~AreEnn
~R4SAS
~orignal
~villain
&N00B
+Xeha
+relaybot
DUHOVKIN
Guest18377
HackerMan
KabaOS
Most2
Nausicaa
Ruskoye_911
Trusishka
Vort
`
acetone_
anon3
b3t4f4c3
flumental
mittwerk
nemiga
not_bob_afk
plap
poriori_
profetikla
segfault
soos
teeth
un
weko_
whothefuckami
onon
Так я что-то не вижу новых коммитов...
orignal
мне пока некогда
orignal
снчала убедимся что этот работает
onon
Работает, было 1-2% теперь 6-7%, уже три часа так
orignal
ну это у тебя
orignal
надо посмотреть разные конфигурации
onon
Ну у меня там много 4хоп туннелей, возможно это влияет.
orignal
я хочу на других типах роутерах посмотреть
onon
Ну, значит, будем ждать...
orignal
ну да
orignal
счас попробую на чистом ygg который
onon
Давай хотя бы коммит, который бы задерживал "правильные" роутеры у нас с недб. А то мне кажется, у меня потихоньку вымываются.
onon
в нетдб*
onon
Ещё интересует возможность такой ситуации: мы получили фейковый роутер, пытаемся строить через него туннель, а у роутера, который с ним должен соединяться, адрес оказывается правильным, и он успешно строит туннель.
onon
А мы помечаем фейковый роутер как настоящий.
onon
Может стоит ввести несколько уровней валидности: точно настоящий, вероятно настоящий, подозрительный, точно фейковый.
onon
Это пока на уровне размышлений
onon
Ну или просто каждому прилепить шкалу от 0 до 100
onon
И в зависимости от некоторых событий её менять
onon
А потом выбирать например для строительства туннелей роутеры с репутацией не ниже 50
orignal
рестарт илиты через 10 минут
onon
Значит можно помечать как настоящий
orignal
тут все чисто
orignal
я уже думал об этом
onon
Ещё вопрос что думаешь насчет идеи сбрасывать таймстемп роутеру при удачном коннекте?
orignal
что если атакующие кроме ключей в адерсах скопирует и публичный ключ шифрования
onon
Таймстемп, который при чистке используется
orignal
ответ может
orignal
все было бы так если бы в каждой записи не был хэш роутера которому она предназначена
orignal
а вот хэш скопипровать он не может
orignal
потому что тогда придется копировать ключ подписи который подписывается RI
orignal
что невозможно
orignal
при удачном коннекте RI и так обновится
onon
Странно...
orignal
почему?
onon
Странно, что ткср падает
onon
С 6-7% сполз до 4-5%
onon
Хотя количество роутеров не изменилось
orignal
потому что зондирование
onon
Т.е. я предполагаю, что кол-во хороших уменьшилось
orignal
для него я не сделал
onon
Ну там же 2хоп зондирование, вроде должны быстрее строиться.
orignal
ну посмотришь
orignal
я же говорю этот алгоритм надо еще тестировать
orignal
я илиту рестартовал потому что она в лимит дексрпторов уперлась
onon
Ну да, у меня на флудфиле транспорты подскакивали до 6000NTCP
onon
и SSU 2 с чем-то
orignal
потому и будем смотреть
orignal
возможно еще что то придется менять
orignal
у меня счас 12% рейт на илите
onon
Есть нюанс на таком варианте с 10%, если ткср даже при строительстве только через "правильные" роутеры не будет подниматься выше 10% по разным причинам, то такой роутер "закуклится"
orignal
почему?
onon
И будет строить туннели только через них
orignal
нет
orignal
к нему же приходят другие соединения
orignal
кроме того зондирующие тоннели всегда через какие попало строятся
onon
Те, которые к нему построили входящее соединение помечаются хорошими?
onon
Или что имеется в виду?
onon
Запросы к флудфилам?
orignal
через тебя тоже пытаются тоннели строить
orignal
в том числе и через нормальные роутеры
orignal
да. если от кого то пришло входящее такой роутер помечается хорошим
orignal
потому что мы сравниваем публикуемый IP с фактическим
onon
Чего-то у меня куча транспортов, а ткср низкий...
orignal
так я про что и говорю что надо разбираться
orignal
может еще что то надо поменять
onon
Тогда сделай, чтобы флудфил отдавал "проверенные" роутеры с большей вероятностью.
orignal
если будет дальше нестплит пну R4SAS -а чтобы тоже пересобрался
orignal
роутеры или флудфилы?
onon
И то ито
orignal
так флудфилы всегда только проверенные
orignal
роутеры возможно
orignal
надо подумать
onon
Вроде, нате вам десять проверенных, и ещё пару левых в нагрузку, проверяйте сами.
orignal
когда лимит в 1K то почти все будут только проверенные
orignal
собственно за счет этого сеть и держится
onon
Ну сейчас в сети 1.5
onon
Никто ещё не обновлялся
orignal
ну они все равно быстро отфильтровываются
onon
Ну сейчас не скажу, везде уже пересобрал с 1000, но когда было 1,5 то было и больше 2к фф
Vort
Uptime: 11 hours / Tunnel creation success rate: 5%
Vort
не всё так просто, как хотелось бы
Vort
мне эта ситуация напоминает проблему с "обычной" просадкой рейта, только с усилением от атаки
Vort
а так как мы не знаем точно, из-за чего обычно рейт проседает, то и сейчас ситуация непонятна
Vort
я понимаю, теоретически, причина в дропах. но доказательств этому нету
Vort
может, в сети ещё много узлов, подверженных подвисанию SSU2 ?
Vort
orignal: атакующий начал менять i= и s= у клонов
Vort
по-моему, прошлый атакующий тоже к такому решению приходил
Vort
теоретически, такая атака ведь должна быть менее вредной?
Vort
но по факту, похоже, получается, наоборот. мы что-то не учитываем?
колдобина
Vort, с последним фиксом в netdb* значительно лучше коннект живет
Vort
рейт должен быть чуть повыше, да
WebClient35
все равно тоннели плохо стоятся очень
Vort
с версией 2.51.0-13-g6ce2c305 ? рейт хоть выше стал?
WebClient35
Tunnel creation success rate: 2%
WebClient35
но я за натом
Vort
версия 6ce2c305 ?
WebClient35
ну транк вчера собрал
WebClient35
да она
Vort
NAT не должен влиять
WebClient35
Tunnel creation success rate: 3%
WebClient35
это на втором роутере
Vort
на всякий случай спрошу - CPU не перегружается?
tetrimer_
У меня на половине роутеров TCSR свалился обратно на 2-3%
tetrimer_
Пробовал в NetDB.hpp поднять рейт с 10 до 20 процентов - легче не стало.
tetrimer_
Загрузка CPU в среднем 30-40%, местами подскакивает до 80.
tetrimer_
В логах вовсю льется "11:57:14@356/error - RouterInfo: Can't open file /var/db/i2pd/netDb/rT"
WebClient85
Vort вообще рассматирвлись варианты написать i2pd заново, без оглядки на совместимость но с учетом всех атак?
Vort
слишком большой объём работы, никто не возьмётся
Vort
ну и атаки часто не столько на i2pd, сколько на i2p в целом
Vort
то есть, атаки могут быть на сами протоколы
WebClient85
ну тоннели у меня не строятся именно на i2pd
Vort
в java лучше ? на 3 хопах ?
WebClient85
объем может и большой, но зато можно всё перелопатить и написать с учетом текущих реалий
WebClient85
а какой смысл латать это легаси которое было придумано более 10 лет назад
WebClient85
атаки атаки и еще раз атаки
WebClient85
причем вы даже нормально отдебажить это не можете
Vort
так атака сейчас на протокол или на реализацию?
колдобина
WebClient85, не пиздаболь а бери и кодь, простой ты парень а мы ещё проще
колдобина
и2п закодить, проще сказать чем сделать
колдобина
вон на эликсире или эрланге ебани чтоб крешей не было
tetrimer_
Один из роутеров без особых причин через час после запуска выбрасывает флаг "Router Caps: OfRE" и транзитные туннели заканчиваются.
tetrimer_
Received: 1.08 GiB (314.38 KiB/s) Sent: 1.67 GiB (574.35 KiB/s) Transit: 41.52 MiB (0.00 KiB/s)
tetrimer_
Нагрузка на CPU = 48%
Vort
"<tetrimer_> Один из роутеров без особых причин" - он упирается в O флаг
tetrimer_
Ща, сделаем P-флаг...
tetrimer_
30 минут, Router Caps: PfRE, но туннели держатся на уровне 9000 и транзитный трафик - идет.
orignal
замена i и s это похуй
orignal
такая атака не опасна
orignal
я у себя нигде проблем не наблюдаю
orignal
думаю что сейчас уже рейт падает из-за дурости джавистов
orignal
что они бнаят все подряд
колдыр
orignal: reg похоже лежит
orignal
пну R4SAS-а
Vort
orignal: для входящих туннелей же нельзя не-Real выбирать первым хопом?
orignal
в смысле?
Vort
ну я про выбор из Peers
orignal
я не понимаю вопроса
Vort
ты же что-то говорил, что иногда можно брать глюченый SSU2, а иногда - нет
orignal
это для воходящих соединений
Vort
я имею в виду, что в GetRandomPeer нету проверки IsReal ()
orignal
для поключанных хопов?
orignal
SSU2 ( 8919 )
orignal
вот в чем дело
orignal
многио их
Vort
наверно я глупости говорю, буду дальше разбираться
orignal
да нет вопрос правильный
orignal
что будет если мы к фейку поключились
orignal
по SSU2
orignal
ты очень правильно спросил
orignal
так что проверку пира стоит добавить
orignal
или вариант что если непроверенный зафйлился по NTCP2 не пытаться по SSU2
orignal
во. идея
orignal
помнится дед говорил что если послать роутера lookup себя то он должен ответить моим RI
orignal
только не помню сделано ли
tetrimer_
Это для проверки валидности роутера?
orignal
я считаю что если не подвержденный роутер и зафейлился по NTCP2 то отключать
orignal
по SSU2 не пытаться
orignal
раз дед ничего не желает с этим делать
Vort
так смотря как зафейлился же
Vort
просто таймаут - это обычное дело
orignal
а ниебет
orignal
нет соединение с непподтвержденным роутером по NTCP2 идет на хуй
Vort
а с SSU2-only что делать?
Vort
+хренова туча U узлов
orignal
соединяться
orignal
че больше то
orignal
ну с U узлом что клонировать то?
orignal
интдродьюсеры?
Vort
я просто пытаюсь лучше понять смысл идеи. то есть, если NTCP2 нету - то нормально. а если есть, но не подключается - тогда прекращать попытки?
orignal
если попробовали все NTCP2
orignal
и не поключились то SSU2 не пытаться если роутер не подтвержденный
orignal
если только SSU2 то подключаться
Vort
ну то есть, U узлы - это будет вариант "только SSU2" в основном?
Vort
там же NTCP2 как бы есть, но пустой, вроде
orignal
там NTCP2 через который заведомо поключиться нельзя
orignal
мы его даже не считаем
Vort
ок, понятно
orignal
как раз интродьюсеров он клонировать не сможет потому что там подписи проверяются везде
orignal
если этот факт начать использовать то перестанет
orignal
он же явно сидит на этом канале
tetrimer_
Если NTCP2 у роутера за натом нет, то что оно показывает в веб-интерфейсе: NTCP2 ( 64 )
Vort
так он и NTCP2 может повыкидывать. или пофиг?
orignal
не может а непременно станет
orignal
если к тому времени дед ничем не разродится
orignal
я вчера им предложил простое решение
orignal
елси в адресе нет s то берем ключ подписи конвертируем его в x25519 и используем
orignal
естествеенно полный игнор
orignal
RN ответила какой то дебильной шуткой
orignal
дрозд вообще не догнал самысла атаки
orignal
дед и idk промолчали
Guest1042
казлэ
orignal
тогда эта атака станет невозможной потому что ключ подписи склонировать нельзя
orignal
<dr|z3d> SSU2 handshake failure.
orignal
<dr|z3d> Seeing a huge amount of those right now.
orignal
следствие публикации левых "s"
Vort
мне кажется, что для начала стоит запатчить Transports::GetRandomPeer (bool isHighBandwidth), а потом думать, что делать дальше
tetrimer_
Опять порубите медленные узлы.
orignal
там не хранится эта инфа
orignal
а медленные причем?
Vort
ещё кое что - я проверил, атакующий иногда меняет "i" и "s", иногда - нет
tetrimer_
Сейчас и так узел со скоротью "O" - теряет транзитные туннели, и своих не набирает. Ставлю туда же "P" - более менее работает.
Vort
"<~orignal> там не хранится эта инфа" ох уж эта экономия. не первый раз проблемы вылазят из-за этого
orignal
ну ее можно сохранять
orignal
и да придется делать
orignal
вот когда меняет тогда дрозд и пишет
Vort
я думал, может, атакующий полностью перейдёт на смену i s, тогда можно было бы не спешить, но фиг там
orignal
ну так понял что сразу палево
orignal
у тебя нет ощущения что дед с ним заодно? ))
orignal
третий день никакой реакции или попыток решить проблему
Vort
мне кажется, что он или тупит или ленится. но я тот чат не читаю, поэтому просто ощущения от обрывочных сведений
Vort
многие юзеры говорят, что java сейчас под атакой работает лучше, чем i2pd
Vort
так зачем ему спешить? юзеров себе переманит )
orignal
конечно лучше
orignal
потому что они банят все подряд а мы нет
orignal
не ну если он собрался воевать с нами это совсем другая тематика
Vort
не думаю, что он специально вредит, скорее просто не хочет спешить
orignal
уже полгода как не спешит?))
Vort
так тогда атаки не было ) теперь есть, но java как-то выдерживает
Vort
короч я хз что он думает
orignal
так и мы выдерживаем
orignal
что характерно
orignal
а них ирк кстати тоже хорошо шатает
relaybot
13mittwerkz: я отлключил флудфил и перестал быть транзитивным
relaybot
13mittwerkz: охуенно себя чувствую)
orignal
ну правильно клонируют только флудфилы
relaybot
13mittwerkz: моя анонимность от этого падает?
orignal
нет
Vort
#2058 - то, о чём я говорил 2024.03.01 (неприкрытые мьютексами m_Peers.find)
Vort
сейчас напишу туда чего-нибудь
orignal
че случилось?
Vort
2 месяца назад я заметил теоретическую проблему в коде Transports.cpp, а теперь у одного из юзеров эта проблема на практике привела к крешу
Vort
но там код сложный, спешить менять не стоит
Vort
просто стоит помнить об этом. да и теперь "напоминалка" есть
orignal
да вообще без проблем починить
orignal
вопрос из какого еще треда есть обращение?
Vort
не помню сейчас. но есть точно. там же ниже по коду блокировки стоят, не просто так
Vort
вот твои сообщения по этой теме: "orignal значит что надо делать правильно?" "orignal этот запрос асихнронно" "orignal чтобы он возвращал future"
orignal
да там делов то передель на разделяемый указатели и делать его копию
Vort
а вот моё: "Vort там просто задница. или накрывать всё, как надо, и получать тормоза плюс необходимость рекурсивного мьютекса или конкретно переделывать алгоритмы, рискуя вляпаться в регрессию"
orignal
нет это про другое было
orignal
ладно понял
orignal
поправлю ))
orignal
у меня возникла новая идея
orignal
а почему бы ключом s не подписывать RI и не вклюать подпись в адресе?
onon1
Адрес может иногда меняться
orignal
ну так тот кто его публикует у него и ключ s
orignal
он может переподписать при смене
orignal
тогда перед соединением проверяем принадлежит ли адрес именно этому RI
orignal
да и не надо этого
orignal
главное подписать что привязкую s к роутереу
onon1
Смену протокола нужно с дедом согласовывать?
orignal
да не обязтельно
onon1
И с ними сможет коннектиться?
orignal
просто вставить дополнительное в адрес и все
orignal
и проверять если нет
orignal
сможет но не всегда ))
orignal
раз они ничего не собираются делать
orignal
заебали
orignal
вот я им предложил идею
orignal
как обычно в ответ будет тишина
onon1
Он вчера не вернулся из боя )
onon1
Ну ты пока может над консервативными методами лечения подумай?
onon1
Прежде чем хирургически новый протокол внедрять.
onon1
То, что вчера обсуждали, вроде отдачи флудфилом только проверенных роутеров
onon1
А то дед будет думать долго.
orignal
да это можно переделать
orignal
но я сначала хочу SSU2 починить
U534
добавьте настройку что бы можно было блочить джава роутеры
orignal
не добавим
orignal
это будет объявлением войны
U534
почему бы и не повоевать
U534
это будет священная война
orignal
не вижу смысла
U534
как скажешь
orignal
реализовал свою идею
weko
orignal: в чём дело? Чем дед недоволен?
onon1
А чего, в NTCP2 есть какие-то методы защиты, которых нет в SSU2?
orignal
weko гнилые отмазки у него
orignal
что дескать это не пропозал а говно на палочке
orignal
onon1 да
orignal
там адрес роутера является ключом AES
weko
Ну так что мешает ему сделать как надо?
orignal
который щифруется эфемеральный ключ в SessionRequest
weko
Джавистов же тоже касается
orignal
weko а то что весь этот разговор можно свести к фразе "идите на хуй"
onon1
Где у вас там секретный чат, в i2p-dev тишина
weko
Мда
weko
Бан джавистов плохая идея, но боюсь по другому будет никак
weko
Если будет и дальше отмахиваться
orignal
saltr
weko
onon1: #saltr
orignal
он не секретный
orignal
там просто для пиздабольство
orignal
но там нет нацика
orignal
это канал дрозда
onon1
Если б я знал, кто все эти люди...
orignal
onon1 зарегайся там
orignal
тогда я попрошу у дрозда для тебя голос
onon1
Это как зарегаться
orignal
/msg nickserv register onon <пароль> onon@myon.fuck
orignal
примерно так
orignal
ну что сказать последний коммит демонстрирует довольно неплохие результаты
orignal
ждем когда атакуйщий начнт выкидывать NTCP2 адреса
onon1
onon@myon.fuck это секретная почта?
orignal
вот тут мы его и поймаем ))
orignal
может почту от балды написать
orignal
любую
`
А разве нет флага для нон-транзитного роутера?
onon1
G?
orignal
есть
orignal
G
weko
orignal: так, дед занялся нормально
`
Помогу найти G. ДОРОГО.
`
Неплохая отакэ, неплохая рОбОта какерофф..
`
Забыл про G, хотя на днях пИсался с вортом об этом. Просто запустил ровутер без транзита - а G не было. Через время появилась, да.
`
Толку мало дало праффда..
onon
Ну чего там с патчем SSU2 ? Работа движется?
orignal
ну так видел же разговоры
orignal
дед разуменые вещи говорит
orignal
что поставить флаг и еще один раунд MixHash сделать
onon
Я, к сожалению, криптографию прогуливал. Поэтому плаваю в этом вопросе.
onon
Если вы пришли к согласию, что это поможет
onon
Значит пора реализовывать
U534
один дед хорошо, а два лучше
orignal
пока еще нет
orignal
надо подумать еще
orignal
но идея верная
onon
Есть ещё вопрос/предложение по временному улучшению ситуации, пока патч не сделали. Будет перерыв в размышлениях, маякни.
orignal
пока что занят
orignal
думаю
orignal
счас то нам явно джава узлы гадят
onon
Ну если они нас банят, вероятно плохя идея строить через них туннели
onon
Сделать временно приоритет своим узлам
orignal
вот об этом я и думаю
onon
У меня вопрос был как раз касаемо этой темы
onon
Когда у нас прямой коннект к узлу устанавливается, RI обновляется, и из netDb они удаляются с меньшей вероятностью. Но вот те роутеры, через которые мы удачно построили туннель, похоже не обновляются.
onon
И раньше вымываются из базы.
onon
Если ява побанила всех, она будет дропать коннекты и вымоется из базы, а i2pd будет отвечать, и останется в базе.
Vort
короч надо добавить проверку на возвращаемое значение вот сюда:
Vort
github.com/PurpleI2P/i2pd/blob/de673464d1144ce83f40dee9fb9460937e741c7e/libi2pd/RouterInfo.cpp#L305
Vort
и в аналогичные места
Vort
атакующий то быстро сообразит, что он накосячил, но всё равно стоит поправить код
weko
Уверен, солевой читает этот чат
weko
Так что он уже знает и исправляет
weko
Наверняка