IRCaBot 2.1.0
GPLv3 © acetone, 2021-2022
#dev
/2024/04/20
~AreEnn
~R4SAS
~orignal
~villain
&N00B
+Xeha
+relaybot
DUHOVKIN
Guest18377
HackerMan
KabaOS8
Most2
Nausicaa
Ruskoye_911
Trusishka
Vort
`
acetone_
anon3
b3t4f4c3
flumental
mittwerk
nemiga
not_bob_afk
plap
poriori_
profetikla
segfault
soos
teeth
un
weko_
whothefuckami
orignal сделал предпочтения для прямых соединений
Vort orignal: похоже, мой узел словил вход атаки. чётко в 3 часа ночи попёрло "NetDb: DatabaseLookup for zero ident. Ignored" и "Gzip: Inflate error -3"
Vort orignal: не знаю, связано ли это с "zero ident", но я обнаружил расклонированные RI одного флудфила ^^
Vort "Inflate error", точнее, были с 4 ночи до 7 утра. сейчас их нету, а вот "zero ident" продолжаются
Vort небольшое наблюдение по клонам: набор их ident`ов не фиксирован - старые со временем заменяются новыми
` Всё ещё реквестую строку в i2pd.conf типа:
` FireWallTest = FALSE
` Единственный минус - шобы поднастрать сети не нужно будет иметь моск модифицировать кодъ
Vort решил рассмотреть получше сообщение с zero ident:
Vort похоже, что оно сформировано "по правилам"
Vort orignal: но такой вопрос: не может ли атакующий прислать короткое сообщение с запросом? есть ли где-то проверка на допустимую длину? мусор за пределами массива принимать за данные не хотелось бы
` Я не часто завершаю рОбОту ровутера graceful путём. Но на non-floodfill ровутере кажеца при graceful выходе вместе с таймером ставится кОкОй-то флаг, а на floodfill ентого флага не вижу.
Vort `: G флаг что ли? он, наверно, раз в 10 минут ставится, поэтому заметен не всегда
` Vort, тоже думаю то ли "G" то ли "g" (доки не читал давным давно). Просто на обычном роутере вроде как замечал такое, а на флудфиле нет.
` С одной стороны ничего не стоит сейчас полчаса-час потыкать вкл-выкл тот и ентот режим роутера..ночоталенька..
Vort `: G ставится при отключении приёма транзита. как раз это и происходит при graceful shutdown. так что логично
Vort меня больше беспокоит, что G 10 минут _не_ ставится при старте с notransit = true
Vort разобрался с "zero ident". моему узлу "повезло" оказаться "близко" к нулевому ident`у. какого фига вообще нулевые ident запрашиваются - отдельный вопрос
Vort то есть, осталось разобраться с "Inflate error" и клонами с адресами 68.183.196.133
orignal ` тогда это надо в ssu2 и для кажоого типа отдельно
orignal а общая такая строчка уже есть
orignal nat=false называется
orignal Vort да ты прав проверку на длину недо делать
Vort пока что неправильную длину не шлют, но проверку добавить не помешает
orignal скорее всего атака идет не в запросе этом
orignal а у кого то оно в запросе на построение тоннеля
Vort да я уже понял, что мой узел оказался близким к нулю. а ~20 глюченых запросов в минуту _по всей сети_ - это не так уж и много
orignal насчет G. если notransit то будет стоять всегда
orignal кроме первых 10 минут
orignal и да надо ставить сразу
orignal почему не ставится? этот хак я для себя сделал )))))
Vort я иногда делаю тесты без транзита и когда сразу начинают узлы ломиться - то как-то нехорошо получается
Vort я же ставлю notransit, чтобы "тишина" была
Vort чтобы логи не заваливало допустим
orignal ну надо переделать да чтобы G ставился
orignal говорю же то просто хак был
orignal я не хотел в сети светиться )))
Vort а, ну теперь в сети G хватает :D
orignal именно
orignal потому его надо ставить сразу
Vort окей. а что скажешь про клоны?
Vort может, стоит проверить, адекватно ли i2pd на это реагирует?
Vort не поломалось ли чего с прошлой атаки
orignal а что про клоны?
orignal если они реальны
orignal у нас никогда такой проверки не было
orignal я думал ты про обратное
orignal когда один RI в нескольких экземлярах
Vort хреново я поясняю просто
Vort не можешь сам глянуть?
orignal что именно?
Vort описать степень клоновости содержимого этого архива
orignal ну понял
Vort потому что я объясняю криво, а там всё сразу понятно
orignal вот как раз деду сказать надо
orignal weko уже и пропозал делал
Vort думаешь, i2pd по-прежнему нормально отбивает эту атаку?
Vort ну окей
orignal там смотри как
orignal если роутер новый мы сначала пробуем по NTCP2
Vort я просто вижу, что туда коннекты идут массово
Vort но ладно
orignal если по нему отлуп а адрес публикуется мы дропаем
orignal по NTCP2 или SSU2?
orignal потому что дыра в SSU2
orignal счас деду скину твой архив
Vort ну по NTCP2 мне хорошо это видно, а про SSU2 не знаю
Vort дубли просто лезли при просмотре списка транспортов (моя "ловушка")
Vort так я эту атаку и заметил
orignal ээто флудфилы или просто роутеры?
Vort PfR
Vort коннекты висят в Syn-Sent
orignal ну разумеется
Vort то ли заDDoSили этот адрес, то ли там вообще никогда ничего не было - хз
orignal там сессия не установится в приницпе
Vort так адрес не отвечает
orignal потому что адрес роутера не совпадает
orignal ну так и все
Vort ок
orignal i2pd посчитает такой роутер говном
orignal и забанит
orignal правда нынче всего на 8 минут
Vort да там "ротация"
Vort так что пофиг
Vort свежие клоны прут
orignal ну прут мы их баним
orignal кстати мы их не считаем флудфилами
orignal пока не соединились
Vort опять профили засрут? или профили грохнутся из-за того что не было ответа?
orignal или от них не пришло входящее
orignal вот с профилями не знаю
orignal число флудфилов нигде не растет
orignal значит атака отражается успещно
Vort можешь ещё проверить - лезли ли у тебя ночью "Gzip: Inflate error -3" ?
Vort или это мне прилетело из-за близости к "нулю"
orignal дохуя
orignal 06:14 центральноевропейского времени было
Vort интересно. слишком много совпадений сегодня у меня
orignal началось в 03:04 закончилось в 06:14
Vort значит по всей сети было
orignal а я тут вижу другое совпадение
Vort ну клоны и Inflate могут быть связаны - "играется" кто-то. ну а "zero ident" - это так совпало - атакующий не мог на это повлиять
Vort кстати, ещё совпадение - вчера было обсуждение опечатки и затем её исправление
Vort я же её почти случайно обнаружил
Vort а теперь "на эту тему" атака
Vort ну или позавчера. но кто-то мог почитать коммиты и решить, что в этом исправлении есть какой-то глубокий смысл
weko Vort: джависты спрашивают про проблему
weko А я не знаю что ответить
Vort ну посмотри архив
Vort в netdb опять клоны
Vort пока что масштаб невелик правда
weko Они спрашивают первый раз в этом году или нет
Vort кто ж знает...
Vort в i2pd ведь защита
Vort поэтому можно обнаружить только случайно
Vort глянул сейчас логи - похожего ничего не обнаружил
orignal дед задрегрался
Vort ну это для моментов когда я смотрел список транспортов
Vort а я это делал нерегулярно
Vort почему-то много в логах адреса 185.153.199.204:24020
Vort но на атаку не тянет
orignal у меня другая версия
orignal <zzz> orignal, weko, iirc your proposal is about preventing cloned private keys on multiple routers
orignal чет дед стал путать
weko У меня же понятно всё расписано?
orignal я же вижу совпадение с тем что кое кто свалил внезапно
orignal weko ну так дед просто не счет нужным его даже прочитать
orignal он так и не догнал о чем речь
orignal ты ж видишь
weko Вижу
weko Я пытался подразниться, но он тоже не прочь
weko orignal: idk или дрозд?
orignal weko не понял
weko В теории его может оправдать та история с xz
orignal вроде дед счас стал понимать проблему
weko orignal: ну читать то он всё равно не стал
weko Хотя там, как я помню, расписано 3 решения
weko orignal: ушёл внезапно дрозд?
orignal нет
weko [11:53:03] <zzz> I have 93 of them on one router
weko [11:53:28] <orignal> 93 of what?
weko [11:53:42] <zzz> the routers on that IP
orignal ты знаешь кто
orignal это была твоя гипитеза кстати
weko Есть такое
orignal возможно просто совпадение
orignal не будем пока бросать тень на человека без оснований
weko Конечно
weko Как я говорю после истории с xz подозрительность вполне нормальна
orignal а че там с xz?
orignal ааа понял
orignal там перцы попихнули коммиты
orignal ну в нашем случае я всегда просмотриваю лично
orignal <zzz> all java routers will have them banned within 24 hours
orignal <zzz> by the sybil analyzer
orignal ну что пиздец подкрался незаметно?
orignal солевой если ты тут то дейсвуй )))
` > ну в нашем случае я всегда просмотриваю лично
` что там насчёт ведра, который пишут ШУЕшники?
orignal а ведро смотрит R4SAS лично
orignal <zzz> fyi on stats.i2p you can see the attack started about midnight eastern
` stats.i2p показывает количество запрософф для адрессбука?
orignal неее
orignal там же не только адресная книга
` А я забыл, как [adressbook] отключить? Вставить в блок не_документированный "enable = false" или что-то в этом роде?
` Кажется писал мне какой-то ключ для этого.
orignal почему недокументированный?
` orignal, потому что в конфиге нет строки хотя бы закомментированной)00
` На гитхабокниге есть? В код не смотрел года жва наверное..
orignal addressbook.enabled=false
orignal ну в доках она есть
` Значит плюс-минус правильно помню, спасибо)
orignal ты прав
orignal там нету
orignal счас добавим
orignal поправил в доках
` Надо будет выкачать сорцы..(жва года ентого не делал)
` *** пошёл сжигать..книгу.. ***
Vort так что получается - в java есть защита от клонов что ли?
Vort только вот 24 часа - это как-то дохрена
Vort за это время атакующий может насрать прилично
Vort и они реальный узел же не банят хоть?
Vort это сейчас всего одна основа для клонирования, а могут же и по всей netdb клоны делаться
orignal так не защита это
orignal он забанит все роутеры с одинаковым IP
orignal то то и оно что все
Vort то есть, надежда на то, что атакующий не догадается по всей базе клоны делать...
orignal ну если он сидит здесь то догадается
orignal мы то так не делаем
Vort я ещё подозреваю, что это может быть атака чётко на тот 68.183.196.133
orignal <orignal> how do you differente real and clone?
orignal <orignal> if all have same IP
orignal <zzz> we don't
Vort может, его сдеанонили, нашли что там какой-то сервис висит
Vort и теперь ДДоСят таким извращённым методом
orignal надеюсь он не в OVH?
Vort DigitalOcean Канада Торонто
Vort чем знаменит OVH - не в курсе
orignal пожаром
orignal была шутка что негры сожгли дц думаю что animal.i2p там
Vort :))
orignal не ну дед конечно выдал
` Чувствую себя представителем с ближнего востока.
` Говорят на демократическом языке, говорят, а потом начинают шушукаться между собой на духоскрепном.
orignal с полсденим изменение в траспортах в ygg малость охуеют ))
` Что там такого?
orignal ну теперь если есть линк по SSU2 через интродьеюсер или через ygg предпочтение отдается ygg
orignal ну а поскольку через тоннели часто гоняют тяжелый трафик
orignal то и в ygg резко возрастет
orignal похоже новая атака
onon Будем считать это уважительной причиной.
orignal долго жить будешь
orignal привет
onon Доброго дня
orignal уважительно причиной чего?
onon Того, что вы до сих пор не переделали стримы.
orignal а что причина?
onon Я вижу у вас новая "атака"
orignal китайцы вчера свалили
orignal а сегодня кто то запустил старый баян
orignal с клонами роутеров
orignal если ты читал утренний лог то видел наверное что дед учудил
onon Сегодня как-то жестче, что ли
orignal сегодня новая старая атака ))
onon У меня за натом ткср 5%
orignal угу
orignal посмотри сколько у тебя флуфилов в нетдб
onon Я лог читал, но ничего не пнял
onon На каком из?
orignal на любом
onon От 800 до 1200
orignal суть атакий что атакущий генерит несуществующие роуетры с адресами реальных роутерв внутри
orignal а было?
orignal в когда достигнет 1500 до начнет работать защита
onon Ну да, там где 1200 обычно по 800-900 бывает
orignal и не принимать неподвтержденные флудфилы
orignal ну вот счас атака заключается в засирании несуществующими флудфилами
onon Только на флудфиле Routers: 16249
onon Обычно меньше
orignal они постепенно вычищаются
orignal ну это само собой
orignal там логика такая что для флудфила действует презумпция виновоности
orignal не признается флудфилом пока не докажет свою реальность
orignal в результате весь этот срач считается обычным роутером
orignal потому и рейт низкий
onon Так когда сеть так перегружена, может и нормальные не смогут ответить?
orignal потому что вычищаются медленнее чем он срет
orignal так сеть не перегружена
orignal он просто закидывает в сеть левые роутеры
onon А ткср по какой причине просел?
onon А, понятно
orignal потмоу что в нетдб полно несуществующих роутеров
orignal на него пох
orignal главное защищтить флудфилы
orignal а мусор постепенно сам уходит
Vort вопрос, почему существующие туннели дохнут
Vort java виновата?
onon Вот то что на флудфиле у меня Routers: 16249 смущает, не раздаёт ли он это всё другим роутерам
orignal Vort судя по вему да
onon МОжет погасить на время
orignal onon раздает конечно но только по зондированию
orignal не надо
orignal основная раздача это флудфилов
orignal а они вырезаются эффективно
orignal Vort судя по всему дед банит все реальные узлы
Vort что-то поменялось за последние несколько часов в отношении атаки?
orignal как я и говорил
orignal ну у меня на флудфиле 1500 флудфилов
Vort просто если так, как и было (штук 50 левых узлов в базе), то это, образно говоря, ничто
orignal и работает зашита
onon А что там за очепятка у нас была с flooldfill, что-то критичное?
orignal дед говорит прет непрерывням поткоом
Vort а, всё, вижу, у меня тоже поползло вверх
orignal onon просто опечтака )))
orignal а вот мой последний коммит он и првда хорошо
onon И что он делает?
onon Что-то про директ коннект, но я не понял
orignal он отдает предпочтение прямым трагнспортами
orignal чем через интредьюсер
onon Т.е. без U?
onon Или как
orignal ну букву не смотрит
orignal из нескольких возможных линков пробуете счнала прямой
orignal я же стебусь что счас народ в ygg охуеет
onon И что ткср растет?
Vort хм. у атакующего всё тот же IP: 68.183.196.133
Vort просто срёт активнее
onon Можно пересобираться?
Vort даже когда нету атаки, сложно проверить влияние изменений на TCSR
orignal onon да существенно вырос
Vort так что пока что только остаётся теоретически рассуждать
orignal пока атака не началась
orignal ну вчера же атакаи не было
orignal а я смотрел
orignal onon да можно
Vort так рейт от перезапуска узла меняется
orignal но на 1500 держит
onon Интересный факт, во время атаки занатовкие узлы показывают больше транзита, примерно в 1.5 раза.
Vort по количеству или по трафику?
onon И так и так
Vort ну вообще когда рейт ниже, то количество выше. а вот про трафик - не знаю
onon там Х если что.
orignal <zzz> now about 2000/hour new
Vort такое ощущение, что не сходится
Vort старые удаляются, а потом возвращаются что ли?
Vort просто Floodfills: прыгает на -100, -200 постоянно
orignal возможно что приходят с других роутеров
orignal понимаешь 1500 был правильный порог год назад
orignal нынче правильный 1000
onon Сильное заявление. Проверять я его, конечно, не буду.
orignal какое именно?
onon Про 1000 фф
orignal ну счас порог в 1500
Vort так это порог только защиты от атаки
Vort реальных может быть и больше
orignal просто год назад флудфилов было больше
onon А где тогда искать дестинейшны для сайтов?
` Да, рыли, за минуту-жве -200 флудфилофф
orignal так смотри
orignal когда атаки нет все реальные флудфилы добавятся в базу
orignal даже если будет зашита работать
orignal просто не сразу
` Я только флудфил выключил свой (надоело кикать по тайм-ауту), а тут надо опять поднимать щиты за ш2зв..
orignal счас просто защита включается поздно
orignal на 1500 а не на 1000
orignal кстати еще дохуя лизсетов
Vort это может быть побочный эффект
onon Дохуя это сколько
` Опять полезли флудфилы, да, рыли прыгают
orignal у меня 500 с лишним
Vort у меня при прошлых атаках до 500 было вроде
onon У меня бывает от 300 до 700 примерно
orignal обычно где то 350 было
Vort перераспределяется нагрузка, скоее всего
onon Лось, если ты не сильно занят, есть вопрос по дропам сообщений.
` Поверь эксперту кофейных гущщщь..
` Не занят.
orignal валяй
orignal только спрашивай пока я трезв ))
onon1 Вопрос: как это работает? =)
onon1 ->onDrop
onon1 Кто ставит такой флаг
onon1 И в каких случаях
orignal это коллбэк
orignal ставит тот кто считает нужным
orignal чтобы поймать момент что сообщеие дропнулось и что нибудь сделать
onon Ну я вижу, транспорт это делает
onon А кто еще
orignal например если отправили запрос к флудфилу а он дропнулся нет смысла жадть овтета
orignal правильно вызывает транспорт
orignal а ставится в нескольких метсах
orignal туда лямбда записывается обычно
onon Т.е. только транспорт их дропает?
onon А в каких случаях?
orignal в тех когда надо дропнуть
orignal ну когда сообщение не отослали а выкинули
orignal понятно что может и не только транаспорт
onon Хотелось бы конкретнее, я вот вижу при переполнении очереди напрмиер
onon Просто я вижу, что наши запросы на построение туннеля часто дропаются
onon Хочу понять причину
orignal счас впроде только в траспортах
orignal но может например и в тоннелях
orignal ну дропаются потому что не отсылаются пиру
orignal потому что не могут
onon Например, пытаемся через интродьюсер
onon Там будет таймаут или локальный дроп?
orignal если не соединился то дроп
onon Ну вот, вероятно причина.
onon Будем искать дальше.
` Как эффективный манагер устанавливаю план, план по нахождению багофф, с каждого по одному багу за день. Мы команда. Надо будет и я баги буду искать. Мы команда.
` Отчёт сдать до вчера.
onon Значит, план следующий: пишем код специально с багами, вставляем. Потом каждый день исправляем по багу.
orignal ты не поверишь в одной конторке где я работал так и было
orignal один придурок решил оценивать работу по числу исправленных багов
orignal и искренне недоумевал почему число исправленных багов растет и число новых тоже
onon XxD
onon Он бы ещё по количеству строк кода начал оценивать =)
Vort интересно - RI узла 68.183.196.133 начали меняться
Vort он вначале обновился с 0.9.61 до 0.9.62
Vort а теперь убрал флаг флудфила
Vort пытается атаку с себя сбросить?
Vort такое ощущение, что этот адрес был выбран для клонирования таки неслучайно
Vort произвольный юзер мог бы не догадаться, что надо что-то менять
orignal ну да
orignal видать до чувака доперло что его атакуют
onon Я вот думаю, не будет ли последнее изменение сильно сужать выборку для строителя туннелей, ну вроде будет постоянно одни и те же пиры использовать...
Vort почему?
Vort там же только приоритет вроде
orignal с чего вдруг?
orignal это же просто порядок выбора способов поключения
onon Значит, я неверно интерпретировал мысль об уже подключенных узлах...
onon Либо это очень узкий случай
onon Когда есть несколько вариантов подключения.
` Напомните что значит "D"? Только без грязи про мою мамашу(с)
Vort это про редкий случай, да
Vort обычно или всё за NAT или всё открыто
Vort а вот когда что-то открыто, что-то закрыто - тогда важен этот приоритет
Vort `: значит, узел нагружен > 70%
Vort или по трафику или по количеству транзитов
onon D это когда тебе кто-то пиково вырастил транзит, а ты потом 10 минут всем сообщаешь, что ты дико перегружен.
` Vort, да, по количеству.
` Просто зарезал лимит, надоело кикать по таймауту
` Не вывозит машинка потока или хз что ещё (ЦП не кипит)
Vort на последний коммит, небось, не обновился?
` Не бывает последнего коммита 🤔
` Бывает только крайний..🤡
Vort так релиз стоит или после релиза хоть что-то?
` Сколько здесь сижу - всегда, всегда "до последнего коммита не обновился, а там процент больше и траффика больше, пятое-десятое..".
` Vort, релиз.
Vort тогда понятно
orignal вроде закончилось