#dev (ilita) | Обсуждение разработки I2Pd | i2pd development discussion | http://i2pd.website/

onon2 Tunnel creation success rate: 3%

onon2 Наращивают темп

Vort ага. Floodfills: 1492

Vort решил сделать тест торрентов и удивлялся, почему они так тупят. теперь понятно

onon2 Floodfills: 1989

onon2 На флудфиле

onon2 Не успевает разгребать, видимо

Vort orignal: до атакующего наконец дошло, что можно клонировать RI по всей netdb

onon Уже думали, что можно этому противопоставить?

onon Ну вроде необходимых вычислений на стороне публикующего

onon Что бы клонирование стоило дорого?

Vort для таких изменений нужны годы

onon Мягкий сплит, и пусть дед сам думает.

orignal так это же уже проходили

orignal у меня нормально уперлось в 1500

Vort ну по флудфилам да, но они же за обычные узлы считаются для построения туннелей?

Vort поэтому 1 хоп нормально строятся, а вот с 3 хопами проблема

orignal считаются но они быстро вычищаются

Vort Routers: 18013

Vort 5734 из них caps=..f.

Vort (регулярками искал)

orignal в netdb да они как есть

orignal но у себя мы их флудфилами не признаем

orignal вот что надо сделать

orignal для построения не выбирать такой флудфил который мы не считаем флудфилом

orignal только для первого хопа

Vort ага

Vort атакующий может потом начать клонировать вообще всё подряд. но это будет потом

orignal а не пох?

orignal пока работают флудфилы ниебет

Vort говорю же - 3ххоповые дестинейшены почти не работают

orignal при низком рейте выбирать только подтвержденные узлы и все

orignal дело небольшое

orignal а вообще пусть у деда голова болит

onon Подтверждённые это какие

onon С которыми соединялись уже?

orignal с кем уже было соединение

orignal да

onon И какой тайминг

onon Как долго валидными считать?

orignal навсегда

onon Хмм...

orignal если с роутером соединилсь значит он реальный

onon Клонировать такой не получится?

onon С другими адресами

orignal нет

orignal он же подписанный

orignal как ты его с новыми адресами переподпишешь?

onon Звучит, вроде логично.

orignal впрочем да наверное можно

orignal атакущий может наделать реальных ротуеров

orignal а потом заменить лажей

onon А если с таймером?

orignal что с таймером?

onon Если сутки назад был коннект, реальный, если раньше, то не факт.

orignal неее

orignal надо считать реальным до тех пор пока адреса те же

orignal если поменяись то подождать когда потвердится

onon Считать от всего этого хеш и хранить рядом?

orignal да можно

onon А как с симнатом?

onon Там всё время адреса меняются

orignal а кого ебут роутеры без IP адресов?))

onon Резонно

Vort я кое что заметил сейчас. дохрена SSU2 сессий, при чём, это не клоны. клонов хоть и много, но они в список не попадают

orignal входящих или исходящих?

Vort это, скорее, к моему узлу пытаются подключиться через клонированные RI

Vort я всё время забываю где стрелочка должна быть

Vort ⇒ [1131:996]

onon Не скажу, что прям дохрена, но обычно меньше SSU2 ( 2921 )

Vort ⇒ [1091:231]

Vort onon: флудфил?

orignal а как можно подключиться через клонированные?

onon Да

orignal они же не существуют

orignal и да почему по SSU2 понятно

orignal потмоу что по NTCP2 бывает отлут

Vort "<~orignal> они же не существуют" и что? адреса то мои там есть

Vort вот и идёт подключение по адресам

onon Как вам ненаучная гипотеза. Это великий файрвол прорывается иногда, и китайская итупи пытается воссоединиться с остальными. =)

Vort orignal: меня беспокоит, что наш узел может пробовать воспользоваться такими недо-сессиями

Vort или это мне кажется и все эти сессии реальны?

orignal ну воспользуется и что будет?

orignal те кто к тебе подклочились они же реальные

Vort а через клоны вообще в списке не появятся

orignal вот скажи дед с idk не мудаки а?

orignal им блять полгода об этой проблеме говорили

orignal weko даже пропозал написал

orignal а они только что на хуй не слали

orignal получили

Vort ну то понятно, что могли бы шустрее реагировать

orignal нет это ккакое хамство было

onon У меня фф пиртест провалил, остался на второй год, занатовцем.

orignal им говорили что проблема реальная

orignal но дед не желал ничего не слышать в духе "это не важно пишите пропозал"

Vort поясни пожалуйста, в списке транспортов соединение к моему узлу через клонированный RI вылазить будет или оно вообще не создастся из-за несоответствия ключей?

weko Так всё расписал как детям

weko Хоть прочитали бы

weko Джависты блин

onon Вы ещё не поняли, они считают i2pd детским поделием на коленке

orignal у тебя в списке будет тот узел который с тобой соединяется

orignal та же сторона будет видеть тебя как клонированный

Vort я понимаю, но будет только когда правильные ключи или если и неправильные тоже?

orignal onon они могут считать чем угодно но дыра то в самом протоколе

orignal только если s твой

orignal если s не твой зафйелится

Vort зафейлится и в списке транспортов вообще не появится?

orignal этого я не помню уже когда вставляется в список

Vort ну это важно, не будем ли мы пытаться через глюченные транспорты туннели строить к примеру

orignal будем

orignal но тоннели зафейлятся по любому

orignal потому что там ключ роутера используется

orignal грубо говоря когда к тебе поключились принимая тебя за клон то и запись будет зашифрована для клона

Vort можем ли мы это на своей стороне понять и грохнуть такую транспортную сессию?

Vort не пойму вообще почему они висят

orignal потому что они реалтные

orignal транспорты

Vort но шлётся же фигня с неверными ключами

orignal вот чего я не сделал это проверку если соединение по NTCP2 зафелолось и роутер неподтвержденный не пытаться по SSU2

orignal какими ключами?

orignal по SSU2 же ключи все верные

Vort а... понял. хреново

orignal ну никто ж не думал что дед себя так поведет

Vort то есть, транспорт реален, но пользоваться им проблематично

onon Tunnel creation success rate: 2% Интересно, а 0 бывает?

orignal я рассчитывал что это починят

orignal бывает

orignal не хотелось городить хаков

orignal у меня возник интересный вопрос

orignal а как вообще этот мусор в сеть попадает? публикацей на флудфиле?

onon А какие ещё есть варианты так быстро налить в сеть RI?

orignal ну вот я размышляю

orignal получается что они и будут сидеть только на флудфилах

orignal потому как

orignal достаточно быстро флудфилы не будут считать их флудфилами

orignal соотвественно не будут вкючать их в ответы на запросы

orignal понятно что сколько то может пролазить через зондирование

orignal а сами они не соединиются потому свой RI через линк не кидают

orignal таким образом атаки подвержены только флудфилы

onon Вывод - гасим флудфилы =)

orignal гениальная идея ))

orignal вывод что если мы сами флудфил то можем сделать код который вычищает говно ыбстрее

onon Или сделать, чтобы проверялись все без исключения?

orignal нельзя

onon Будет амплификейшн

onon наверное

orignal потому что ты никак не сможешь продвердить

orignal если ты неподтвержденный роутер исплючашь из нетдб как ты его проверишь?

onon Сделать ещё одну бд с непроверенными =)

onon И переливать потиху

orignal а вот сделать на флудфиле очистку неподвтержденных через 15 минут например это более эффектвино

orignal а переливать на каком основании?

onon Проверять каждый

orignal просто проверять?

orignal это дрозд предлагает

onon Хз, просто накидываю идей

orignal я считаю что если проверять каждый то много лигних ликнов будет

orignal а вот проверять подозрительные можно

onon NTCP2 ( 2868 )

onon На фф

orignal а SSU2?

onon SSU2 ( 2311 )

orignal так это мало я бы сказал

orignal в пределах нормы

onon Обычно там SSU больше

orignal вот прикинь в прошлом году я разбирался со всей это хуйней когда дед свалил

onon А что в прошлом году то же самое было?

orignal ну так у тебя NTCP2 больше

onon И чем закончилось?

orignal потому что счас приоритет отдается NTCP2

orignal закончилось разработкой этого кода который и купирует атаку

onon А сейчас почему не работает?

orignal атака?

onon Или работает, но недостаточно эффективно

orignal счас работает просто отлично

orignal ты просто не понмиаешь что было в прошлом году

onon Мой ткср говорит об обратном

orignal вся сеть просто ложилась

onon Ну тогда ясно

orignal и в нетдб было под сотни тысяч флудфилв

onon Сейчас хоть что-то работает

orignal у тебя только рейт низкий

orignal больше ничего плохо

orignal го

orignal потому что мусорные флудфилы сразу фильтруются и дальше не распространяются

orignal единственное что я не сделал это ситуацию с SSU2

orignal рассчитаывая до них достучаться и починить протокол

orignal не достучался

onon SSU3 ?

orignal SSU2 но с дполнительным блоком

orignal weko все подробно им описал что надо сделать

orignal так они сказали отъебитесь

onon Ну так сделай для i2pd а для явы даунгрейд, или не получится?

orignal тогда придется джавовские узлы при атаке банить

orignal если этого блока не будет

onon Навсегда?

onon Или на время?

orignal нет просто не устанавливать соединение по SSU2

onon Если на время, то вроде не смертельно.

orignal пока атака не закончится

onon А в чем тогда подвох?

onon Что будет нетсплит?

orignal ну рассчитывал согласовать изменение протокола

orignal больше просто не занимался вопросом

onon Будут недоступны ресурсы из разных сетей

onon В ирку деду не постучишься

orignal почему?

orignal а ну да

onon Ну и у нас строитель туннелей же не знает, что за роутеры он выбирает с явой или сишные

onon Будут проблемы со строительством тогда

orignal ну это можно поправить при желании

onon Ну и публиковаться только на "своих" флудфилах, и делать запросы только к ним...

onon Как-то много проблем вылазит

weko [23:45:56] <orignal> weko все подробно им описал что надо сделать

weko Даже несколько вариантов

weko Ну определить джава или ш2зв можно

weko Просто кода нет для этого

orignal да там кода 2 строчки буквально

onon1 Я пожоже, начинаю отваливаться

orignal читаешь cost из адресов и сравниваешь со своими

weko У меня шумит сервер

weko Плохой знак

orignal что значит шумит?

orignal у тебя флудфил?

weko Да

weko Шумит значит вентилятор быстро крутится

orignal ну так понятно что на них потоки говна счас льются

weko Ага

weko Надо сузить дырку

onon1 NTCP2 ( 3753 ) SSU2 ( 2385 )

orignal ноормально

onon1 Вот больше трёх я ещё не видел

orignal NTCP2 ( 4515

weko Routers: 19849

weko SSU2 ( 9579 )

weko Дауж

orignal NTCP2v6 ( 1014

orignal SSU2 ( 6182 )

weko NTCP2 ( 4716 )

orignal SSU2v6 ( 547

weko Какой то пиздей

weko Пиздец

orignal а не пох?

orignal с SSU2 это чисто вина деда

weko Не пох

weko Коннектам плохо

weko В ирке видно даже

orignal это потому что в нетдб много мусора

orignal вот с этим что то надо делать на флудфиле

onon1 Значит нужно определиться, как мы можем однозначно отличить правильные RI от неправильных.

orignal кэп )))

onon1 Вариант собирать статистику по использованным узлам и работать только с ними, постепенно "подливая" понемногу непроверенных.

onon1 Так, количество новых роутеров не будет сильно влиять

onon1 Опять же получается вариант с двумя нетдб

weko Как достал солевой уже

weko Со своими атаками

onon1 Один "рабочий" а из второго понемногу зачерпываем и тестируем

weko_ orignal: кстати, я говорил о проблеме, что при рестарта стримы не завершаются нормально

weko_ Не удобно

weko_ В ирке

orignal рестрате чего?

orignal это не солевой

orignal это с кем то в свое время тубик посрался

Vort интересно, чем я думал, запуская узел с отладочной информацией на ночь ))

Vort хорошая новость - он не крешнулся, при том, что был под нагрузкой от торрентов (хоть и слабой)

Vort новость похуже - в 3 часа ночи он начал отжирать два ядра CPU

Vort так до сих пор и жрёт

Vort я думал, может, словил зависание. но нифига. почему-то на него налипло 5 мегабайт/сек входящего трафика

Vort и у него треды просто нагружены трафиком

Vort я тоже наблюдаю странный перекос по количеству транспортов: NTCP2 ( 5491 ) SSU2 ( 3858 ) NTCP2v6 ( 713 ) SSU2v6 ( 260 )

Vort думал-думал, что с этим узлом делать, как он крешнулся из-за глюченого буста (в HashedStorage::Remove)

Vort я это место даже патчил, но всё равно не помогло. то есть, крешнуло патченую версию

Vort paste.i2pd.xyz/?964803aa11754ba1#9pdkCyWVuXzfFFLJq79Z7jRu4NZ3Ua2uoPgU8XYS69RW

Vort стал рассматривать netdb и обнаружил странность: почему-то некоторые клонированные RI живут на флудфиле по несколько часов. похоже на какой-то баг с очисткой

Vort может, проблема связана с тем, что логи заваливаются "RouterInfo: Can't open file" ?

Vort такие сообщения были и раньше, но во время атаки стали появляться намного чаще

tetrimer_ ddos-ят сеть запросами вида: 10:39:13@330/error - RouterInfo: Can't open file /var/db/i2pd/netDb/rP/routerInfo-PzB6Avq4bmpBaEonYsYXnk-PxIsLtF4vFhsPoA0p6zI=.dat

tetrimer_ Наверное надо подумать над кэшированием негативных результатов и блокировкой запрашивающего узла после десятка негативных запросов.

Vort сеть, конечно, под атакой, но эти сообщения в логе - из-за давнего бага, просто под атакой баг стал проявляться чаще

tetrimer_ Routers: 22508 Floodfills: 5185 LeaseSets: 13 - ого

tetrimer_ Это две минуты аптайма

Vort атакуют клонированными RouterInfo флудфилов

tetrimer_ У меня в остальных местах - как-то поменьше. Тясяча-полторы.

Vort потому что работает защита

Vort скорее всего, она сразу после запуска не активна

Vort стоит подождать час

tetrimer_ Дествительно: восемь минут и стало поменьше.

tetrimer_ Routers: 20288 Floodfills: 1255 LeaseSets: 155 Client Tunnels: 18 Transit Tunnels: 2106

WebClient86 опять атака?

WebClient86 шо за хуйня?

WebClient86 лось просыпайся нас атакуют

WebClient86 меня хоть кто то слышит?

WebClient86 кукарекушку вам в дом

WebClient86 ви миня слышать?

WebClient86 Nikat хватит дурить

Vort WebClient86: атака с ночи идёт

Vort orignal: если "та" сторона стрима отвалилась, а "эта" сторона не шлёт никаких данных, то единственное, что будет происходить - отправка обновлённых лизсетов время от времени?

Vort если ответ "да", то, похоже, в коде нет никаких лимитов на количество попыток отправить лизсет. подозреваю, что это может быть причиной эффекта, описанного выше

WebClient86 и что делать будем?

WebClient86 у меня работа стоит

WebClient86 чини

WebClient86 те

Vort некоторые планы по исправлению можно почитать в логах чата за ночь major.i2p/ilita/dev/2024/04/22 (если удастся открыть сайт, конечно)

Vort плохие флудфилы хоть и фильтруются, но почему-то лизсеты ищутся дольше, чем хотелось бы

WebClient86 не, не зайти, тоннели вообще не строятся

WebClient86 на этот раз они нас поимели

relaybot 13mittwerkz: бля ребят у меня какое-то говно с айтупи

relaybot 13mittwerkz: все как всегда но очень плохо либо вообще сайты не грузит пидор

Vort атака сейчас

relaybot 13mittwerkz: лизсеты есть, роутеров куча

relaybot 13mittwerkz: атака? а кто посмел?

relaybot 13mittwerkz: а почему тор не атакуют?

Vort пока что никто не признался

Vort так что спросить не выйдет

relaybot 13mittwerkz: Успешно построенных туннелей: 1%

relaybot 13mittwerkz: Получено: 2,10 ГиБ (2708,81 КиБ/с)

relaybot 13mittwerkz: Отправлено: 1,71 ГиБ (2166,77 КиБ/с)

Vort у меня примерно так же

relaybot 13mittwerkz: а как ее предотвратить?

Vort есть разные методы

relaybot 13mittwerkz: я случайно не могу быть орудием атаки?

Vort к примеру, для одного из исправлений надо договариваться с разработчиками i2p java

relaybot 13mittwerkz: я ща васе скажу он всех разебет)

Vort сеть сама по себе усиливает эту атаку, так что многие узлы сети - орудие

Vort советую ждать исправлений на github и обновлять узел когда исправления будут

Vort но чётких планов пока нету

orignal лизсеты то отправля.тся не на уровне стрима

orignal Vort хочешь счказать срач сидит в нетдб на флудфиле больше часа?

Vort "<~orignal> лизсеты то отправля.тся не на уровне стрима" как я понимаю, на уровне стрима этот процесс контроллируется

Vort "<~orignal> Vort хочешь счказать срач сидит в нетдб на флудфиле больше часа?" - иногда, да. но явно не всегда. похоже на баг. ну как обычно

orignal погоди а зачем вообще лисеты отпрволять из стрима?

orignal если больше часа на флдфиле то баг

Vort как раз потому, что стрим может сам по себе ничего не отправлять, а лизсеты всё равно надо обновлять

orignal больше часа там сидит пир если с ним есть соедтинение

Vort почему тогда он сам по себе не шлёт свежий RI ?

orignal ну да что то там посылается

orignal а вот это надо подумать почему

Vort да я думаю нет там никакого соединения. попробую проверить

Vort ну вот проверил я одного. нету в списке транспортов его

Vort в базе даже позавчерашние RI есть

orignal ну так смотри код почему

orignal код очистки

orignal на диске понятно что могут быть

orignal потому что они там не чистятся часто

orignal я про память

orignal нет

orignal диск чистится по отдельному алгоримтну

orignal и не всегда то что на диске естьв апмяти

orignal mittwerkz пусть теперь голова у деда болит

Vort профили, кстати, таки разрастаются. 156 тыщ сейчас у меня. не самая важная проблема, но стоит иметь в виду

orignal да это известная тема

orignal они чистятся редко

orignal я вот счас нехватку дескрипторов словил

orignal у меня там 8K было

Vort ntcp2 иногда прилично прыгают сейчас, так что логично

Vort я логики правда так и не понял

Vort иногда ntcp2 больше, иногда ssu2

orignal я поднял до 16K

Vort сколько транзитов, кстати?

Vort у меня Transit Tunnels: 77470

Vort это от рейта, скорее всего

orignal около 60K

orignal я думаю поменять код на построение тоннелей только через проверенные при атаке

onon Я логи почитал, понял что за ночь вы ничего не придумали.

orignal а никто и не думал

orignal пусть теперь дед думает

orignal хватит уже

orignal у себя я понятное дело что починю

Vort "только через проверенные" - в случае флудфилов то есть?

orignal почему?

orignal для обычных это же тоже действительно

orignal что узел потвержден оно в профайл записывается

Vort ок, понял

orignal но делаем это толкьо если рейт низкий

Vort а 1.5 тыщи порог для флудфилов поменяешь?

orignal да до 1K

orignal может это в конфиг вынести?

Vort да это вообще хак

Vort думаю что не надо

orignal тоже думаю

orignal кстати впрос так и остался

orignal почему год назда было 1.5k флудфилов а счас 1K

Vort ну частично - из-за банов при плохой связности

Vort но это где-то -100-200 узлов

orignal так бан всего 8 минут счас

Vort а ещё куда-то узлов 300-500 потерялось

orignal вот и спрашивает куда и чьи они были

Vort может из-за прошлых атак повыключали флудфил режим

orignal я думаю все проще

orignal мы же добавили проверку на реальность IP и прочее

orignal кстати сколько у тебя флудфилов на диске?

orignal а нет счас смысла нет смотреть

Vort 3608

orignal я просто думаю что число тех кто объявялет себя флудфилмами то же самое простоо мы их не чситаем флудфилами

orignal вот от чего я охуеваю так это от бездействия деда

orignal ладно в прошлом году его не было пришлось самим

orignal а нынче то что?

Vort я думаю, это только частично. можно проверку отключить - и глянуть, вернутся ли 1.2-1.4 тыщи. думаю, что нет. будет 0.9-1.0

orignal возможно

onon Чтобы быстрее проверять все узлы на валидность, не обязательно прямой линк. Когда мы строим туннели, можно помечать при получении ответа всех участников как реальных, если таймаут - то под вопросом.

onon Ну так что насчет идеи закуклиться, и не принимать новые RI без проверки

onon Какие про-контра

Vort orignal: я нашёл GetProfile ()->Connected () только в 2 местах

orignal я тебе уже говорил это идея дрозда

Vort "<~orignal> это событие будет настолько редкое что мало что меняет" SSU2-only так можно проверить, разве нет?

orignal peer.router->GetProfile ()->IsReal ()

orignal вот это надо проверять

Vort а, вижу

orignal bool IsReal () const { return m_HasConnected || m_NumTunnelsAgreed > 0 || m_NumTunnelsDeclined > 0; }

orignal все логично

orignal если че то ответил на тоннель значит реальный

onon А есть у нас механизм, который предотвращает "вымывание" проверенных RI непроверенными из netDb?

orignal хороший вопрос

orignal надо будет поработать в этом направлении

orignal но смотри в чем дело

orignal даже если ты выкинул из нетдбв профиле то останется

orignal и сразу как появится заново станет проверенным

orignal а поскольку на флудфил постоянно идут публикации то проверенные будут тоже приходить

onon Но флудфил же рандом отдаёт, а если у него больше "плохих" чем "хороших" он с большей вероятностью будет отдавать "плохие"

orignal это только при зондировании

orignal а как правило флудфил отдает другие флудфилы

orignal а туда мусор почти не пролазит

orignal точнее прорблема что очистка начинаетс с 1.5K а не с 1K как бы надо

orignal но сеть мусорными флудфидами не забивается

onon А если сделать с 500, что будет?

orignal счас проблему я вижу только в низком рейте

orignal будет то что новые флудфилы будут долго появляться в сети

orignal нормальнные

orignal рейт поднять это можно быстро

orignal как я уже сказал

orignal ты даже можешь сам в код добавить

orignal при выборе пир проверку IsReal

Vort так не только пир, но и последующие хопы же

onon Ну так сделай, чтобы в 50% случаев выбирал обязательно real, а в 50% не real, для проверки

onon Чтобы хотя бы половина туннелей строилась

orignal Vort я про них и говорю

Vort да и меньше не-real можно

orignal с первым как раз проблем нет

onon Ну или другое соотношение

orignal потому что он выбирается из поключенных

orignal ну сделаю

orignal просто занят малось

Vort только я думаю real и не-real мешать не стоит

Vort или все хопы real или все не-real. в зависимости от рандома

orignal я хочу от рейта

orignal если рейт низкий то только реальные

orignal если выскоий то всякие

Vort тогда рейт выше этого лимита не поднимется

orignal естественно

orignal но нам выше и не надо

orignal нам главное чтобы сервисы работали

orignal а не само значение рейта

Vort как временное решение - сойдёт. но вообще-то такая атака относительно дешёвая и может длиться долго

Vort а постоянно сидеть на низком рейте - вариант не очень

Vort "<~orignal> с первым как раз проблем нет / потому что он выбирается из поключенных" - если по SSU2, то это может быть подключение с поддельным RI. хотя я не уверен, на всякий случай говорю

orignal да может если исходяшее

orignal по уму это надо проврять

orignal если дед все таки не сподобится сделать тот пропозал

orignal ну а кого ебет низский рейт по большому счету?

Vort а входящее почему не может быть?

Vort надёжность страдает

orignal если узел сделал входяшее соединение к тебе значит он реальный

Vort так он мог подключаться как к клону

Vort или всё равно через него можно построить туннель?

Vort хм. узел то может быть реальным, а вот транспортное соединение... не знаю

Vort короч я пока не понял, насколько пригодны коннекты к нам, как к клонам

Vort можно ли ими пользоваться

orignal можно

orignal сам то же он реальный

orignal а чего им не быть пригодным?

Vort ну он же подключался к нам, думая, что у нас другой ключ роутера

Vort то есть, он пользоваться этим транспортом не сможет, а мы в обратном направлении сможем, так что ли?

orignal он тоже может если тоннели не строить

orignal нельзя тоннели построить

orignal нельзя обуликваться

orignal а в другую сторону все можно

Vort окей

orignal а например запрос адреса он сделать может

orignal Transit Tunnels: 95361

orignal ха ха

relaybot 13mittwerkz: ппц менты ваще охренели

relaybot 13mittwerkz: уже пожилых людей мучаю

relaybot 13mittwerkz: т

orignal ты каналы попутал

relaybot 13mittwerkz: Клиентские туннели: 36 Транзитные туннели: 26070

relaybot 13mittwerkz: мда у тя больше

relaybot 13mittwerkz: ток кстати на днях тут спрашивал как мол мона предотвратить ддос атаку на ш2з

orignal так у мненя уперлось в лимит 100k

orignal увеличил

relaybot 13mittwerkz: а мне такие хаха как тут кого-то задидосить то)

orignal а дед как воды в рот набрал

relaybot 13mittwerkz: вот пару дней назад буквально

relaybot 13mittwerkz: а кстати если атака уже 3 дня то почему я только вчера вечером ее ощутил?

orignal Transit Tunnels: 103790

orignal так это не ддос

orignal это просто кто то засирает сеть

relaybot 13mittwerkz: > orignal: а дед как воды в рот набрал

relaybot 13mittwerkz: я ж говорю прекроти мучать) а ты говоришь каналом ошипся

orignal флудфилами и тоннелями

relaybot 13mittwerkz: > orignal: это просто кто то засирает сеть

relaybot 13mittwerkz: а как он это делает?

orignal рост числа тразитов это уже новый вариант атаки

relaybot 13mittwerkz: Получено: 17,60 ГиБ (2476,75 КиБ/с)

relaybot 13mittwerkz: Отправлено: 13,90 ГиБ (2094,59 КиБ/с)

relaybot 13mittwerkz: меня больше это смущает — почему такая скорость большая?

relaybot 13mittwerkz: от которой кпд 0%

relaybot 13mittwerkz: хотя не, роутер пишет 1% если быть точным)

relaybot 13mittwerkz: кто вообще посмел напасть на никому не нужную сеть

orignal так это уже полтора года как продолжается

relaybot 13mittwerkz: с 2.5 анона которые друг друга в лицо знают)

orignal это вообще загадка

relaybot 13mittwerkz: > orignal: так это уже полтора года как продолжается

relaybot 13mittwerkz: это кибератака

orignal кому понадобилось атаковать i2p

Vort просадка рейта раз в 5 приводит к увеличению транзитов в 5 раз. было 20к транзитов, теперь 100к - всё сходится

orignal опять же повторюсь

orignal мне почему то кажется что дед знает

orignal Vort почему только сейчас а не вчера?

relaybot 13mittwerkz: а кто-то знает почему я тут могу сидеть а в остальном айтупи не могу?)

relaybot 13mittwerkz: как это работает?

orignal потому что у меня и R4SAS -а мощные узлы

orignal способные справиться с атакой

orignal остальные реусрсы просто не столь мощные

Vort "<~orignal> Vort почему только сейчас а не вчера?" хз, может большая часть транзитов "шла" через клоны. а теперь уже и наши узлы транзиты цепляют

relaybot 13mittwerkz: у рсаса не такой уж и мощный) его репа айтпишная упала сперва, потом пир для иггдрасиля атйпишный

relaybot 13mittwerkz: кстати мы ж все мирные жители айтупи

Vort кстати сейчас у меня Transit Tunnels: 30929

relaybot 13mittwerkz: это теракт!

Vort да может и специально транзиты атакующий гонит, точно сказать сложно

onon Нотбоб пишет This is pretty bad, and as usual, i2pd is being hit a lot harder than Java I2P or I2P+

relaybot 13mittwerkz: это удар в спину ориньялю от западных партнеров

relaybot 13mittwerkz: хотя он сам достаточно западный)

orignal у R4SAS -а несклько узлов

orignal да он все время так пишет

orignal Vort я думаю пытается разные атаки

onon Ну он статистику видит, наверное не из головы берёт.

orignal нее

orignal это у него самого

relaybot 13mittwerkz: > onon: Ну он статистику видит, наверное не из головы берёт.

relaybot 13mittwerkz: это пропаганда

orignal тут понимаешь разница в том что джава банит все подряд а мы нет

relaybot 13mittwerkz: он пытается очерднить наш крестовый роутер

relaybot 13mittwerkz: православный

orignal естественно в результате всю сеть вытаскиваем мы

orignal меня более интересует молчание деда

orignal вопрос то серьезный

relaybot 13mittwerkz: на нас вся ш2зпланета держится

onon > Крестовый >Православный - Это 5+

relaybot 13mittwerkz: трикитовый лосось

relaybot 13mittwerkz: зловещее молчание деда

relaybot 13mittwerkz: может это он внес в сеть сумятицу?

orignal я думаю там какие то разборки детали которых нам неизвестны

Vort "<~orignal> меня более интересует молчание деда" может, боится поломать (доломать) сеть? или у него достаточно знаний, чтобы поменять протокол сразу без ошибок?

relaybot 13mittwerkz: с рептилоидами перетирает на совещании, некогда василию ответить)

orignal молчание его что он никаких идей не предлагает

orignal не только с SSU2

Vort психологическая травма от прошлой атаки? я частично шучу, конечно, но мало ли

orignal от той после которой он сбежал?

relaybot 13mittwerkz: создал охуенную сеть, а оказалось что она не охуенная)

Vort ага

relaybot 13mittwerkz: инфаркт

orignal возможно

orignal вот я знаю что нужно делать просто счас занят

orignal а дед не похоже

relaybot 13mittwerkz: > orignal: от той после которой он сбежал?

relaybot 13mittwerkz: а куда он сбежал?)

onon Так это жрандом создал, или я чего-то не знаю

onon Или они вместе делали?

orignal его полгода не было

orignal просто ушел

relaybot 13mittwerkz: к реке

relaybot 13mittwerkz: так что делать, Василий?

relaybot 13mittwerkz: baesilisques

orignal я выше написал что

relaybot 13mittwerkz: а че нельзя сделать отдельную от жабьего роутера сеть?

relaybot 13mittwerkz: и никаких проблем тогда

orignal надо код поправить

orignal чтобы строить тоннели только через подтвержденные узлы

orignal проблем меньше не станет

relaybot 13mittwerkz: а почему тор так не штормят?

relaybot 13mittwerkz: у него продуманная защита там?

tetrimer_ Надо динамику отслеживать: если что-то где-то очень быстро растет - надо его тормозить. Тогда и ддос будет медленным и дорогим.

orignal тор тоже штормит

orignal довольно часто

relaybot 13mittwerkz: > tetrimer_: Надо динамику отслеживать: если что-то где-то очень быстро растет - надо его тормозить. Тогда и ддос будет медленным и дорогим.

relaybot 13mittwerkz: плюсую

relaybot 13mittwerkz: ш2зую

tetrimer_ "вторая производная измеряет, как изменяется скорость изменения самой величины"

relaybot 13mittwerkz: без "как изменяется" смысл не потеряется)

relaybot 13mittwerkz: ошибки говнокодеров перетекли из яп в естественный языки)

Vort Tor более централизованный

tetrimer_ mittwerkz: Нифига, величина d2 - показывает: с какой скоростью меняется параметр d1 (и в какую сторону, в зависимости от знака)

Vort tetrimer_: не нужно никаких исправлений наугад

Vort вначале анализ, потом действия

tetrimer_ Это не исправление наугад, это теоретический подход.

tetrimer_ Но для этого надо будет держать два комплекта переменных: текущее значение и предыдущее значение. Тоже такая себе головоломка.

tetrimer_ Ну и потом я не очень понимаю - как на лету ограничить новые SSU2 коннекты, например.

orignal слать в ответ отлуп

tetrimer_ Дорого

tetrimer_ Если заливают ддосом - то отлупы слать - себе дороже.

tetrimer_ Тем более, если ддосят с подменой адреса.

orignal почему?

orignal там один UDP пакет в ответ

orignal не на ддос это другое

orignal мы гвоорим о валидных запросах SessionRequest

tetrimer_ Потому, что это вызывает генерацию ответного трафика.

onon Так известно, что запрос на соединение должен быть тяжелее ответа.

tetrimer_ А если на первый запрос какое-то время не отвечать - то второй придет не скоро. :)

Vort 1. резкие изменения могут быть естественными и нормальными. 2. даже если изменение нежелательное, то не всегда понятно, можно ли им как-то управлять и как именно

Vort допустим, вырос пинг. и что дальше?

Vort или резко TCSR просел

Vort или туннели начали масштабно фейлиться

tetrimer_ Vort: А вот не должно быть слишком резких изменений.

tetrimer_ Если просел и это от нас не зависит - это одно, а если вдруг резко растет - то надо этот рост чутка растянуть во времени.

Vort ну вот начал юзер качать файл. только что не качал, а тут начал. резкое изменение. с чего бы это кому-то считать его нежелательным?

tetrimer_ Узел от этого не много потеряет, а вот атакующему - таки тормоза будут мешать.

tetrimer_ Vort: >начал юзер качать файл - так на то и программист - чтобы посчитать: что есть нормальная работа узла в сети, а что - нет.

Vort юзеру будет неудобно, если файл ему не дадут скачать сразу, как ему это понадобится. а вот атакующий может и медленно, в течении суток наращивать атаку

tetrimer_ То есть, у Вас будет дискомфорт от того, что рост скорости скачивания будет происходить не одну секунду, а целых десять? :)

tetrimer_ Думаю, что пользователь этого даже не заметит.

Vort во-первых, да, будет. сейчас сеть и так тупит, но это отдельный разговор. затормозить же атаку на 10 секунд - это ничто

tetrimer_ Не атаку, а нарастание скорости атаки.

Vort за часы или сутки атака нарастёт хоть как её скорость или скорость скорости ни ограничивай

tetrimer_ По графикам всплески того же SSU2 в "мирное время" - занимает минут десять.

tetrimer_ Растянуть это действо во времени - заработают механизмы таймаутов и чистки коннектов.

relaybot 13mittwerkz: о у меня кажется айтупи работает

orignal пока не особо

orignal атака продолжается

relaybot 13mittwerkz: не, у меня уже отлично вроде все

relaybot 13mittwerkz: а не, не все)

relaybot 13mittwerkz: меня еще лично удивляется что семафарот не фурычит

relaybot 13mittwerkz: semaphore.ygg.at

relaybot 13mittwerkz: у всех не работает?

relaybot 13mittwerkz: или ток у меня?

orignal а причем тут ygg?

orignal всю сеть атакауют

orignal тоннель и падает

orignal потому что промежуточные узлы захлебываются

WayBest Я думал прошли времена уже)

orignal ну так работает же

orignal в отличие от тех времен когда все сдыхало

orignal счас хоть с лагами но работает

WayBest у меня сдыхает переодически)

WayBest вон вообще на пол месяца вылетал

WayBest думал с конфигурацией виртуализации беды

WayBest а оказывается все таки с сетью

orignal полмесяца это другая проблема

orignal там переделали

WayBest_ а чем череваты атаки на сеть кроме ddos?

orignal конктретна эта?

orignal ну они пытаются все сервисы в сети положить

` #ш2звЖыви

orignal пока псодений коммп не берите

orignal счнала сам проверю

Vort да нормально выглядит, попробую. откатиться всегда можно

orignal ну я счас на флудфиле пробую

Vort не поверишь, но я беспокоюсь, чтобы атака не кончилась раньше, чем протестируем код )

Vort так что надо тестить

orignal лол

orignal может 10% слишком мало но надо начать с этого

Vort нормально

WayBest на флудфиле поднял количество туннелей больше 30к пока спасает

WayBest по нагрузке ок

Vort WayBest: это с коммитом 6ce2c30 ?

Vort если с ним косяка нету, то вот это реально должно помогать

Vort короч я в рестарт. сейчас рейт 4%

WayBest 2.51

WayBest у меня 1%

WayBest пока еще есть коннект)

` #ш2звжыви

orignal может и 0% быть

onon Я думал ты лучше сделаешь

onon Вроде, сразу считать процент

orignal а чем тебе не нравится?

onon Если ткср сейчас низкий, строим туннели только через Real с вероятностью 100%-ткср

onon Ну то есть если ткср высокий, будет реже строить только из real

onon А если ниже - чаще

onon Если ткср будет около 1% - тогда с 99% вероятностью будет выбирать real

onon Ну как обратная связь

onon А ты константу сделал

onon Давай сразу делай красиво

Vort хотя, понемногу начали набираться

orignal так через 10 минут только начинает работать

Vort ну по факту изменения я заметил позже - где-то на 13 минуте

Vort чётко на 10 минуте эффекта не было

orignal потому что тоннели же строятся не постоянно а с интревалами

` я календарь переверну, и снова интервал..

` Что за акакерство в этот раз? пока связь есть

Vort короч я посоветую народу тестировать

orignal у меня четкий эффект как достигает 10% сразу наичнает падать

Vort как минимум, хуже у меня не стало

orignal и кстати оно только на клиентские влияет

orignal на зондрующие нет

orignal не уверен что для них надо

Vort `: что именно интересует?

` Vort, что в этот раз какеры напридумывали. Вижу что флудфлилы шапками пытаются пробить органичитель, пытаются и пытаются

Vort то же, что и год назад, ну или когда там прошлая атака была

Vort заваливают netdb поддельными RouterInfo

` Что характерно, что у меня на 4к транзитах и сейчас на 26к транзитах одно и то же количество известных роутерофф +- 22к

orignal а флудфилов сколько? 1500?

` Ну да, постоянно прыгает за 1500

` Сюда попал, получается, убрафф лимиты на транзиты, по сути.

` А так туннели наглухо висели

onon if (TCSR < rand() % 100) checkIsReal = true;

orignal c 1500 включается фильтрация

onon Как-то так нужно

onon i2p::tunnel::tunnels.GetTotalTunnelCreationSuccessRate()

onon Это оно?

orignal не помню

orignal там их нсколько

onon Это я с веб-морды взял

Vort не оттуда, откуда надо взял

Vort ну в последнем коммите же есть нужный вызов

onon i2p::tunnel::tunnels.GetPreciseTunnelCreationSuccessRate ()

onon зис?

Vort ага

onon Типа этот точнее

onon А тот скругленный

Vort тот - это отдельная история

Vort там если внимательно глянешь - их два вообще

Vort один из них включается недокументированной опцией

orignal может до 15% поднять?

Vort пока что не надо. стоит потестировать лучше то, что есть сейчас

Vort народ вон жалуется на рейт 1%. если у них поднимется до 10%, то будет норм

orignal у меня везде тоннели отстроились в полном объеме

Vort может, мне надо дождаться очистки на отметке в 1 час?

orignal можно да

Vort ещё у меня традиционно крешнуло при рестарте, так что часть профилей, наверно, потерялась

Vort Uptime: 1 hour, 11 minutes / Tunnel creation success rate: 8%

orignal ну неплохо

orignal 8% это не 1%

Vort у меня было 3-4%

orignal ну вот 8% почти норма

orignal у меня иогда тоже до 9% проседает

Vort иногда 3хоповые набираются более-менее

Vort а потом идёт волна фейлов

Vort и вообще 0 туннелей получается

Vort всё таки узлы и сами по себе сейчас глючат

orignal ну фейлы это понятно что узлы перегружены и дропают

Vort непонятно, почему перегрузка бывает волнами. но эта загадка была и до атаки

relaybot 13mittwerkz: ш2з делают с 00 годов

relaybot 13mittwerkz: это как-то не правильно просто брать и ломаться в 2024

tetrimer_ На 13-м билде по крайней мере туннели быстро строятся.

orignal что за 13 ый билд?

Vort так в этом и смысл был

Vort 2.51.0-13-g6ce2c305

relaybot 13mittwerkz: а как вы вообще этот роутер разрабатываете?

orignal ну смотри

onon bool checkIsReal = i2p::tunnel::tunnels.GetPreciseTunnelCreationSuccessRate () < rand() % 100

orignal преодолели порог в 10% начали строить через что попало

onon Вот так работает красиво

orignal в итоге нашли еще годные

onon Стремится к 50%

onon Можно сделать bool checkIsReal = i2p::tunnel::tunnels.GetPreciseTunnelCreationSuccessRate () < rand() % 20

orignal да это можно

onon Тогжа будет стремиться к 10?

onon %

orignal только rand()%10 + 10

orignal так лучше

orignal тогда от 10 до 20 будет колебаться

WayBest :D

orignal WayBest ты пересобрал у себя?

WayBest а может добавить проверку туннеля на соответсвие полному протоколу7

WayBest я сомневаюсь что они ддосят используя весь код ш2з

WayBest пока не пересобирал

WayBest просто лимиты повысил

WayBest вроде тянет

WayBest Роутеры: 22202 Флудфилы: 1505 Лизсеты: 279

WayBest Клиентские туннели: 9 Транзитные туннели: 24832

WayBest Адский разгон)))0

orignal клинтские тоннли 9 это сильно ))

orignal да что они делают известно

WayBest :D

orignal причем давно

orignal это просто дед козел ну честное слово

onon Раз уж ты флудфил, собери лучше последний, там до 100 лимит фф понижен

onon Будешь меньше помогать атакующему

WayBest ща попробую

WayBest оке

onon до 1000*

WayBest с гита?

orignal было полно времени решить эту проблему

orignal тогда бы говно вообще не пролазило

WayBest а мы можем их сеть изолировать7

WayBest ну или как то сломать частично совместимость

orignal так надо тогда и у нас переделывать это

WayBest +

orignal я то хотел согласовать изменения в протоколе с ними

WayBest мб сами подтянутся за тобой

orignal а он просто взял и забил

WayBest мне кажется надо делать

WayBest а потом тыкать в код

orignal ему даже пропозал написали

orignal 165

WayBest чтобы варианта отказаться не было

orignal понимаешь есть пропозал

orignal где предлагается что конктетно надо сделать

WayBest ну а что мешает его тогда внедрить?

WayBest именно у нас

WayBest на деда забей

WayBest дед на то и дед

WayBest что менять не охота

orignal тогда с нами джава узлы не смогут соединиться по SSU2

WayBest ну и похуй не?)

WayBest если атаку снизит

orignal ну не хотелось бы

WayBest а можно это опцией сделать?

orignal возможно да

orignal я к чему

WayBest или например только на прием такое

orignal если бы это было сделано своевременно

orignal атаку бы никто даже не заметид

WayBest ну лучше поздно чем никогда

orignal так надо будет и все i2pd узлы обновлять

onon Ну так будем с явой только через NTCP коннектится, или нет?

WayBest ну обновят

WayBest э

orignal onon по SSU2 тоже но только в одну сторону

WayBest то меньшая проблема

onon И со старыми, пока не обновятся

WayBest по мне так тема

WayBest и сильно не сломается

WayBest надо же как то стабильность поднять

orignal ну так атакуюший будет выдавать себя за старые

WayBest зато будет преимущество над жабороутером

orignal суть то в чем

WayBest ну и пусть

WayBest будет отлетать

orignal реально накосячил в протоколе и не хочет признавать

WayBest на прием то бан

orignal причем я ему сразу говорил как мы вообще верифицируем этот s

orignal он заявил дескать он в подписанном RI есть и типа не ссы

orignal ну вот получил

WayBest это новые смогут к старым обращаться

orignal смотря как сделать

orignal по хорошему боб должен проверять этот блок при получении SessionRequest

WayBest а мы этот патч добавить не можем?

WayBest это же по сути поломает только атакующих

orignal это поломает всех кто без него

orignal да в общем то полсденего коммита достаточно чтобы все нормально работало

onon Нет, нужно ещё сделать, чтобы "проверенные" не вытеснялись непроверенными из нетдб

orignal надо время истечения для непрвреенных сделать меньше и все

onon Типа, когда очистка, с большей вероятностью дропать непроверенные