#dev (ilita) | Обсуждение разработки I2Pd | i2pd development discussion | http://i2pd.website/

onon Так я что-то не вижу новых коммитов...

orignal мне пока некогда

orignal снчала убедимся что этот работает

onon Работает, было 1-2% теперь 6-7%, уже три часа так

orignal ну это у тебя

orignal надо посмотреть разные конфигурации

onon Ну у меня там много 4хоп туннелей, возможно это влияет.

orignal я хочу на других типах роутерах посмотреть

onon Ну, значит, будем ждать...

orignal ну да

orignal счас попробую на чистом ygg который

onon Давай хотя бы коммит, который бы задерживал "правильные" роутеры у нас с недб. А то мне кажется, у меня потихоньку вымываются.

onon в нетдб*

onon Ещё интересует возможность такой ситуации: мы получили фейковый роутер, пытаемся строить через него туннель, а у роутера, который с ним должен соединяться, адрес оказывается правильным, и он успешно строит туннель.

onon А мы помечаем фейковый роутер как настоящий.

onon Может стоит ввести несколько уровней валидности: точно настоящий, вероятно настоящий, подозрительный, точно фейковый.

onon Это пока на уровне размышлений

onon Ну или просто каждому прилепить шкалу от 0 до 100

onon И в зависимости от некоторых событий её менять

onon А потом выбирать например для строительства туннелей роутеры с репутацией не ниже 50

orignal рестарт илиты через 10 минут

onon Значит можно помечать как настоящий

orignal тут все чисто

orignal я уже думал об этом

onon Ещё вопрос что думаешь насчет идеи сбрасывать таймстемп роутеру при удачном коннекте?

orignal что если атакующие кроме ключей в адерсах скопирует и публичный ключ шифрования

onon Таймстемп, который при чистке используется

orignal ответ может

orignal все было бы так если бы в каждой записи не был хэш роутера которому она предназначена

orignal а вот хэш скопипровать он не может

orignal потому что тогда придется копировать ключ подписи который подписывается RI

orignal что невозможно

orignal при удачном коннекте RI и так обновится

onon Странно...

orignal почему?

onon Странно, что ткср падает

onon С 6-7% сполз до 4-5%

onon Хотя количество роутеров не изменилось

orignal потому что зондирование

onon Т.е. я предполагаю, что кол-во хороших уменьшилось

orignal для него я не сделал

onon Ну там же 2хоп зондирование, вроде должны быстрее строиться.

orignal ну посмотришь

orignal я же говорю этот алгоритм надо еще тестировать

orignal я илиту рестартовал потому что она в лимит дексрпторов уперлась

onon Ну да, у меня на флудфиле транспорты подскакивали до 6000NTCP

onon и SSU 2 с чем-то

orignal потому и будем смотреть

orignal возможно еще что то придется менять

orignal у меня счас 12% рейт на илите

onon Есть нюанс на таком варианте с 10%, если ткср даже при строительстве только через "правильные" роутеры не будет подниматься выше 10% по разным причинам, то такой роутер "закуклится"

orignal почему?

onon И будет строить туннели только через них

orignal нет

orignal к нему же приходят другие соединения

orignal кроме того зондирующие тоннели всегда через какие попало строятся

onon Те, которые к нему построили входящее соединение помечаются хорошими?

onon Или что имеется в виду?

onon Запросы к флудфилам?

orignal через тебя тоже пытаются тоннели строить

orignal в том числе и через нормальные роутеры

orignal да. если от кого то пришло входящее такой роутер помечается хорошим

orignal потому что мы сравниваем публикуемый IP с фактическим

onon Чего-то у меня куча транспортов, а ткср низкий...

orignal так я про что и говорю что надо разбираться

orignal может еще что то надо поменять

onon Тогда сделай, чтобы флудфил отдавал "проверенные" роутеры с большей вероятностью.

orignal если будет дальше нестплит пну R4SAS -а чтобы тоже пересобрался

orignal роутеры или флудфилы?

onon И то ито

orignal так флудфилы всегда только проверенные

orignal роутеры возможно

orignal надо подумать

onon Вроде, нате вам десять проверенных, и ещё пару левых в нагрузку, проверяйте сами.

orignal когда лимит в 1K то почти все будут только проверенные

orignal собственно за счет этого сеть и держится

onon Ну сейчас в сети 1.5

onon Никто ещё не обновлялся

orignal ну они все равно быстро отфильтровываются

onon Ну сейчас не скажу, везде уже пересобрал с 1000, но когда было 1,5 то было и больше 2к фф

Vort Uptime: 11 hours / Tunnel creation success rate: 5%

Vort не всё так просто, как хотелось бы

Vort мне эта ситуация напоминает проблему с "обычной" просадкой рейта, только с усилением от атаки

Vort а так как мы не знаем точно, из-за чего обычно рейт проседает, то и сейчас ситуация непонятна

Vort я понимаю, теоретически, причина в дропах. но доказательств этому нету

Vort может, в сети ещё много узлов, подверженных подвисанию SSU2 ?

Vort orignal: атакующий начал менять i= и s= у клонов

Vort по-моему, прошлый атакующий тоже к такому решению приходил

Vort теоретически, такая атака ведь должна быть менее вредной?

Vort но по факту, похоже, получается, наоборот. мы что-то не учитываем?

колдобина Vort, с последним фиксом в netdb* значительно лучше коннект живет

Vort рейт должен быть чуть повыше, да

WebClient35 все равно тоннели плохо стоятся очень

Vort с версией 2.51.0-13-g6ce2c305 ? рейт хоть выше стал?

WebClient35 Tunnel creation success rate: 2%

WebClient35 но я за натом

Vort версия 6ce2c305 ?

WebClient35 ну транк вчера собрал

WebClient35 да она

Vort NAT не должен влиять

WebClient35 Tunnel creation success rate: 3%

WebClient35 это на втором роутере

Vort на всякий случай спрошу - CPU не перегружается?

tetrimer_ У меня на половине роутеров TCSR свалился обратно на 2-3%

tetrimer_ Пробовал в NetDB.hpp поднять рейт с 10 до 20 процентов - легче не стало.

tetrimer_ Загрузка CPU в среднем 30-40%, местами подскакивает до 80.

tetrimer_ В логах вовсю льется "11:57:14@356/error - RouterInfo: Can't open file /var/db/i2pd/netDb/rT"

WebClient85 Vort вообще рассматирвлись варианты написать i2pd заново, без оглядки на совместимость но с учетом всех атак?

Vort слишком большой объём работы, никто не возьмётся

Vort ну и атаки часто не столько на i2pd, сколько на i2p в целом

Vort то есть, атаки могут быть на сами протоколы

WebClient85 ну тоннели у меня не строятся именно на i2pd

Vort в java лучше ? на 3 хопах ?

WebClient85 объем может и большой, но зато можно всё перелопатить и написать с учетом текущих реалий

WebClient85 а какой смысл латать это легаси которое было придумано более 10 лет назад

WebClient85 атаки атаки и еще раз атаки

WebClient85 причем вы даже нормально отдебажить это не можете

Vort так атака сейчас на протокол или на реализацию?

колдобина WebClient85, не пиздаболь а бери и кодь, простой ты парень а мы ещё проще

колдобина и2п закодить, проще сказать чем сделать

колдобина вон на эликсире или эрланге ебани чтоб крешей не было

tetrimer_ Один из роутеров без особых причин через час после запуска выбрасывает флаг "Router Caps: OfRE" и транзитные туннели заканчиваются.

tetrimer_ Received: 1.08 GiB (314.38 KiB/s) Sent: 1.67 GiB (574.35 KiB/s) Transit: 41.52 MiB (0.00 KiB/s)

tetrimer_ Нагрузка на CPU = 48%

Vort "<tetrimer_> Один из роутеров без особых причин" - он упирается в O флаг

tetrimer_ Ща, сделаем P-флаг...

tetrimer_ 30 минут, Router Caps: PfRE, но туннели держатся на уровне 9000 и транзитный трафик - идет.

orignal замена i и s это похуй

orignal такая атака не опасна

orignal я у себя нигде проблем не наблюдаю

orignal думаю что сейчас уже рейт падает из-за дурости джавистов

orignal что они бнаят все подряд

колдыр orignal: reg похоже лежит

orignal пну R4SAS-а

Vort orignal: для входящих туннелей же нельзя не-Real выбирать первым хопом?

orignal в смысле?

Vort ну я про выбор из Peers

orignal я не понимаю вопроса

Vort ты же что-то говорил, что иногда можно брать глюченый SSU2, а иногда - нет

orignal это для воходящих соединений

Vort я имею в виду, что в GetRandomPeer нету проверки IsReal ()

orignal для поключанных хопов?

orignal SSU2 ( 8919 )

orignal вот в чем дело

orignal многио их

Vort наверно я глупости говорю, буду дальше разбираться

orignal да нет вопрос правильный

orignal что будет если мы к фейку поключились

orignal по SSU2

orignal ты очень правильно спросил

Vort у меня откылся reg.i2p кстати

orignal так что проверку пира стоит добавить

orignal или вариант что если непроверенный зафйлился по NTCP2 не пытаться по SSU2

orignal во. идея

orignal помнится дед говорил что если послать роутера lookup себя то он должен ответить моим RI

orignal только не помню сделано ли

tetrimer_ Это для проверки валидности роутера?

orignal я считаю что если не подвержденный роутер и зафейлился по NTCP2 то отключать

orignal по SSU2 не пытаться

orignal раз дед ничего не желает с этим делать

Vort так смотря как зафейлился же

Vort просто таймаут - это обычное дело

orignal а ниебет

orignal нет соединение с непподтвержденным роутером по NTCP2 идет на хуй

Vort а с SSU2-only что делать?

Vort +хренова туча U узлов

orignal соединяться

orignal че больше то

orignal ну с U узлом что клонировать то?

orignal интдродьюсеры?

Vort я просто пытаюсь лучше понять смысл идеи. то есть, если NTCP2 нету - то нормально. а если есть, но не подключается - тогда прекращать попытки?

orignal если попробовали все NTCP2

orignal и не поключились то SSU2 не пытаться если роутер не подтвержденный

orignal если только SSU2 то подключаться

Vort ну то есть, U узлы - это будет вариант "только SSU2" в основном?

Vort там же NTCP2 как бы есть, но пустой, вроде

orignal там NTCP2 через который заведомо поключиться нельзя

orignal мы его даже не считаем

Vort ок, понятно

orignal как раз интродьюсеров он клонировать не сможет потому что там подписи проверяются везде

orignal если этот факт начать использовать то перестанет

orignal он же явно сидит на этом канале

tetrimer_ Если NTCP2 у роутера за натом нет, то что оно показывает в веб-интерфейсе: NTCP2 ( 64 )

Vort так он и NTCP2 может повыкидывать. или пофиг?

orignal не может а непременно станет

orignal если к тому времени дед ничем не разродится

orignal я вчера им предложил простое решение

orignal елси в адресе нет s то берем ключ подписи конвертируем его в x25519 и используем

orignal естествеенно полный игнор

orignal RN ответила какой то дебильной шуткой

orignal дрозд вообще не догнал самысла атаки

orignal дед и idk промолчали

Guest1042 казлэ

orignal тогда эта атака станет невозможной потому что ключ подписи склонировать нельзя

orignal <dr|z3d> SSU2 handshake failure.

orignal <dr|z3d> Seeing a huge amount of those right now.

orignal следствие публикации левых "s"

Vort мне кажется, что для начала стоит запатчить Transports::GetRandomPeer (bool isHighBandwidth), а потом думать, что делать дальше

tetrimer_ Опять порубите медленные узлы.

orignal там не хранится эта инфа

orignal а медленные причем?

Vort ещё кое что - я проверил, атакующий иногда меняет "i" и "s", иногда - нет

tetrimer_ Сейчас и так узел со скоротью "O" - теряет транзитные туннели, и своих не набирает. Ставлю туда же "P" - более менее работает.

Vort "<~orignal> там не хранится эта инфа" ох уж эта экономия. не первый раз проблемы вылазят из-за этого

orignal ну ее можно сохранять

orignal и да придется делать

orignal вот когда меняет тогда дрозд и пишет

Vort я думал, может, атакующий полностью перейдёт на смену i s, тогда можно было бы не спешить, но фиг там

orignal ну так понял что сразу палево

orignal у тебя нет ощущения что дед с ним заодно? ))

orignal третий день никакой реакции или попыток решить проблему

Vort мне кажется, что он или тупит или ленится. но я тот чат не читаю, поэтому просто ощущения от обрывочных сведений

Vort многие юзеры говорят, что java сейчас под атакой работает лучше, чем i2pd

Vort так зачем ему спешить? юзеров себе переманит )

orignal конечно лучше

orignal потому что они банят все подряд а мы нет

orignal не ну если он собрался воевать с нами это совсем другая тематика

Vort не думаю, что он специально вредит, скорее просто не хочет спешить

orignal уже полгода как не спешит?))

Vort так тогда атаки не было ) теперь есть, но java как-то выдерживает

Vort короч я хз что он думает

orignal так и мы выдерживаем

orignal что характерно

orignal а них ирк кстати тоже хорошо шатает

relaybot 13mittwerkz: я отлключил флудфил и перестал быть транзитивным

relaybot 13mittwerkz: охуенно себя чувствую)

orignal ну правильно клонируют только флудфилы

relaybot 13mittwerkz: моя анонимность от этого падает?

orignal нет

Vort #2058 - то, о чём я говорил 2024.03.01 (неприкрытые мьютексами m_Peers.find)

Vort сейчас напишу туда чего-нибудь

orignal че случилось?

Vort 2 месяца назад я заметил теоретическую проблему в коде Transports.cpp, а теперь у одного из юзеров эта проблема на практике привела к крешу

Vort но там код сложный, спешить менять не стоит

Vort просто стоит помнить об этом. да и теперь "напоминалка" есть

orignal да вообще без проблем починить

orignal вопрос из какого еще треда есть обращение?

Vort не помню сейчас. но есть точно. там же ниже по коду блокировки стоят, не просто так

Vort вот твои сообщения по этой теме: "orignal значит что надо делать правильно?" "orignal этот запрос асихнронно" "orignal чтобы он возвращал future"

orignal да там делов то передель на разделяемый указатели и делать его копию

Vort а вот моё: "Vort там просто задница. или накрывать всё, как надо, и получать тормоза плюс необходимость рекурсивного мьютекса или конкретно переделывать алгоритмы, рискуя вляпаться в регрессию"

orignal нет это про другое было

orignal ладно понял

orignal поправлю ))

orignal у меня возникла новая идея

orignal а почему бы ключом s не подписывать RI и не вклюать подпись в адресе?

onon1 Адрес может иногда меняться

orignal ну так тот кто его публикует у него и ключ s

orignal он может переподписать при смене

orignal тогда перед соединением проверяем принадлежит ли адрес именно этому RI

orignal да и не надо этого

orignal главное подписать что привязкую s к роутереу

onon1 Смену протокола нужно с дедом согласовывать?

orignal да не обязтельно

onon1 И с ними сможет коннектиться?

orignal просто вставить дополнительное в адрес и все

orignal и проверять если нет

orignal сможет но не всегда ))

orignal раз они ничего не собираются делать

orignal заебали

orignal вот я им предложил идею

orignal как обычно в ответ будет тишина

onon1 Он вчера не вернулся из боя )

onon1 Ну ты пока может над консервативными методами лечения подумай?

onon1 Прежде чем хирургически новый протокол внедрять.

onon1 То, что вчера обсуждали, вроде отдачи флудфилом только проверенных роутеров

onon1 А то дед будет думать долго.

orignal да это можно переделать

orignal но я сначала хочу SSU2 починить

U534 добавьте настройку что бы можно было блочить джава роутеры

orignal не добавим

orignal это будет объявлением войны

U534 почему бы и не повоевать

U534 это будет священная война

orignal не вижу смысла

U534 как скажешь

orignal реализовал свою идею

weko orignal: в чём дело? Чем дед недоволен?

onon1 А чего, в NTCP2 есть какие-то методы защиты, которых нет в SSU2?

orignal weko гнилые отмазки у него

orignal что дескать это не пропозал а говно на палочке

orignal onon1 да

orignal там адрес роутера является ключом AES

weko Ну так что мешает ему сделать как надо?

orignal который щифруется эфемеральный ключ в SessionRequest

weko Джавистов же тоже касается

orignal weko а то что весь этот разговор можно свести к фразе "идите на хуй"

onon1 Где у вас там секретный чат, в i2p-dev тишина

weko Мда

weko Бан джавистов плохая идея, но боюсь по другому будет никак

weko Если будет и дальше отмахиваться

orignal saltr

weko onon1: #saltr

orignal он не секретный

orignal там просто для пиздабольство

orignal но там нет нацика

orignal это канал дрозда

onon1 Если б я знал, кто все эти люди...

orignal onon1 зарегайся там

orignal тогда я попрошу у дрозда для тебя голос

onon1 Это как зарегаться

orignal /msg nickserv register onon <пароль> onon@myon.fuck

orignal примерно так

orignal ну что сказать последний коммит демонстрирует довольно неплохие результаты

orignal ждем когда атакуйщий начнт выкидывать NTCP2 адреса

onon1 onon@myon.fuck это секретная почта?

orignal вот тут мы его и поймаем ))

orignal может почту от балды написать

orignal любую

` А разве нет флага для нон-транзитного роутера?

onon1 G?

orignal есть

orignal G

weko orignal: так, дед занялся нормально

` Помогу найти G. ДОРОГО.

` Неплохая отакэ, неплохая рОбОта какерофф..

` Забыл про G, хотя на днях пИсался с вортом об этом. Просто запустил ровутер без транзита - а G не было. Через время появилась, да.

` Толку мало дало праффда..

onon Ну чего там с патчем SSU2 ? Работа движется?

orignal ну так видел же разговоры

orignal дед разуменые вещи говорит

orignal что поставить флаг и еще один раунд MixHash сделать

onon Я, к сожалению, криптографию прогуливал. Поэтому плаваю в этом вопросе.

onon Если вы пришли к согласию, что это поможет

onon Значит пора реализовывать

U534 один дед хорошо, а два лучше

orignal пока еще нет

orignal надо подумать еще

orignal но идея верная

onon Есть ещё вопрос/предложение по временному улучшению ситуации, пока патч не сделали. Будет перерыв в размышлениях, маякни.

orignal пока что занят

orignal думаю

orignal счас то нам явно джава узлы гадят

onon Ну если они нас банят, вероятно плохя идея строить через них туннели

onon Сделать временно приоритет своим узлам

orignal вот об этом я и думаю

onon У меня вопрос был как раз касаемо этой темы

onon Когда у нас прямой коннект к узлу устанавливается, RI обновляется, и из netDb они удаляются с меньшей вероятностью. Но вот те роутеры, через которые мы удачно построили туннель, похоже не обновляются.

onon И раньше вымываются из базы.

onon Если ява побанила всех, она будет дропать коннекты и вымоется из базы, а i2pd будет отвечать, и останется в базе.

Vort короч надо добавить проверку на возвращаемое значение вот сюда:

Vort github.com/PurpleI2P/i2pd/blob/de673464d1144ce83f40dee9fb9460937e741c7e/libi2pd/RouterInfo.cpp#L305

Vort и в аналогичные места

Vort атакующий то быстро сообразит, что он накосячил, но всё равно стоит поправить код

weko Уверен, солевой читает этот чат

weko Так что он уже знает и исправляет

weko Наверняка