IRCaBot 2.1.0
GPLv3 © acetone, 2021-2022
#dev
/2024/04/23
~AreEnn
~R4SAS
~orignal
~villain
&N00B
+Xeha
+relaybot
DUHOVKIN
Guest18377
HackerMan
KabaOS
Most2
Nausicaa
Ruskoye_911
Trusishka
Vort
`
acetone_
anon3
b3t4f4c3
flumental
mittwerk
nemiga
not_bob_afk
plap
poriori_
profetikla
segfault
soos
teeth
un
weko_
whothefuckami
onon Так я что-то не вижу новых коммитов...
orignal мне пока некогда
orignal снчала убедимся что этот работает
onon Работает, было 1-2% теперь 6-7%, уже три часа так
orignal ну это у тебя
orignal надо посмотреть разные конфигурации
onon Ну у меня там много 4хоп туннелей, возможно это влияет.
orignal я хочу на других типах роутерах посмотреть
onon Ну, значит, будем ждать...
orignal ну да
orignal счас попробую на чистом ygg который
onon Давай хотя бы коммит, который бы задерживал "правильные" роутеры у нас с недб. А то мне кажется, у меня потихоньку вымываются.
onon в нетдб*
onon Ещё интересует возможность такой ситуации: мы получили фейковый роутер, пытаемся строить через него туннель, а у роутера, который с ним должен соединяться, адрес оказывается правильным, и он успешно строит туннель.
onon А мы помечаем фейковый роутер как настоящий.
onon Может стоит ввести несколько уровней валидности: точно настоящий, вероятно настоящий, подозрительный, точно фейковый.
onon Это пока на уровне размышлений
onon Ну или просто каждому прилепить шкалу от 0 до 100
onon И в зависимости от некоторых событий её менять
onon А потом выбирать например для строительства туннелей роутеры с репутацией не ниже 50
orignal рестарт илиты через 10 минут
onon Значит можно помечать как настоящий
orignal тут все чисто
orignal я уже думал об этом
onon Ещё вопрос что думаешь насчет идеи сбрасывать таймстемп роутеру при удачном коннекте?
orignal что если атакующие кроме ключей в адерсах скопирует и публичный ключ шифрования
onon Таймстемп, который при чистке используется
orignal ответ может
orignal все было бы так если бы в каждой записи не был хэш роутера которому она предназначена
orignal а вот хэш скопипровать он не может
orignal потому что тогда придется копировать ключ подписи который подписывается RI
orignal что невозможно
orignal при удачном коннекте RI и так обновится
onon Странно...
orignal почему?
onon Странно, что ткср падает
onon С 6-7% сполз до 4-5%
onon Хотя количество роутеров не изменилось
orignal потому что зондирование
onon Т.е. я предполагаю, что кол-во хороших уменьшилось
orignal для него я не сделал
onon Ну там же 2хоп зондирование, вроде должны быстрее строиться.
orignal ну посмотришь
orignal я же говорю этот алгоритм надо еще тестировать
orignal я илиту рестартовал потому что она в лимит дексрпторов уперлась
onon Ну да, у меня на флудфиле транспорты подскакивали до 6000NTCP
onon и SSU 2 с чем-то
orignal потому и будем смотреть
orignal возможно еще что то придется менять
orignal у меня счас 12% рейт на илите
onon Есть нюанс на таком варианте с 10%, если ткср даже при строительстве только через "правильные" роутеры не будет подниматься выше 10% по разным причинам, то такой роутер "закуклится"
orignal почему?
onon И будет строить туннели только через них
orignal нет
orignal к нему же приходят другие соединения
orignal кроме того зондирующие тоннели всегда через какие попало строятся
onon Те, которые к нему построили входящее соединение помечаются хорошими?
onon Или что имеется в виду?
onon Запросы к флудфилам?
orignal через тебя тоже пытаются тоннели строить
orignal в том числе и через нормальные роутеры
orignal да. если от кого то пришло входящее такой роутер помечается хорошим
orignal потому что мы сравниваем публикуемый IP с фактическим
onon Чего-то у меня куча транспортов, а ткср низкий...
orignal так я про что и говорю что надо разбираться
orignal может еще что то надо поменять
onon Тогда сделай, чтобы флудфил отдавал "проверенные" роутеры с большей вероятностью.
orignal если будет дальше нестплит пну R4SAS -а чтобы тоже пересобрался
orignal роутеры или флудфилы?
onon И то ито
orignal так флудфилы всегда только проверенные
orignal роутеры возможно
orignal надо подумать
onon Вроде, нате вам десять проверенных, и ещё пару левых в нагрузку, проверяйте сами.
orignal когда лимит в 1K то почти все будут только проверенные
orignal собственно за счет этого сеть и держится
onon Ну сейчас в сети 1.5
onon Никто ещё не обновлялся
orignal ну они все равно быстро отфильтровываются
onon Ну сейчас не скажу, везде уже пересобрал с 1000, но когда было 1,5 то было и больше 2к фф
Vort Uptime: 11 hours / Tunnel creation success rate: 5%
Vort не всё так просто, как хотелось бы
Vort мне эта ситуация напоминает проблему с "обычной" просадкой рейта, только с усилением от атаки
Vort а так как мы не знаем точно, из-за чего обычно рейт проседает, то и сейчас ситуация непонятна
Vort я понимаю, теоретически, причина в дропах. но доказательств этому нету
Vort может, в сети ещё много узлов, подверженных подвисанию SSU2 ?
Vort orignal: атакующий начал менять i= и s= у клонов
Vort по-моему, прошлый атакующий тоже к такому решению приходил
Vort теоретически, такая атака ведь должна быть менее вредной?
Vort но по факту, похоже, получается, наоборот. мы что-то не учитываем?
колдобина Vort, с последним фиксом в netdb* значительно лучше коннект живет
Vort рейт должен быть чуть повыше, да
WebClient35 все равно тоннели плохо стоятся очень
Vort с версией 2.51.0-13-g6ce2c305 ? рейт хоть выше стал?
WebClient35 Tunnel creation success rate: 2%
WebClient35 но я за натом
Vort версия 6ce2c305 ?
WebClient35 ну транк вчера собрал
WebClient35 да она
Vort NAT не должен влиять
WebClient35 Tunnel creation success rate: 3%
WebClient35 это на втором роутере
Vort на всякий случай спрошу - CPU не перегружается?
tetrimer_ У меня на половине роутеров TCSR свалился обратно на 2-3%
tetrimer_ Пробовал в NetDB.hpp поднять рейт с 10 до 20 процентов - легче не стало.
tetrimer_ Загрузка CPU в среднем 30-40%, местами подскакивает до 80.
tetrimer_ В логах вовсю льется "11:57:14@356/error - RouterInfo: Can't open file /var/db/i2pd/netDb/rT"
WebClient85 Vort вообще рассматирвлись варианты написать i2pd заново, без оглядки на совместимость но с учетом всех атак?
Vort слишком большой объём работы, никто не возьмётся
Vort ну и атаки часто не столько на i2pd, сколько на i2p в целом
Vort то есть, атаки могут быть на сами протоколы
WebClient85 ну тоннели у меня не строятся именно на i2pd
Vort в java лучше ? на 3 хопах ?
WebClient85 объем может и большой, но зато можно всё перелопатить и написать с учетом текущих реалий
WebClient85 а какой смысл латать это легаси которое было придумано более 10 лет назад
WebClient85 атаки атаки и еще раз атаки
WebClient85 причем вы даже нормально отдебажить это не можете
Vort так атака сейчас на протокол или на реализацию?
колдобина WebClient85, не пиздаболь а бери и кодь, простой ты парень а мы ещё проще
колдобина и2п закодить, проще сказать чем сделать
колдобина вон на эликсире или эрланге ебани чтоб крешей не было
tetrimer_ Один из роутеров без особых причин через час после запуска выбрасывает флаг "Router Caps: OfRE" и транзитные туннели заканчиваются.
tetrimer_ Received: 1.08 GiB (314.38 KiB/s) Sent: 1.67 GiB (574.35 KiB/s) Transit: 41.52 MiB (0.00 KiB/s)
tetrimer_ Нагрузка на CPU = 48%
Vort "<tetrimer_> Один из роутеров без особых причин" - он упирается в O флаг
tetrimer_ Ща, сделаем P-флаг...
tetrimer_ 30 минут, Router Caps: PfRE, но туннели держатся на уровне 9000 и транзитный трафик - идет.
orignal замена i и s это похуй
orignal такая атака не опасна
orignal я у себя нигде проблем не наблюдаю
orignal думаю что сейчас уже рейт падает из-за дурости джавистов
orignal что они бнаят все подряд
колдыр orignal: reg похоже лежит
orignal пну R4SAS-а
Vort orignal: для входящих туннелей же нельзя не-Real выбирать первым хопом?
orignal в смысле?
Vort ну я про выбор из Peers
orignal я не понимаю вопроса
Vort ты же что-то говорил, что иногда можно брать глюченый SSU2, а иногда - нет
orignal это для воходящих соединений
Vort я имею в виду, что в GetRandomPeer нету проверки IsReal ()
orignal для поключанных хопов?
orignal SSU2 ( 8919 )
orignal вот в чем дело
orignal многио их
Vort наверно я глупости говорю, буду дальше разбираться
orignal да нет вопрос правильный
orignal что будет если мы к фейку поключились
orignal по SSU2
orignal ты очень правильно спросил
Vort у меня откылся reg.i2p кстати
orignal так что проверку пира стоит добавить
orignal или вариант что если непроверенный зафйлился по NTCP2 не пытаться по SSU2
orignal во. идея
orignal помнится дед говорил что если послать роутера lookup себя то он должен ответить моим RI
orignal только не помню сделано ли
tetrimer_ Это для проверки валидности роутера?
orignal я считаю что если не подвержденный роутер и зафейлился по NTCP2 то отключать
orignal по SSU2 не пытаться
orignal раз дед ничего не желает с этим делать
Vort так смотря как зафейлился же
Vort просто таймаут - это обычное дело
orignal а ниебет
orignal нет соединение с непподтвержденным роутером по NTCP2 идет на хуй
Vort а с SSU2-only что делать?
Vort +хренова туча U узлов
orignal соединяться
orignal че больше то
orignal ну с U узлом что клонировать то?
orignal интдродьюсеры?
Vort я просто пытаюсь лучше понять смысл идеи. то есть, если NTCP2 нету - то нормально. а если есть, но не подключается - тогда прекращать попытки?
orignal если попробовали все NTCP2
orignal и не поключились то SSU2 не пытаться если роутер не подтвержденный
orignal если только SSU2 то подключаться
Vort ну то есть, U узлы - это будет вариант "только SSU2" в основном?
Vort там же NTCP2 как бы есть, но пустой, вроде
orignal там NTCP2 через который заведомо поключиться нельзя
orignal мы его даже не считаем
Vort ок, понятно
orignal как раз интродьюсеров он клонировать не сможет потому что там подписи проверяются везде
orignal если этот факт начать использовать то перестанет
orignal он же явно сидит на этом канале
tetrimer_ Если NTCP2 у роутера за натом нет, то что оно показывает в веб-интерфейсе: NTCP2 ( 64 )
Vort так он и NTCP2 может повыкидывать. или пофиг?
orignal не может а непременно станет
orignal если к тому времени дед ничем не разродится
orignal я вчера им предложил простое решение
orignal елси в адресе нет s то берем ключ подписи конвертируем его в x25519 и используем
orignal естествеенно полный игнор
orignal RN ответила какой то дебильной шуткой
orignal дрозд вообще не догнал самысла атаки
orignal дед и idk промолчали
Guest1042 казлэ
orignal тогда эта атака станет невозможной потому что ключ подписи склонировать нельзя
orignal <dr|z3d> SSU2 handshake failure.
orignal <dr|z3d> Seeing a huge amount of those right now.
orignal следствие публикации левых "s"
Vort мне кажется, что для начала стоит запатчить Transports::GetRandomPeer (bool isHighBandwidth), а потом думать, что делать дальше
tetrimer_ Опять порубите медленные узлы.
orignal там не хранится эта инфа
orignal а медленные причем?
Vort ещё кое что - я проверил, атакующий иногда меняет "i" и "s", иногда - нет
tetrimer_ Сейчас и так узел со скоротью "O" - теряет транзитные туннели, и своих не набирает. Ставлю туда же "P" - более менее работает.
Vort "<~orignal> там не хранится эта инфа" ох уж эта экономия. не первый раз проблемы вылазят из-за этого
orignal ну ее можно сохранять
orignal и да придется делать
orignal вот когда меняет тогда дрозд и пишет
Vort я думал, может, атакующий полностью перейдёт на смену i s, тогда можно было бы не спешить, но фиг там
orignal ну так понял что сразу палево
orignal у тебя нет ощущения что дед с ним заодно? ))
orignal третий день никакой реакции или попыток решить проблему
Vort мне кажется, что он или тупит или ленится. но я тот чат не читаю, поэтому просто ощущения от обрывочных сведений
Vort многие юзеры говорят, что java сейчас под атакой работает лучше, чем i2pd
Vort так зачем ему спешить? юзеров себе переманит )
orignal конечно лучше
orignal потому что они банят все подряд а мы нет
orignal не ну если он собрался воевать с нами это совсем другая тематика
Vort не думаю, что он специально вредит, скорее просто не хочет спешить
orignal уже полгода как не спешит?))
Vort так тогда атаки не было ) теперь есть, но java как-то выдерживает
Vort короч я хз что он думает
orignal так и мы выдерживаем
orignal что характерно
orignal а них ирк кстати тоже хорошо шатает
relaybot 13mittwerkz: я отлключил флудфил и перестал быть транзитивным
relaybot 13mittwerkz: охуенно себя чувствую)
orignal ну правильно клонируют только флудфилы
relaybot 13mittwerkz: моя анонимность от этого падает?
orignal нет
Vort #2058 - то, о чём я говорил 2024.03.01 (неприкрытые мьютексами m_Peers.find)
Vort сейчас напишу туда чего-нибудь
orignal че случилось?
Vort 2 месяца назад я заметил теоретическую проблему в коде Transports.cpp, а теперь у одного из юзеров эта проблема на практике привела к крешу
Vort но там код сложный, спешить менять не стоит
Vort просто стоит помнить об этом. да и теперь "напоминалка" есть
orignal да вообще без проблем починить
orignal вопрос из какого еще треда есть обращение?
Vort не помню сейчас. но есть точно. там же ниже по коду блокировки стоят, не просто так
Vort вот твои сообщения по этой теме: "orignal значит что надо делать правильно?" "orignal этот запрос асихнронно" "orignal чтобы он возвращал future"
orignal да там делов то передель на разделяемый указатели и делать его копию
Vort а вот моё: "Vort там просто задница. или накрывать всё, как надо, и получать тормоза плюс необходимость рекурсивного мьютекса или конкретно переделывать алгоритмы, рискуя вляпаться в регрессию"
orignal нет это про другое было
orignal ладно понял
orignal поправлю ))
orignal у меня возникла новая идея
orignal а почему бы ключом s не подписывать RI и не вклюать подпись в адресе?
onon1 Адрес может иногда меняться
orignal ну так тот кто его публикует у него и ключ s
orignal он может переподписать при смене
orignal тогда перед соединением проверяем принадлежит ли адрес именно этому RI
orignal да и не надо этого
orignal главное подписать что привязкую s к роутереу
onon1 Смену протокола нужно с дедом согласовывать?
orignal да не обязтельно
onon1 И с ними сможет коннектиться?
orignal просто вставить дополнительное в адрес и все
orignal и проверять если нет
orignal сможет но не всегда ))
orignal раз они ничего не собираются делать
orignal заебали
orignal вот я им предложил идею
orignal как обычно в ответ будет тишина
onon1 Он вчера не вернулся из боя )
onon1 Ну ты пока может над консервативными методами лечения подумай?
onon1 Прежде чем хирургически новый протокол внедрять.
onon1 То, что вчера обсуждали, вроде отдачи флудфилом только проверенных роутеров
onon1 А то дед будет думать долго.
orignal да это можно переделать
orignal но я сначала хочу SSU2 починить
U534 добавьте настройку что бы можно было блочить джава роутеры
orignal не добавим
orignal это будет объявлением войны
U534 почему бы и не повоевать
U534 это будет священная война
orignal не вижу смысла
U534 как скажешь
orignal реализовал свою идею
weko orignal: в чём дело? Чем дед недоволен?
onon1 А чего, в NTCP2 есть какие-то методы защиты, которых нет в SSU2?
orignal weko гнилые отмазки у него
orignal что дескать это не пропозал а говно на палочке
orignal onon1 да
orignal там адрес роутера является ключом AES
weko Ну так что мешает ему сделать как надо?
orignal который щифруется эфемеральный ключ в SessionRequest
weko Джавистов же тоже касается
orignal weko а то что весь этот разговор можно свести к фразе "идите на хуй"
onon1 Где у вас там секретный чат, в i2p-dev тишина
weko Мда
weko Бан джавистов плохая идея, но боюсь по другому будет никак
weko Если будет и дальше отмахиваться
orignal saltr
weko onon1: #saltr
orignal он не секретный
orignal там просто для пиздабольство
orignal но там нет нацика
orignal это канал дрозда
onon1 Если б я знал, кто все эти люди...
orignal onon1 зарегайся там
orignal тогда я попрошу у дрозда для тебя голос
onon1 Это как зарегаться
orignal /msg nickserv register onon <пароль> onon@myon.fuck
orignal примерно так
orignal ну что сказать последний коммит демонстрирует довольно неплохие результаты
orignal ждем когда атакуйщий начнт выкидывать NTCP2 адреса
onon1 onon@myon.fuck это секретная почта?
orignal вот тут мы его и поймаем ))
orignal может почту от балды написать
orignal любую
` А разве нет флага для нон-транзитного роутера?
orignal есть
weko orignal: так, дед занялся нормально
` Помогу найти G. ДОРОГО.
` Неплохая отакэ, неплохая рОбОта какерофф..
` Забыл про G, хотя на днях пИсался с вортом об этом. Просто запустил ровутер без транзита - а G не было. Через время появилась, да.
` Толку мало дало праффда..
onon Ну чего там с патчем SSU2 ? Работа движется?
orignal ну так видел же разговоры
orignal дед разуменые вещи говорит
orignal что поставить флаг и еще один раунд MixHash сделать
onon Я, к сожалению, криптографию прогуливал. Поэтому плаваю в этом вопросе.
onon Если вы пришли к согласию, что это поможет
onon Значит пора реализовывать
U534 один дед хорошо, а два лучше
orignal пока еще нет
orignal надо подумать еще
orignal но идея верная
onon Есть ещё вопрос/предложение по временному улучшению ситуации, пока патч не сделали. Будет перерыв в размышлениях, маякни.
orignal пока что занят
orignal думаю
orignal счас то нам явно джава узлы гадят
onon Ну если они нас банят, вероятно плохя идея строить через них туннели
onon Сделать временно приоритет своим узлам
orignal вот об этом я и думаю
onon У меня вопрос был как раз касаемо этой темы
onon Когда у нас прямой коннект к узлу устанавливается, RI обновляется, и из netDb они удаляются с меньшей вероятностью. Но вот те роутеры, через которые мы удачно построили туннель, похоже не обновляются.
onon И раньше вымываются из базы.
onon Если ява побанила всех, она будет дропать коннекты и вымоется из базы, а i2pd будет отвечать, и останется в базе.
Vort короч надо добавить проверку на возвращаемое значение вот сюда:
Vort и в аналогичные места
Vort атакующий то быстро сообразит, что он накосячил, но всё равно стоит поправить код
weko Уверен, солевой читает этот чат
weko Так что он уже знает и исправляет
weko Наверняка