~AreEnn
~R4SAS
~acetone
~orignal
~villain
&N00B
+Xeha
+relaybot
DUHOVKIN
Guest7184
Leopold
Most2
Nausicaa
Ruskoye_911
Vort
`
anon2
b3t4f4c3
karamba_i2p
nemiga
not_bob_afk
plap
poriori
profetikla
soos
teeth
un
weko_
whothefuckami
onon2
Tunnel creation success rate: 3%
onon2
Наращивают темп
Vort
ага. Floodfills: 1492
Vort
решил сделать тест торрентов и удивлялся, почему они так тупят. теперь понятно
onon2
Floodfills: 1989
onon2
На флудфиле
onon2
Не успевает разгребать, видимо
Vort
orignal: до атакующего наконец дошло, что можно клонировать RI по всей netdb
onon
Уже думали, что можно этому противопоставить?
onon
Ну вроде необходимых вычислений на стороне публикующего
onon
Что бы клонирование стоило дорого?
Vort
для таких изменений нужны годы
onon
Мягкий сплит, и пусть дед сам думает.
orignal
так это же уже проходили
orignal
у меня нормально уперлось в 1500
Vort
ну по флудфилам да, но они же за обычные узлы считаются для построения туннелей?
Vort
поэтому 1 хоп нормально строятся, а вот с 3 хопами проблема
orignal
считаются но они быстро вычищаются
Vort
Routers: 18013
Vort
5734 из них caps=..f.
Vort
(регулярками искал)
orignal
в netdb да они как есть
orignal
но у себя мы их флудфилами не признаем
orignal
вот что надо сделать
orignal
для построения не выбирать такой флудфил который мы не считаем флудфилом
orignal
только для первого хопа
Vort
ага
Vort
атакующий может потом начать клонировать вообще всё подряд. но это будет потом
orignal
а не пох?
orignal
пока работают флудфилы ниебет
Vort
говорю же - 3ххоповые дестинейшены почти не работают
orignal
при низком рейте выбирать только подтвержденные узлы и все
orignal
дело небольшое
orignal
а вообще пусть у деда голова болит
onon
Подтверждённые это какие
onon
С которыми соединялись уже?
orignal
с кем уже было соединение
orignal
да
onon
И какой тайминг
onon
Как долго валидными считать?
orignal
навсегда
onon
Хмм...
orignal
если с роутером соединилсь значит он реальный
onon
Клонировать такой не получится?
onon
С другими адресами
orignal
нет
orignal
он же подписанный
orignal
как ты его с новыми адресами переподпишешь?
onon
Звучит, вроде логично.
orignal
впрочем да наверное можно
orignal
атакущий может наделать реальных ротуеров
orignal
а потом заменить лажей
onon
А если с таймером?
orignal
что с таймером?
onon
Если сутки назад был коннект, реальный, если раньше, то не факт.
orignal
неее
orignal
надо считать реальным до тех пор пока адреса те же
orignal
если поменяись то подождать когда потвердится
onon
Считать от всего этого хеш и хранить рядом?
orignal
да можно
onon
А как с симнатом?
onon
Там всё время адреса меняются
orignal
а кого ебут роутеры без IP адресов?))
onon
Резонно
Vort
я кое что заметил сейчас. дохрена SSU2 сессий, при чём, это не клоны. клонов хоть и много, но они в список не попадают
orignal
входящих или исходящих?
Vort
это, скорее, к моему узлу пытаются подключиться через клонированные RI
Vort
я всё время забываю где стрелочка должна быть
Vort
⇒ [1131:996]
onon
Не скажу, что прям дохрена, но обычно меньше SSU2 ( 2921 )
Vort
⇒ [1091:231]
Vort
onon: флудфил?
orignal
а как можно подключиться через клонированные?
onon
Да
orignal
они же не существуют
orignal
и да почему по SSU2 понятно
orignal
потмоу что по NTCP2 бывает отлут
Vort
"<~orignal> они же не существуют" и что? адреса то мои там есть
Vort
вот и идёт подключение по адресам
onon
Как вам ненаучная гипотеза. Это великий файрвол прорывается иногда, и китайская итупи пытается воссоединиться с остальными. =)
Vort
orignal: меня беспокоит, что наш узел может пробовать воспользоваться такими недо-сессиями
Vort
или это мне кажется и все эти сессии реальны?
orignal
ну воспользуется и что будет?
orignal
те кто к тебе подклочились они же реальные
Vort
а через клоны вообще в списке не появятся
orignal
вот скажи дед с idk не мудаки а?
orignal
им блять полгода об этой проблеме говорили
orignal
weko даже пропозал написал
orignal
а они только что на хуй не слали
orignal
получили
Vort
ну то понятно, что могли бы шустрее реагировать
orignal
нет это ккакое хамство было
onon
У меня фф пиртест провалил, остался на второй год, занатовцем.
orignal
им говорили что проблема реальная
orignal
но дед не желал ничего не слышать в духе "это не важно пишите пропозал"
Vort
поясни пожалуйста, в списке транспортов соединение к моему узлу через клонированный RI вылазить будет или оно вообще не создастся из-за несоответствия ключей?
weko
Так всё расписал как детям
weko
Хоть прочитали бы
weko
Джависты блин
onon
Вы ещё не поняли, они считают i2pd детским поделием на коленке
orignal
у тебя в списке будет тот узел который с тобой соединяется
orignal
та же сторона будет видеть тебя как клонированный
Vort
я понимаю, но будет только когда правильные ключи или если и неправильные тоже?
orignal
onon они могут считать чем угодно но дыра то в самом протоколе
orignal
только если s твой
orignal
если s не твой зафйелится
Vort
зафейлится и в списке транспортов вообще не появится?
orignal
этого я не помню уже когда вставляется в список
Vort
ну это важно, не будем ли мы пытаться через глюченные транспорты туннели строить к примеру
orignal
будем
orignal
но тоннели зафейлятся по любому
orignal
потому что там ключ роутера используется
orignal
грубо говоря когда к тебе поключились принимая тебя за клон то и запись будет зашифрована для клона
Vort
можем ли мы это на своей стороне понять и грохнуть такую транспортную сессию?
Vort
не пойму вообще почему они висят
orignal
потому что они реалтные
orignal
транспорты
Vort
но шлётся же фигня с неверными ключами
orignal
вот чего я не сделал это проверку если соединение по NTCP2 зафелолось и роутер неподтвержденный не пытаться по SSU2
orignal
какими ключами?
orignal
по SSU2 же ключи все верные
Vort
а... понял. хреново
orignal
ну никто ж не думал что дед себя так поведет
Vort
то есть, транспорт реален, но пользоваться им проблематично
onon
Tunnel creation success rate: 2% Интересно, а 0 бывает?
orignal
я рассчитывал что это починят
orignal
бывает
orignal
не хотелось городить хаков
orignal
у меня возник интересный вопрос
orignal
а как вообще этот мусор в сеть попадает? публикацей на флудфиле?
onon
А какие ещё есть варианты так быстро налить в сеть RI?
orignal
ну вот я размышляю
orignal
получается что они и будут сидеть только на флудфилах
orignal
потому как
orignal
достаточно быстро флудфилы не будут считать их флудфилами
orignal
соотвественно не будут вкючать их в ответы на запросы
orignal
понятно что сколько то может пролазить через зондирование
orignal
а сами они не соединиются потому свой RI через линк не кидают
orignal
таким образом атаки подвержены только флудфилы
onon
Вывод - гасим флудфилы =)
orignal
гениальная идея ))
orignal
вывод что если мы сами флудфил то можем сделать код который вычищает говно ыбстрее
onon
Или сделать, чтобы проверялись все без исключения?
orignal
нельзя
onon
Будет амплификейшн
onon
наверное
orignal
потому что ты никак не сможешь продвердить
orignal
если ты неподтвержденный роутер исплючашь из нетдб как ты его проверишь?
onon
Сделать ещё одну бд с непроверенными =)
onon
И переливать потиху
orignal
а вот сделать на флудфиле очистку неподвтержденных через 15 минут например это более эффектвино
orignal
а переливать на каком основании?
onon
Проверять каждый
orignal
просто проверять?
orignal
это дрозд предлагает
onon
Хз, просто накидываю идей
orignal
я считаю что если проверять каждый то много лигних ликнов будет
orignal
а вот проверять подозрительные можно
onon
NTCP2 ( 2868 )
onon
На фф
orignal
а SSU2?
onon
SSU2 ( 2311 )
orignal
так это мало я бы сказал
orignal
в пределах нормы
onon
Обычно там SSU больше
orignal
вот прикинь в прошлом году я разбирался со всей это хуйней когда дед свалил
onon
А что в прошлом году то же самое было?
orignal
ну так у тебя NTCP2 больше
onon
И чем закончилось?
orignal
потому что счас приоритет отдается NTCP2
orignal
закончилось разработкой этого кода который и купирует атаку
onon
А сейчас почему не работает?
orignal
атака?
onon
Или работает, но недостаточно эффективно
orignal
счас работает просто отлично
orignal
ты просто не понмиаешь что было в прошлом году
onon
Мой ткср говорит об обратном
orignal
вся сеть просто ложилась
onon
Ну тогда ясно
orignal
и в нетдб было под сотни тысяч флудфилв
onon
Сейчас хоть что-то работает
orignal
у тебя только рейт низкий
orignal
больше ничего плохо
orignal
го
orignal
потому что мусорные флудфилы сразу фильтруются и дальше не распространяются
orignal
единственное что я не сделал это ситуацию с SSU2
orignal
рассчитаывая до них достучаться и починить протокол
orignal
не достучался
onon
SSU3 ?
orignal
SSU2 но с дполнительным блоком
orignal
weko все подробно им описал что надо сделать
orignal
так они сказали отъебитесь
onon
Ну так сделай для i2pd а для явы даунгрейд, или не получится?
orignal
тогда придется джавовские узлы при атаке банить
orignal
если этого блока не будет
onon
Навсегда?
onon
Или на время?
orignal
нет просто не устанавливать соединение по SSU2
onon
Если на время, то вроде не смертельно.
orignal
пока атака не закончится
onon
А в чем тогда подвох?
onon
Что будет нетсплит?
orignal
ну рассчитывал согласовать изменение протокола
orignal
больше просто не занимался вопросом
onon
Будут недоступны ресурсы из разных сетей
onon
В ирку деду не постучишься
orignal
почему?
orignal
а ну да
onon
Ну и у нас строитель туннелей же не знает, что за роутеры он выбирает с явой или сишные
onon
Будут проблемы со строительством тогда
orignal
ну это можно поправить при желании
onon
Ну и публиковаться только на "своих" флудфилах, и делать запросы только к ним...
onon
Как-то много проблем вылазит
weko
[23:45:56] <orignal> weko все подробно им описал что надо сделать
weko
Даже несколько вариантов
weko
Ну определить джава или ш2зв можно
weko
Просто кода нет для этого
orignal
да там кода 2 строчки буквально
onon1
Я пожоже, начинаю отваливаться
orignal
читаешь cost из адресов и сравниваешь со своими
weko
У меня шумит сервер
weko
Плохой знак
orignal
что значит шумит?
orignal
у тебя флудфил?
weko
Да
weko
Шумит значит вентилятор быстро крутится
orignal
ну так понятно что на них потоки говна счас льются
weko
Ага
weko
Надо сузить дырку
onon1
NTCP2 ( 3753 ) SSU2 ( 2385 )
orignal
ноормально
onon1
Вот больше трёх я ещё не видел
orignal
NTCP2 ( 4515
weko
Routers: 19849
weko
SSU2 ( 9579 )
weko
Дауж
orignal
NTCP2v6 ( 1014
orignal
SSU2 ( 6182 )
weko
NTCP2 ( 4716 )
orignal
SSU2v6 ( 547
weko
Какой то пиздей
weko
Пиздец
orignal
а не пох?
orignal
с SSU2 это чисто вина деда
weko
Не пох
weko
Коннектам плохо
weko
В ирке видно даже
orignal
это потому что в нетдб много мусора
orignal
вот с этим что то надо делать на флудфиле
onon1
Значит нужно определиться, как мы можем однозначно отличить правильные RI от неправильных.
orignal
кэп )))
onon1
Вариант собирать статистику по использованным узлам и работать только с ними, постепенно "подливая" понемногу непроверенных.
onon1
Так, количество новых роутеров не будет сильно влиять
onon1
Опять же получается вариант с двумя нетдб
weko
Как достал солевой уже
weko
Со своими атаками
onon1
Один "рабочий" а из второго понемногу зачерпываем и тестируем
weko_
orignal: кстати, я говорил о проблеме, что при рестарта стримы не завершаются нормально
weko_
Не удобно
weko_
В ирке
orignal
рестрате чего?
orignal
это не солевой
orignal
это с кем то в свое время тубик посрался
Vort
интересно, чем я думал, запуская узел с отладочной информацией на ночь ))
Vort
хорошая новость - он не крешнулся, при том, что был под нагрузкой от торрентов (хоть и слабой)
Vort
новость похуже - в 3 часа ночи он начал отжирать два ядра CPU
Vort
так до сих пор и жрёт
Vort
я думал, может, словил зависание. но нифига. почему-то на него налипло 5 мегабайт/сек входящего трафика
Vort
и у него треды просто нагружены трафиком
Vort
я тоже наблюдаю странный перекос по количеству транспортов: NTCP2 ( 5491 ) SSU2 ( 3858 ) NTCP2v6 ( 713 ) SSU2v6 ( 260 )
Vort
думал-думал, что с этим узлом делать, как он крешнулся из-за глюченого буста (в HashedStorage::Remove)
Vort
я это место даже патчил, но всё равно не помогло. то есть, крешнуло патченую версию
Vort
стал рассматривать netdb и обнаружил странность: почему-то некоторые клонированные RI живут на флудфиле по несколько часов. похоже на какой-то баг с очисткой
Vort
может, проблема связана с тем, что логи заваливаются "RouterInfo: Can't open file" ?
Vort
такие сообщения были и раньше, но во время атаки стали появляться намного чаще
tetrimer_
ddos-ят сеть запросами вида: 10:39:13@330/error - RouterInfo: Can't open file /var/db/i2pd/netDb/rP/routerInfo-PzB6Avq4bmpBaEonYsYXnk-PxIsLtF4vFhsPoA0p6zI=.dat
tetrimer_
Наверное надо подумать над кэшированием негативных результатов и блокировкой запрашивающего узла после десятка негативных запросов.
Vort
сеть, конечно, под атакой, но эти сообщения в логе - из-за давнего бага, просто под атакой баг стал проявляться чаще
tetrimer_
Routers: 22508 Floodfills: 5185 LeaseSets: 13 - ого
tetrimer_
Это две минуты аптайма
Vort
атакуют клонированными RouterInfo флудфилов
tetrimer_
У меня в остальных местах - как-то поменьше. Тясяча-полторы.
Vort
потому что работает защита
Vort
скорее всего, она сразу после запуска не активна
Vort
стоит подождать час
tetrimer_
Дествительно: восемь минут и стало поменьше.
tetrimer_
Routers: 20288 Floodfills: 1255 LeaseSets: 155 Client Tunnels: 18 Transit Tunnels: 2106
WebClient86
опять атака?
WebClient86
шо за хуйня?
WebClient86
лось просыпайся нас атакуют
WebClient86
лось просыпайся нас атакуют
WebClient86
меня хоть кто то слышит?
WebClient86
кукарекушку вам в дом
WebClient86
ви миня слышать?
WebClient86
Nikat хватит дурить
Vort
WebClient86: атака с ночи идёт
Vort
orignal: если "та" сторона стрима отвалилась, а "эта" сторона не шлёт никаких данных, то единственное, что будет происходить - отправка обновлённых лизсетов время от времени?
Vort
если ответ "да", то, похоже, в коде нет никаких лимитов на количество попыток отправить лизсет. подозреваю, что это может быть причиной эффекта, описанного выше
WebClient86
и что делать будем?
WebClient86
у меня работа стоит
WebClient86
чини
WebClient86
те
Vort
некоторые планы по исправлению можно почитать в логах чата за ночь major.i2p/ilita/dev/2024/04/22 (если удастся открыть сайт, конечно)
Vort
плохие флудфилы хоть и фильтруются, но почему-то лизсеты ищутся дольше, чем хотелось бы
WebClient86
не, не зайти, тоннели вообще не строятся
WebClient86
на этот раз они нас поимели
relaybot
13mittwerkz: бля ребят у меня какое-то говно с айтупи
relaybot
13mittwerkz: все как всегда но очень плохо либо вообще сайты не грузит пидор
Vort
атака сейчас
relaybot
13mittwerkz: лизсеты есть, роутеров куча
relaybot
13mittwerkz: атака? а кто посмел?
relaybot
13mittwerkz: а почему тор не атакуют?
Vort
пока что никто не признался
Vort
так что спросить не выйдет
relaybot
13mittwerkz: Успешно построенных туннелей: 1%
relaybot
13mittwerkz: Получено: 2,10 ГиБ (2708,81 КиБ/с)
relaybot
13mittwerkz: Отправлено: 1,71 ГиБ (2166,77 КиБ/с)
Vort
у меня примерно так же
relaybot
13mittwerkz: а как ее предотвратить?
Vort
есть разные методы
relaybot
13mittwerkz: я случайно не могу быть орудием атаки?
Vort
к примеру, для одного из исправлений надо договариваться с разработчиками i2p java
relaybot
13mittwerkz: я ща васе скажу он всех разебет)
Vort
сеть сама по себе усиливает эту атаку, так что многие узлы сети - орудие
Vort
советую ждать исправлений на github и обновлять узел когда исправления будут
Vort
но чётких планов пока нету
orignal
лизсеты то отправля.тся не на уровне стрима
orignal
Vort хочешь счказать срач сидит в нетдб на флудфиле больше часа?
Vort
"<~orignal> лизсеты то отправля.тся не на уровне стрима" как я понимаю, на уровне стрима этот процесс контроллируется
Vort
"<~orignal> Vort хочешь счказать срач сидит в нетдб на флудфиле больше часа?" - иногда, да. но явно не всегда. похоже на баг. ну как обычно
orignal
погоди а зачем вообще лисеты отпрволять из стрима?
orignal
если больше часа на флдфиле то баг
Vort
как раз потому, что стрим может сам по себе ничего не отправлять, а лизсеты всё равно надо обновлять
orignal
больше часа там сидит пир если с ним есть соедтинение
Vort
почему тогда он сам по себе не шлёт свежий RI ?
orignal
ну да что то там посылается
orignal
а вот это надо подумать почему
Vort
да я думаю нет там никакого соединения. попробую проверить
Vort
ну вот проверил я одного. нету в списке транспортов его
Vort
в базе даже позавчерашние RI есть
orignal
ну так смотри код почему
orignal
код очистки
orignal
на диске понятно что могут быть
orignal
потому что они там не чистятся часто
orignal
я про память
orignal
нет
orignal
диск чистится по отдельному алгоримтну
orignal
и не всегда то что на диске естьв апмяти
orignal
mittwerkz пусть теперь голова у деда болит
Vort
профили, кстати, таки разрастаются. 156 тыщ сейчас у меня. не самая важная проблема, но стоит иметь в виду
orignal
да это известная тема
orignal
они чистятся редко
orignal
я вот счас нехватку дескрипторов словил
orignal
у меня там 8K было
Vort
ntcp2 иногда прилично прыгают сейчас, так что логично
Vort
я логики правда так и не понял
Vort
иногда ntcp2 больше, иногда ssu2
orignal
я поднял до 16K
Vort
сколько транзитов, кстати?
Vort
у меня Transit Tunnels: 77470
Vort
это от рейта, скорее всего
orignal
около 60K
orignal
я думаю поменять код на построение тоннелей только через проверенные при атаке
onon
Я логи почитал, понял что за ночь вы ничего не придумали.
orignal
а никто и не думал
orignal
пусть теперь дед думает
orignal
хватит уже
orignal
у себя я понятное дело что починю
Vort
"только через проверенные" - в случае флудфилов то есть?
orignal
почему?
orignal
для обычных это же тоже действительно
orignal
что узел потвержден оно в профайл записывается
Vort
ок, понял
orignal
но делаем это толкьо если рейт низкий
Vort
а 1.5 тыщи порог для флудфилов поменяешь?
orignal
да до 1K
orignal
может это в конфиг вынести?
Vort
да это вообще хак
Vort
думаю что не надо
orignal
тоже думаю
orignal
кстати впрос так и остался
orignal
почему год назда было 1.5k флудфилов а счас 1K
Vort
ну частично - из-за банов при плохой связности
Vort
но это где-то -100-200 узлов
orignal
так бан всего 8 минут счас
Vort
а ещё куда-то узлов 300-500 потерялось
orignal
вот и спрашивает куда и чьи они были
Vort
может из-за прошлых атак повыключали флудфил режим
orignal
я думаю все проще
orignal
мы же добавили проверку на реальность IP и прочее
orignal
кстати сколько у тебя флудфилов на диске?
orignal
а нет счас смысла нет смотреть
Vort
3608
orignal
я просто думаю что число тех кто объявялет себя флудфилмами то же самое простоо мы их не чситаем флудфилами
orignal
вот от чего я охуеваю так это от бездействия деда
orignal
ладно в прошлом году его не было пришлось самим
orignal
а нынче то что?
Vort
я думаю, это только частично. можно проверку отключить - и глянуть, вернутся ли 1.2-1.4 тыщи. думаю, что нет. будет 0.9-1.0
orignal
возможно
onon
Чтобы быстрее проверять все узлы на валидность, не обязательно прямой линк. Когда мы строим туннели, можно помечать при получении ответа всех участников как реальных, если таймаут - то под вопросом.
onon
Ну так что насчет идеи закуклиться, и не принимать новые RI без проверки
onon
Какие про-контра
Vort
orignal: я нашёл GetProfile ()->Connected () только в 2 местах
orignal
я тебе уже говорил это идея дрозда
Vort
"<~orignal> это событие будет настолько редкое что мало что меняет" SSU2-only так можно проверить, разве нет?
orignal
peer.router->GetProfile ()->IsReal ()
orignal
вот это надо проверять
Vort
а, вижу
orignal
bool IsReal () const { return m_HasConnected || m_NumTunnelsAgreed > 0 || m_NumTunnelsDeclined > 0; }
orignal
все логично
orignal
если че то ответил на тоннель значит реальный
onon
А есть у нас механизм, который предотвращает "вымывание" проверенных RI непроверенными из netDb?
orignal
хороший вопрос
orignal
надо будет поработать в этом направлении
orignal
но смотри в чем дело
orignal
даже если ты выкинул из нетдбв профиле то останется
orignal
и сразу как появится заново станет проверенным
orignal
а поскольку на флудфил постоянно идут публикации то проверенные будут тоже приходить
onon
Но флудфил же рандом отдаёт, а если у него больше "плохих" чем "хороших" он с большей вероятностью будет отдавать "плохие"
orignal
это только при зондировании
orignal
а как правило флудфил отдает другие флудфилы
orignal
а туда мусор почти не пролазит
orignal
точнее прорблема что очистка начинаетс с 1.5K а не с 1K как бы надо
orignal
но сеть мусорными флудфидами не забивается
onon
А если сделать с 500, что будет?
orignal
счас проблему я вижу только в низком рейте
orignal
будет то что новые флудфилы будут долго появляться в сети
orignal
нормальнные
orignal
рейт поднять это можно быстро
orignal
как я уже сказал
orignal
ты даже можешь сам в код добавить
orignal
при выборе пир проверку IsReal
Vort
так не только пир, но и последующие хопы же
onon
Ну так сделай, чтобы в 50% случаев выбирал обязательно real, а в 50% не real, для проверки
onon
Чтобы хотя бы половина туннелей строилась
orignal
Vort я про них и говорю
Vort
да и меньше не-real можно
orignal
с первым как раз проблем нет
onon
Ну или другое соотношение
orignal
потому что он выбирается из поключенных
orignal
ну сделаю
orignal
просто занят малось
Vort
только я думаю real и не-real мешать не стоит
Vort
или все хопы real или все не-real. в зависимости от рандома
orignal
я хочу от рейта
orignal
если рейт низкий то только реальные
orignal
если выскоий то всякие
Vort
тогда рейт выше этого лимита не поднимется
orignal
естественно
orignal
но нам выше и не надо
orignal
нам главное чтобы сервисы работали
orignal
а не само значение рейта
Vort
как временное решение - сойдёт. но вообще-то такая атака относительно дешёвая и может длиться долго
Vort
а постоянно сидеть на низком рейте - вариант не очень
Vort
"<~orignal> с первым как раз проблем нет / потому что он выбирается из поключенных" - если по SSU2, то это может быть подключение с поддельным RI. хотя я не уверен, на всякий случай говорю
orignal
да может если исходяшее
orignal
по уму это надо проврять
orignal
если дед все таки не сподобится сделать тот пропозал
orignal
ну а кого ебет низский рейт по большому счету?
Vort
а входящее почему не может быть?
Vort
надёжность страдает
orignal
если узел сделал входяшее соединение к тебе значит он реальный
Vort
так он мог подключаться как к клону
Vort
или всё равно через него можно построить туннель?
Vort
хм. узел то может быть реальным, а вот транспортное соединение... не знаю
Vort
короч я пока не понял, насколько пригодны коннекты к нам, как к клонам
Vort
можно ли ими пользоваться
orignal
можно
orignal
сам то же он реальный
orignal
а чего им не быть пригодным?
Vort
ну он же подключался к нам, думая, что у нас другой ключ роутера
Vort
то есть, он пользоваться этим транспортом не сможет, а мы в обратном направлении сможем, так что ли?
orignal
он тоже может если тоннели не строить
orignal
нельзя тоннели построить
orignal
нельзя обуликваться
orignal
а в другую сторону все можно
Vort
окей
orignal
а например запрос адреса он сделать может
orignal
Transit Tunnels: 95361
orignal
ха ха
relaybot
13mittwerkz: ппц менты ваще охренели
relaybot
13mittwerkz: уже пожилых людей мучаю
relaybot
13mittwerkz: т
orignal
ты каналы попутал
relaybot
13mittwerkz: Клиентские туннели: 36 Транзитные туннели: 26070
relaybot
13mittwerkz: мда у тя больше
relaybot
13mittwerkz: ток кстати на днях тут спрашивал как мол мона предотвратить ддос атаку на ш2з
orignal
так у мненя уперлось в лимит 100k
orignal
увеличил
relaybot
13mittwerkz: а мне такие хаха как тут кого-то задидосить то)
orignal
а дед как воды в рот набрал
relaybot
13mittwerkz: вот пару дней назад буквально
relaybot
13mittwerkz: а кстати если атака уже 3 дня то почему я только вчера вечером ее ощутил?
orignal
Transit Tunnels: 103790
orignal
так это не ддос
orignal
это просто кто то засирает сеть
relaybot
13mittwerkz: > orignal: а дед как воды в рот набрал
relaybot
13mittwerkz: я ж говорю прекроти мучать) а ты говоришь каналом ошипся
orignal
флудфилами и тоннелями
relaybot
13mittwerkz: > orignal: это просто кто то засирает сеть
relaybot
13mittwerkz: а как он это делает?
orignal
рост числа тразитов это уже новый вариант атаки
relaybot
13mittwerkz: Получено: 17,60 ГиБ (2476,75 КиБ/с)
relaybot
13mittwerkz: Отправлено: 13,90 ГиБ (2094,59 КиБ/с)
relaybot
13mittwerkz: меня больше это смущает — почему такая скорость большая?
relaybot
13mittwerkz: от которой кпд 0%
relaybot
13mittwerkz: хотя не, роутер пишет 1% если быть точным)
relaybot
13mittwerkz: кто вообще посмел напасть на никому не нужную сеть
orignal
так это уже полтора года как продолжается
relaybot
13mittwerkz: с 2.5 анона которые друг друга в лицо знают)
orignal
это вообще загадка
relaybot
13mittwerkz: > orignal: так это уже полтора года как продолжается
relaybot
13mittwerkz: это кибератака
orignal
кому понадобилось атаковать i2p
Vort
просадка рейта раз в 5 приводит к увеличению транзитов в 5 раз. было 20к транзитов, теперь 100к - всё сходится
orignal
опять же повторюсь
orignal
мне почему то кажется что дед знает
orignal
Vort почему только сейчас а не вчера?
relaybot
13mittwerkz: а кто-то знает почему я тут могу сидеть а в остальном айтупи не могу?)
relaybot
13mittwerkz: как это работает?
orignal
потому что у меня и R4SAS -а мощные узлы
orignal
способные справиться с атакой
orignal
остальные реусрсы просто не столь мощные
Vort
"<~orignal> Vort почему только сейчас а не вчера?" хз, может большая часть транзитов "шла" через клоны. а теперь уже и наши узлы транзиты цепляют
relaybot
13mittwerkz: у рсаса не такой уж и мощный) его репа айтпишная упала сперва, потом пир для иггдрасиля атйпишный
relaybot
13mittwerkz: кстати мы ж все мирные жители айтупи
Vort
кстати сейчас у меня Transit Tunnels: 30929
relaybot
13mittwerkz: это теракт!
Vort
да может и специально транзиты атакующий гонит, точно сказать сложно
onon
Нотбоб пишет This is pretty bad, and as usual, i2pd is being hit a lot harder than Java I2P or I2P+
relaybot
13mittwerkz: это удар в спину ориньялю от западных партнеров
relaybot
13mittwerkz: хотя он сам достаточно западный)
orignal
у R4SAS -а несклько узлов
orignal
да он все время так пишет
orignal
Vort я думаю пытается разные атаки
onon
Ну он статистику видит, наверное не из головы берёт.
orignal
нее
orignal
это у него самого
relaybot
13mittwerkz: > onon: Ну он статистику видит, наверное не из головы берёт.
relaybot
13mittwerkz: это пропаганда
orignal
тут понимаешь разница в том что джава банит все подряд а мы нет
relaybot
13mittwerkz: он пытается очерднить наш крестовый роутер
relaybot
13mittwerkz: православный
orignal
естественно в результате всю сеть вытаскиваем мы
orignal
меня более интересует молчание деда
orignal
вопрос то серьезный
relaybot
13mittwerkz: на нас вся ш2зпланета держится
onon
> Крестовый >Православный - Это 5+
relaybot
13mittwerkz: трикитовый лосось
relaybot
13mittwerkz: зловещее молчание деда
relaybot
13mittwerkz: может это он внес в сеть сумятицу?
orignal
я думаю там какие то разборки детали которых нам неизвестны
Vort
"<~orignal> меня более интересует молчание деда" может, боится поломать (доломать) сеть? или у него достаточно знаний, чтобы поменять протокол сразу без ошибок?
relaybot
13mittwerkz: с рептилоидами перетирает на совещании, некогда василию ответить)
orignal
молчание его что он никаких идей не предлагает
orignal
не только с SSU2
Vort
психологическая травма от прошлой атаки? я частично шучу, конечно, но мало ли
orignal
от той после которой он сбежал?
relaybot
13mittwerkz: создал охуенную сеть, а оказалось что она не охуенная)
Vort
ага
relaybot
13mittwerkz: инфаркт
orignal
возможно
orignal
вот я знаю что нужно делать просто счас занят
orignal
а дед не похоже
relaybot
13mittwerkz: > orignal: от той после которой он сбежал?
relaybot
13mittwerkz: а куда он сбежал?)
onon
Так это жрандом создал, или я чего-то не знаю
onon
Или они вместе делали?
orignal
его полгода не было
orignal
просто ушел
relaybot
13mittwerkz: к реке
relaybot
13mittwerkz: так что делать, Василий?
relaybot
13mittwerkz: baesilisques
orignal
я выше написал что
relaybot
13mittwerkz: а че нельзя сделать отдельную от жабьего роутера сеть?
relaybot
13mittwerkz: и никаких проблем тогда
orignal
надо код поправить
orignal
чтобы строить тоннели только через подтвержденные узлы
orignal
проблем меньше не станет
relaybot
13mittwerkz: а почему тор так не штормят?
relaybot
13mittwerkz: у него продуманная защита там?
tetrimer_
Надо динамику отслеживать: если что-то где-то очень быстро растет - надо его тормозить. Тогда и ддос будет медленным и дорогим.
orignal
тор тоже штормит
orignal
довольно часто
relaybot
13mittwerkz: > tetrimer_: Надо динамику отслеживать: если что-то где-то очень быстро растет - надо его тормозить. Тогда и ддос будет медленным и дорогим.
relaybot
13mittwerkz: плюсую
relaybot
13mittwerkz: ш2зую
tetrimer_
"вторая производная измеряет, как изменяется скорость изменения самой величины"
relaybot
13mittwerkz: без "как изменяется" смысл не потеряется)
relaybot
13mittwerkz: ошибки говнокодеров перетекли из яп в естественный языки)
Vort
Tor более централизованный
tetrimer_
mittwerkz: Нифига, величина d2 - показывает: с какой скоростью меняется параметр d1 (и в какую сторону, в зависимости от знака)
Vort
tetrimer_: не нужно никаких исправлений наугад
Vort
вначале анализ, потом действия
tetrimer_
Это не исправление наугад, это теоретический подход.
tetrimer_
Но для этого надо будет держать два комплекта переменных: текущее значение и предыдущее значение. Тоже такая себе головоломка.
tetrimer_
Ну и потом я не очень понимаю - как на лету ограничить новые SSU2 коннекты, например.
orignal
слать в ответ отлуп
tetrimer_
Дорого
tetrimer_
Если заливают ддосом - то отлупы слать - себе дороже.
tetrimer_
Тем более, если ддосят с подменой адреса.
orignal
почему?
orignal
там один UDP пакет в ответ
orignal
не на ддос это другое
orignal
мы гвоорим о валидных запросах SessionRequest
tetrimer_
Потому, что это вызывает генерацию ответного трафика.
onon
Так известно, что запрос на соединение должен быть тяжелее ответа.
tetrimer_
А если на первый запрос какое-то время не отвечать - то второй придет не скоро. :)
Vort
1. резкие изменения могут быть естественными и нормальными. 2. даже если изменение нежелательное, то не всегда понятно, можно ли им как-то управлять и как именно
Vort
допустим, вырос пинг. и что дальше?
Vort
или резко TCSR просел
Vort
или туннели начали масштабно фейлиться
tetrimer_
Vort: А вот не должно быть слишком резких изменений.
tetrimer_
Если просел и это от нас не зависит - это одно, а если вдруг резко растет - то надо этот рост чутка растянуть во времени.
Vort
ну вот начал юзер качать файл. только что не качал, а тут начал. резкое изменение. с чего бы это кому-то считать его нежелательным?
tetrimer_
Узел от этого не много потеряет, а вот атакующему - таки тормоза будут мешать.
tetrimer_
Vort: >начал юзер качать файл - так на то и программист - чтобы посчитать: что есть нормальная работа узла в сети, а что - нет.
Vort
юзеру будет неудобно, если файл ему не дадут скачать сразу, как ему это понадобится. а вот атакующий может и медленно, в течении суток наращивать атаку
tetrimer_
То есть, у Вас будет дискомфорт от того, что рост скорости скачивания будет происходить не одну секунду, а целых десять? :)
tetrimer_
Думаю, что пользователь этого даже не заметит.
Vort
во-первых, да, будет. сейчас сеть и так тупит, но это отдельный разговор. затормозить же атаку на 10 секунд - это ничто
tetrimer_
Не атаку, а нарастание скорости атаки.
Vort
за часы или сутки атака нарастёт хоть как её скорость или скорость скорости ни ограничивай
tetrimer_
По графикам всплески того же SSU2 в "мирное время" - занимает минут десять.
tetrimer_
Растянуть это действо во времени - заработают механизмы таймаутов и чистки коннектов.
relaybot
13mittwerkz: о у меня кажется айтупи работает
orignal
пока не особо
orignal
атака продолжается
relaybot
13mittwerkz: не, у меня уже отлично вроде все
relaybot
13mittwerkz: а не, не все)
relaybot
13mittwerkz: меня еще лично удивляется что семафарот не фурычит
relaybot
13mittwerkz: semaphore.ygg.at
relaybot
13mittwerkz: у всех не работает?
relaybot
13mittwerkz: или ток у меня?
orignal
а причем тут ygg?
orignal
всю сеть атакауют
orignal
тоннель и падает
orignal
потому что промежуточные узлы захлебываются
WayBest
Я думал прошли времена уже)
orignal
ну так работает же
orignal
в отличие от тех времен когда все сдыхало
orignal
счас хоть с лагами но работает
WayBest
у меня сдыхает переодически)
WayBest
вон вообще на пол месяца вылетал
WayBest
думал с конфигурацией виртуализации беды
WayBest
а оказывается все таки с сетью
orignal
полмесяца это другая проблема
orignal
там переделали
WayBest_
а чем череваты атаки на сеть кроме ddos?
orignal
конктретна эта?
orignal
ну они пытаются все сервисы в сети положить
`
#ш2звЖыви
orignal
пока псодений коммп не берите
orignal
счнала сам проверю
Vort
да нормально выглядит, попробую. откатиться всегда можно
orignal
ну я счас на флудфиле пробую
Vort
не поверишь, но я беспокоюсь, чтобы атака не кончилась раньше, чем протестируем код )
Vort
так что надо тестить
orignal
лол
orignal
может 10% слишком мало но надо начать с этого
Vort
нормально
WayBest
на флудфиле поднял количество туннелей больше 30к пока спасает
WayBest
по нагрузке ок
Vort
WayBest: это с коммитом 6ce2c30 ?
Vort
если с ним косяка нету, то вот это реально должно помогать
Vort
короч я в рестарт. сейчас рейт 4%
WayBest
2.51
WayBest
у меня 1%
WayBest
пока еще есть коннект)
`
#ш2звжыви
orignal
может и 0% быть
onon
Я думал ты лучше сделаешь
onon
Вроде, сразу считать процент
orignal
а чем тебе не нравится?
onon
Если ткср сейчас низкий, строим туннели только через Real с вероятностью 100%-ткср
onon
Ну то есть если ткср высокий, будет реже строить только из real
onon
А если ниже - чаще
onon
Если ткср будет около 1% - тогда с 99% вероятностью будет выбирать real
onon
Ну как обратная связь
onon
А ты константу сделал
onon
Давай сразу делай красиво
Vort
хотя, понемногу начали набираться
orignal
так через 10 минут только начинает работать
Vort
ну по факту изменения я заметил позже - где-то на 13 минуте
Vort
чётко на 10 минуте эффекта не было
orignal
потому что тоннели же строятся не постоянно а с интревалами
`
я календарь переверну, и снова интервал..
`
Что за акакерство в этот раз? пока связь есть
Vort
короч я посоветую народу тестировать
orignal
у меня четкий эффект как достигает 10% сразу наичнает падать
Vort
как минимум, хуже у меня не стало
orignal
и кстати оно только на клиентские влияет
orignal
на зондрующие нет
orignal
не уверен что для них надо
Vort
`: что именно интересует?
`
Vort, что в этот раз какеры напридумывали. Вижу что флудфлилы шапками пытаются пробить органичитель, пытаются и пытаются
Vort
то же, что и год назад, ну или когда там прошлая атака была
Vort
заваливают netdb поддельными RouterInfo
`
Что характерно, что у меня на 4к транзитах и сейчас на 26к транзитах одно и то же количество известных роутерофф +- 22к
orignal
а флудфилов сколько? 1500?
`
Ну да, постоянно прыгает за 1500
`
Сюда попал, получается, убрафф лимиты на транзиты, по сути.
`
А так туннели наглухо висели
onon
if (TCSR < rand() % 100) checkIsReal = true;
orignal
c 1500 включается фильтрация
onon
Как-то так нужно
onon
i2p::tunnel::tunnels.GetTotalTunnelCreationSuccessRate()
onon
Это оно?
orignal
не помню
orignal
там их нсколько
onon
Это я с веб-морды взял
Vort
не оттуда, откуда надо взял
Vort
ну в последнем коммите же есть нужный вызов
onon
i2p::tunnel::tunnels.GetPreciseTunnelCreationSuccessRate ()
onon
зис?
Vort
ага
onon
Типа этот точнее
onon
А тот скругленный
Vort
тот - это отдельная история
Vort
там если внимательно глянешь - их два вообще
Vort
один из них включается недокументированной опцией
orignal
может до 15% поднять?
Vort
пока что не надо. стоит потестировать лучше то, что есть сейчас
Vort
народ вон жалуется на рейт 1%. если у них поднимется до 10%, то будет норм
orignal
у меня везде тоннели отстроились в полном объеме
Vort
может, мне надо дождаться очистки на отметке в 1 час?
orignal
можно да
Vort
ещё у меня традиционно крешнуло при рестарте, так что часть профилей, наверно, потерялась
Vort
Uptime: 1 hour, 11 minutes / Tunnel creation success rate: 8%
orignal
ну неплохо
orignal
8% это не 1%
Vort
у меня было 3-4%
orignal
ну вот 8% почти норма
orignal
у меня иогда тоже до 9% проседает
Vort
иногда 3хоповые набираются более-менее
Vort
а потом идёт волна фейлов
Vort
и вообще 0 туннелей получается
Vort
всё таки узлы и сами по себе сейчас глючат
orignal
ну фейлы это понятно что узлы перегружены и дропают
Vort
непонятно, почему перегрузка бывает волнами. но эта загадка была и до атаки
relaybot
13mittwerkz: ш2з делают с 00 годов
relaybot
13mittwerkz: это как-то не правильно просто брать и ломаться в 2024
tetrimer_
На 13-м билде по крайней мере туннели быстро строятся.
orignal
что за 13 ый билд?
Vort
так в этом и смысл был
Vort
2.51.0-13-g6ce2c305
relaybot
13mittwerkz: а как вы вообще этот роутер разрабатываете?
orignal
ну смотри
onon
bool checkIsReal = i2p::tunnel::tunnels.GetPreciseTunnelCreationSuccessRate () < rand() % 100
orignal
преодолели порог в 10% начали строить через что попало
onon
Вот так работает красиво
orignal
в итоге нашли еще годные
onon
Стремится к 50%
onon
Можно сделать bool checkIsReal = i2p::tunnel::tunnels.GetPreciseTunnelCreationSuccessRate () < rand() % 20
orignal
да это можно
onon
Тогжа будет стремиться к 10?
onon
%
orignal
только rand()%10 + 10
orignal
так лучше
orignal
тогда от 10 до 20 будет колебаться
WayBest
:D
orignal
WayBest ты пересобрал у себя?
WayBest
а может добавить проверку туннеля на соответсвие полному протоколу7
WayBest
я сомневаюсь что они ддосят используя весь код ш2з
WayBest
пока не пересобирал
WayBest
просто лимиты повысил
WayBest
вроде тянет
WayBest
Роутеры: 22202 Флудфилы: 1505 Лизсеты: 279
WayBest
Клиентские туннели: 9 Транзитные туннели: 24832
WayBest
Адский разгон)))0
orignal
клинтские тоннли 9 это сильно ))
orignal
да что они делают известно
WayBest
:D
orignal
причем давно
orignal
это просто дед козел ну честное слово
onon
Раз уж ты флудфил, собери лучше последний, там до 100 лимит фф понижен
onon
Будешь меньше помогать атакующему
WayBest
ща попробую
WayBest
оке
onon
до 1000*
WayBest
с гита?
orignal
было полно времени решить эту проблему
orignal
тогда бы говно вообще не пролазило
WayBest
а мы можем их сеть изолировать7
WayBest
ну или как то сломать частично совместимость
orignal
так надо тогда и у нас переделывать это
WayBest
+
orignal
я то хотел согласовать изменения в протоколе с ними
WayBest
мб сами подтянутся за тобой
orignal
а он просто взял и забил
WayBest
мне кажется надо делать
WayBest
а потом тыкать в код
orignal
ему даже пропозал написали
orignal
165
WayBest
чтобы варианта отказаться не было
orignal
понимаешь есть пропозал
orignal
где предлагается что конктетно надо сделать
WayBest
ну а что мешает его тогда внедрить?
WayBest
именно у нас
WayBest
на деда забей
WayBest
дед на то и дед
WayBest
что менять не охота
orignal
тогда с нами джава узлы не смогут соединиться по SSU2
WayBest
ну и похуй не?)
WayBest
если атаку снизит
orignal
ну не хотелось бы
WayBest
а можно это опцией сделать?
orignal
возможно да
orignal
я к чему
WayBest
или например только на прием такое
orignal
если бы это было сделано своевременно
orignal
атаку бы никто даже не заметид
WayBest
ну лучше поздно чем никогда
orignal
так надо будет и все i2pd узлы обновлять
onon
Ну так будем с явой только через NTCP коннектится, или нет?
WayBest
ну обновят
WayBest
э
orignal
onon по SSU2 тоже но только в одну сторону
WayBest
то меньшая проблема
onon
И со старыми, пока не обновятся
WayBest
по мне так тема
WayBest
и сильно не сломается
WayBest
надо же как то стабильность поднять
orignal
ну так атакуюший будет выдавать себя за старые
WayBest
зато будет преимущество над жабороутером
orignal
суть то в чем
WayBest
ну и пусть
WayBest
будет отлетать
orignal
реально накосячил в протоколе и не хочет признавать
WayBest
на прием то бан
orignal
причем я ему сразу говорил как мы вообще верифицируем этот s
orignal
он заявил дескать он в подписанном RI есть и типа не ссы
orignal
ну вот получил
WayBest
это новые смогут к старым обращаться
orignal
смотря как сделать
orignal
по хорошему боб должен проверять этот блок при получении SessionRequest
WayBest
а мы этот патч добавить не можем?
WayBest
это же по сути поломает только атакующих
orignal
это поломает всех кто без него
orignal
да в общем то полсденего коммита достаточно чтобы все нормально работало
onon
Нет, нужно ещё сделать, чтобы "проверенные" не вытеснялись непроверенными из нетдб
orignal
надо время истечения для непрвреенных сделать меньше и все
onon
Типа, когда очистка, с большей вероятностью дропать непроверенные