами
orignal
пока не соединились
Vort
опять профили засрут? или профили грохнутся из-за того что не было ответа?
orignal
или от них не пришло входящее
orignal
вот с профилями не знаю
orignal
число флудфилов нигде не растет
orignal
значит атака отражается успещно
Vort
можешь ещё проверить - лезли ли у тебя ночью "Gzip: Inflate error -3" ?
Vort
или это мне прилетело из-за близости к "нулю"
orignal
дохуя
orignal
06:14 центральноевропейского времени было
Vort
интересно. слишком много совпадений сегодня у меня
orignal
началось в 03:04 закончилось в 06:14
Vort
значит по всей сети было
orignal
да
orignal
а я тут вижу другое совпадение
Vort
ну клоны и Inflate могут быть связаны - "играется" кто-то. ну а "zero ident" - это так совпало - атакующий не мог на это повлиять
Vort
кстати, ещё совпадение - вчера было обсуждение опечатки и затем её исправление
Vort
я же её почти случайно обнаружил
Vort
а теперь "на эту тему" атака
Vort
ну или позавчера. но кто-то мог почитать коммиты и решить, что в этом исправлении есть какой-то глубокий смысл
weko
Vort: джависты спрашивают про проблему
weko
А я не знаю что ответить
Vort
ну посмотри архив
Vort
в netdb опять клоны
Vort
пока что масштаб невелик правда
weko
Они спрашивают первый раз в этом году или нет
Vort
кто ж знает...
Vort
в i2pd ведь защита
Vort
поэтому можно обнаружить только случайно
Vort
глянул сейчас логи - похожего ничего не обнаружил
orignal
дед задрегрался
Vort
ну это для моментов когда я смотрел список транспортов
Vort
а я это делал нерегулярно
Vort
почему-то много в логах адреса 185.153.199.204:24020
Vort
но на атаку не тянет
orignal
у меня другая версия
orignal
<zzz> orignal, weko, iirc your proposal is about preventing cloned private keys on multiple routers
orignal
чет дед стал путать
weko
У меня же понятно всё расписано?
orignal
я же вижу совпадение с тем что кое кто свалил внезапно
orignal
weko ну так дед просто не счет нужным его даже прочитать
orignal
он так и не догнал о чем речь
orignal
ты ж видишь
weko
Вижу
weko
Я пытался подразниться, но он тоже не прочь
weko
orignal: idk или дрозд?
orignal
weko не понял
weko
В теории его может оправдать та история с xz
orignal
вроде дед счас стал понимать проблему
weko
orignal: ну читать то он всё равно не стал
weko
Хотя там, как я помню, расписано 3 решения
weko
orignal: ушёл внезапно дрозд?
orignal
нет
weko
[11:53:03] <zzz> I have 93 of them on one router
weko
[11:53:28] <orignal> 93 of what?
weko
[11:53:42] <zzz> the routers on that IP
orignal
ты знаешь кто
orignal
это была твоя гипитеза кстати
weko
А
weko
Есть такое
orignal
возможно просто совпадение
orignal
не будем пока бросать тень на человека без оснований
weko
Конечно
weko
Как я говорю после истории с xz подозрительность вполне нормальна
orignal
а че там с xz?
orignal
ааа понял
orignal
там перцы попихнули коммиты
orignal
ну в нашем случае я всегда просмотриваю лично
orignal
<zzz> all java routers will have them banned within 24 hours
orignal
<zzz> by the sybil analyzer
orignal
ну что пиздец подкрался незаметно?
orignal
солевой если ты тут то дейсвуй )))
`
> ну в нашем случае я всегда просмотриваю лично
`
что там насчёт ведра, который пишут ШУЕшники?
orignal
а ведро смотрит R4SAS лично
orignal
<zzz> fyi on stats.i2p you can see the attack started about midnight eastern
`
stats.i2p показывает количество запрософф для адрессбука?
orignal
неее
orignal
там же не только адресная книга
`
А я забыл, как [adressbook] отключить? Вставить в блок не_документированный "enable = false" или что-то в этом роде?
`
Кажется писал мне какой-то ключ для этого.
orignal
почему недокументированный?
`
orignal, потому что в конфиге нет строки хотя бы закомментированной)00
`
На гитхабокниге есть? В код не смотрел года жва наверное..
orignal
addressbook.enabled=false
orignal
ну в доках она есть
`
Значит плюс-минус правильно помню, спасибо)
orignal
ты прав
orignal
там нету
orignal
счас добавим
orignal
поправил в доках
`
Надо будет выкачать сорцы..(жва года ентого не делал)
`
*** пошёл сжигать..книгу.. ***
Vort
так что получается - в java есть защита от клонов что ли?
Vort
только вот 24 часа - это как-то дохрена
Vort
за это время атакующий может насрать прилично
Vort
и они реальный узел же не банят хоть?
Vort
это сейчас всего одна основа для клонирования, а могут же и по всей netdb клоны делаться
orignal
так не защита это
orignal
он забанит все роутеры с одинаковым IP
orignal
то то и оно что все
Vort
то есть, надежда на то, что атакующий не догадается по всей базе клоны делать...
orignal
ну если он сидит здесь то догадается
orignal
мы то так не делаем
Vort
я ещё подозреваю, что это может быть атака чётко на тот 68.183.196.133
orignal
<orignal> how do you differente real and clone?
orignal
<orignal> if all have same IP
orignal
<zzz> we don't
Vort
может, его сдеанонили, нашли что там какой-то сервис висит
Vort
и теперь ДДоСят таким извращённым методом
orignal
надеюсь он не в OVH?
Vort
DigitalOcean Канада Торонто
Vort
чем знаменит OVH - не в курсе
orignal
пожаром
orignal
была шутка что негры сожгли дц думаю что animal.i2p там
Vort
:))
orignal
не ну дед конечно выдал
`
Чувствую себя представителем с ближнего востока.
`
Говорят на демократическом языке, говорят, а потом начинают шушукаться между собой на духоскрепном.
orignal
с полсденим изменение в траспортах в ygg малость охуеют ))
`
Что там такого?
orignal
ну теперь если есть линк по SSU2 через интродьеюсер или через ygg предпочтение отдается ygg
orignal
ну а поскольку через тоннели часто гоняют тяжелый трафик
orignal
то и в ygg резко возрастет
orignal
похоже новая атака
onon
Будем считать это уважительной причиной.
orignal
долго жить будешь
orignal
привет
onon
Доброго дня
orignal
уважительно причиной чего?
onon
Того, что вы до сих пор не переделали стримы.
orignal
а что причина?
onon
Я вижу у вас новая "атака"
orignal
китайцы вчера свалили
orignal
а сегодня кто то запустил старый баян
orignal
с клонами роутеров
orignal
если ты читал утренний лог то видел наверное что дед учудил
onon
Сегодня как-то жестче, что ли
orignal
сегодня новая старая атака ))
onon
У меня за натом ткср 5%
orignal
угу
orignal
посмотри сколько у тебя флуфилов в нетдб
onon
Я лог читал, но ничего не пнял
onon
На каком из?
orignal
на любом
onon
От 800 до 1200
orignal
суть атакий что атакущий генерит несуществующие роуетры с адресами реальных роутерв внутри
orignal
а было?
orignal
в когда достигнет 1500 до начнет работать защита
onon
Ну да, там где 1200 обычно по 800-900 бывает
orignal
и не принимать неподвтержденные флудфилы
orignal
ну вот счас атака заключается в засирании несуществующими флудфилами
onon
Только на флудфиле Routers: 16249
onon
Обычно меньше
orignal
они постепенно вычищаются
orignal
ну это само собой
orignal
там логика такая что для флудфила действует презумпция виновоности
orignal
не признается флудфилом пока не докажет свою реальность
orignal
в результате весь этот срач считается обычным роутером
orignal
потому и рейт низкий
onon
Так когда сеть так перегружена, может и нормальные не смогут ответить?
orignal
потому что вычищаются медленнее чем он срет
orignal
так сеть не перегружена
orignal
он просто закидывает в сеть левые роутеры
onon
А ткср по какой причине просел?
onon
А, понятно
orignal
потмоу что в нетдб полно несуществующих роутеров
orignal
на него пох
orignal
главное защищтить флудфилы
orignal
а мусор постепенно сам уходит
Vort
вопрос, почему существующие туннели дохнут
Vort
java виновата?
onon
Вот то что на флудфиле у меня Routers: 16249 смущает, не раздаёт ли он это всё другим роутерам
orignal
Vort судя по вему да
onon
МОжет погасить на время
orignal
onon раздает конечно но только по зондированию
orignal
не надо
orignal
основная раздача это флудфилов
orignal
а они вырезаются эффективно
orignal
Vort судя по всему дед банит все реальные узлы
Vort
что-то поменялось за последние несколько часов в отношении атаки?
orignal
как я и говорил
orignal
ну у меня на флудфиле 1500 флудфилов
Vort
просто если так, как и было (штук 50 левых узлов в базе), то это, образно говоря, ничто
orignal
и работает зашита
onon
А что там за очепятка у нас была с flooldfill, что-то критичное?
orignal
дед говорит прет непрерывням поткоом
Vort
а, всё, вижу, у меня тоже поползло вверх
orignal
onon просто опечтака )))
orignal
а вот мой последний коммит он и првда хорошо
onon
И что он делает?
onon
Что-то про директ коннект, но я не понял
orignal
он отдает предпочтение прямым трагнспортами
orignal
чем через интредьюсер
onon
Т.е. без U?
onon
Или как
orignal
ну букву не смотрит
orignal
из нескольких возможных линков пробуете счнала прямой
orignal
я же стебусь что счас народ в ygg охуеет
onon
И что ткср растет?
Vort
хм. у атакующего всё тот же IP: 68.183.196.133
Vort
просто срёт активнее
onon
Можно пересобираться?
Vort
даже когда нету атаки, сложно проверить влияние изменений на TCSR
orignal
onon да существенно вырос
Vort
так что пока что только остаётся теоретически рассуждать
orignal
пока атака не началась
orignal
ну вчера же атакаи не было
orignal
а я смотрел
orignal
onon да можно
Vort
так рейт от перезапуска узла меняется
orignal
но на 1500 держит
onon
Интересный факт, во время атаки занатовкие узлы показывают больше транзита, примерно в 1.5 раза.
Vort
по количеству или по трафику?
onon
И так и так
Vort
ну вообще когда рейт ниже, то количество выше. а вот про трафик - не знаю
onon
там Х если что.
orignal
<zzz> now about 2000/hour new
Vort
такое ощущение, что не сходится
Vort
старые удаляются, а потом возвращаются что ли?
Vort
просто Floodfills: прыгает на -100, -200 постоянно
orignal
возможно что приходят с других роутеров
orignal
понимаешь 1500 был правильный порог год назад
orignal
нынче правильный 1000
onon
Сильное заявление. Проверять я его, конечно, не буду.
orignal
какое именно?
onon
Про 1000 фф
orignal
ну счас порог в 1500
Vort
так это порог только защиты от атаки
Vort
реальных может быть и больше
orignal
просто год назад флудфилов было больше
onon
А где тогда искать дестинейшны для сайтов?
`
Да, рыли, за минуту-жве -200 флудфилофф
orignal
так смотри
orignal
когда атаки нет все реальные флудфилы добавятся в базу
orignal
даже если будет зашита работать
orignal
просто не сразу
`
Я только флудфил выключил свой (надоело кикать по тайм-ауту), а тут надо опять поднимать щиты за ш2зв..
orignal
счас просто защита включается поздно
orignal
на 1500 а не на 1000
orignal
кстати еще дохуя лизсетов
Vort
это может быть побочный эффект
onon
Дохуя это сколько
`
Опять полезли флудфилы, да, рыли прыгают
orignal
у меня 500 с лишним
Vort
у меня при прошлых атаках до 500 было вроде
onon
У меня бывает от 300 до 700 примерно
orignal
обычно где то 350 было
Vort
перераспределяется нагрузка, скоее всего
onon
Лось, если ты не сильно занят, есть вопрос по дропам сообщений.
`
Поверь эксперту кофейных гущщщь..
`
Не занят.
orignal
валяй
orignal
только спрашивай пока я трезв ))
onon1
Вопрос: как это работает? =)
onon1
->onDrop
onon1
Кто ставит такой флаг
onon1
И в каких случаях
orignal
это коллбэк
orignal
ставит тот кто считает нужным
orignal
чтобы поймать момент что сообщеие дропнулось и что нибудь сделать
onon
Ну я вижу, транспорт это делает
onon
А кто еще
orignal
например если отправили запрос к флудфилу а он дропнулся нет смысла жадть овтета
orignal
правильно вызывает транспорт
orignal
а ставится в нескольких метсах
orignal
туда лямбда записывается обычно
onon
Т.е. только транспорт их дропает?
onon
А в каких случаях?
orignal
в тех когда надо дропнуть
orignal
ну когда сообщение не отослали а выкинули
orignal
понятно что может и не только транаспорт
onon
Хотелось бы конкретнее, я вот вижу при переполнении очереди напрмиер
onon
Просто я вижу, что наши запросы на построение туннеля часто дропаются
onon
Хочу понять причину
orignal
счас впроде только в траспортах
orignal
но может например и в тоннелях
orignal
ну дропаются потому что не отсылаются пиру
orignal
потому что не могут
onon
Например, пытаемся через интродьюсер
onon
Там будет таймаут или локальный дроп?
orignal
если не соединился то дроп
onon
Ну вот, вероятно причина.
onon
Будем искать дальше.
`
Как эффективный манагер устанавливаю план, план по нахождению багофф, с каждого по одному багу за день. Мы команда. Надо будет и я баги буду искать. Мы команда.
`
Отчёт сдать до вчера.
onon
Значит, план следующий: пишем код специально с багами, вставляем. Потом каждый день исправляем по багу.
orignal
ты не поверишь в одной конторке где я работал так и было
orignal
один придурок решил оценивать работу по числу исправленных багов
orignal
и искренне недоумевал почему число исправленных багов растет и число новых тоже
onon
XxD
onon
Он бы ещё по количеству строк кода начал оценивать =)
Vort
интересно - RI узла 68.183.196.133 начали меняться
Vort
он вначале обновился с 0.9.61 до 0.9.62
Vort
а теперь убрал флаг флудфила
Vort
пытается атаку с себя сбросить?
Vort
такое ощущение, что этот адрес был выбран для клонирования таки неслучайно
Vort
произвольный юзер мог бы не догадаться, что надо что-то менять
orignal
ну да
orignal
видать до чувака доперло что его атакуют
onon
Я вот думаю, не будет ли последнее изменение сильно сужать выборку для строителя туннелей, ну вроде будет постоянно одни и те же пиры использовать...
Vort
почему?
Vort
там же только приоритет вроде
orignal
с чего вдруг?
orignal
это же просто порядок выбора способов поключения
onon
Значит, я неверно интерпретировал мысль об уже подключенных узлах...
onon
Либо это очень узкий случай
onon
Когда есть несколько вариантов подключения.
`
Напомните что значит "D"? Только без грязи про мою мамашу(с)
Vort
это про редкий случай, да
Vort
обычно или всё за NAT или всё открыто
Vort
а вот когда что-то открыто, что-то закрыто - тогда важен этот приоритет
Vort
`: значит, узел нагружен > 70%
Vort
или по трафику или по количеству транзитов
onon
D это когда тебе кто-то пиково вырастил транзит, а ты потом 10 минут всем сообщаешь, что ты дико перегружен.
`
Vort, да, по количеству.
`
Просто зарезал лимит, надоело кикать по таймауту
`
Не вывозит машинка потока или хз что ещё (ЦП не кипит)
Vort
на последний коммит, небось, не обновился?
`
Не бывает последнего коммита 🤔
`
Бывает только крайний..🤡
Vort
так релиз стоит или после релиза хоть что-то?
`
Сколько здесь сижу - всегда, всегда "до последнего коммита не обновился, а там процент больше и траффика больше, пятое-десятое..".
`
Vort, релиз.
Vort
тогда понятно
orignal
вроде закончилось