~AreEnn
~AreEnn_
~R4SAS
~acetone
~orignal
~villain
&N00B
+Xeha
Most2
Nikat
Opax
Vort
`
anon
b3t4f4c3
bandura
fidoid_
i
karamba_i2p
nemiga
not_bob_afk
plap
poriori_
profetikla
qend
slfd
soos
spider
teeth
un
weko
whothefuckami
woodwose
IrcClient
2 проблемы/вопросв
IrcClient
2 уже поважнее и не относится к стримам. А как защищаться от спама трафиком? Это же ведь супер простая и эффективная атака. Просто спамим дестинейшн и смотрим у кого потребление трафика подскочило. По хорошему надо научиться ог�
`
Что за система у этого ШУЕ, что у меня неть-неть а порой от него прилетает копипаста с крякозябрами?
`
100500 дистрибутивофф было, на венде, на ведре.
`
Одна ирка, другая, третья.
`
Или это особенность самой ирки? Я просто впервые в ирке оказался только на ИЛИТЕ и более нигде и никогда. /offotp
Vort
я вижу только обрезанный последний символ
Vort
тупой IRC клиент половинку русской буквы отправил. точнее, превысил лимит на этой половинке
EKCKABATOR54
1 - так и не придумали что делать с теми, кто спамит, чтобы один тоннель спамера не выбивал все остальные?
EKCKABATOR54
2 - как защищаться от атаки в которой кто то спамит трафиком дестинейшн и смотрит у какого юзера подскочило потребление? По хорошему нужно, чтобы трафик резался еще на входящем тоннеле до того как попадет к последнему роутеру
Vort
1 - если это атака, то спам идёт обычно не одним тоннелем, а тысячей. если не атака, тогда надо смотреть, какая именно реакция кода на действия юзера к такому может приводить
Vort
2 - где смотрит? на своём роутере? разве транзит обязан делать петлю и возвращаться на узел отправителя?
Vort
ну и даже если получится вычислить хоп через который прошёл трафик, то дальше что? неизвестно ведь в какой позиции этот хоп находится
IrcClient
Не, просто провайдер может видеть, что у кого то трафик подскочил
IrcClient
Или хостер
Vort
так неизвестно ведь какой именно провайдер или хостер используется
Vort
на каком-то из провайдеров по всему миру подскочил трафик... и что?
IrcClient
В торе считают, что это атака
IrcClient
И я согласен
IrcClient
Тем более, что если хостить на впске, то я думаю там такая иефоомация всегда пишется промто
IrcClient
Ну она собственно и доступна в панели управления)
Vort
в первую очередь с реальными сценариями атак надо разбираться
IrcClient
Какие есть более важные нерешенные?
Vort
пишется то пишется, но неизвестно где
IrcClient
Я уже сказал, хостеры все это видят
Vort
они то видят, но они - не атакующие
Vort
а атакующий - не видит
IrcClient
Если ты видишь список узлов сети (а это видно), то можно понять на кого смотреть
IrcClient
Они не атакующие только если абузоустойчивый хостинг
Vort
"<IrcClient> Какие есть более важные нерешенные?" да дофига. ну допустим вот это: github.com/PurpleI2P/i2pd/issues/2112
IrcClient
Там все понятно
IrcClient
Оригнал уже ответил
Vort
"<IrcClient> Если ты видишь список узлов сети (а это видно), то можно понять на кого смотреть" вижу 5 тыщ коннектов с узлами по всему миру, спрашивать всех хостеров - "а не было ли у вас всплеска трафика" - сомнительная идея
Vort
"<IrcClient> Оригнал уже ответил" но проблему (тыщи вредоносных узлов, мешающие связности) то никто не решал
EKCKABATOR54
Не коннекты, а узлы. Видно всплеск трафика на конкретном узле. Если ты хостишь в месте, которое ни с какими мусорами не сотрудничает, то для тебя не проблема. Но я думаю, для многих атака актуально. Не удивлюсь, если наркошопы и�
EKCKABATOR54
м способом и вычисляют
EKCKABATOR54
Потому что
EKCKABATOR54
это вечная проблема
EKCKABATOR54
со спамом трафиком от тысячи узлов ничего не сделать особо
EKCKABATOR54
Если они будут тоннели руинить, то на сколько я знаю, уже такие узлы помечаются как плохие и через них тоннели в будущем строиться не будут
Vort
то есть, для успешной атаки атакующему надо знать, что сервис находится у хостера, который готов принимать участие в атаке (отвечать на вопросы "не было ли сейчас всплеска трафика? а теперь?")
Vort
против этого мало что можно сделать, кроме как менять хостера
EKCKABATOR54
я думаю, если погуглить инфу, то не так смешно будет
EKCKABATOR54
либо ограничить прием, как я и хочу
EKCKABATOR54
Чтобы на фоне транзита не выделялся
Vort
лимиты на скорость тут помогут только в самом примитивном случае, когда за всплесками следят глазами
EKCKABATOR54
нет
EKCKABATOR54
почему?
EKCKABATOR54
трафик же не идеально ровный
Vort
если же корреляцию считать алгоритмами, то они запросто выделят сигнал из шума, какой слабый бы он ни был
EKCKABATOR54
если транзит большой, то на его фоне колебания входящего к сервису трафика могут затеряться
EKCKABATOR54
шум в случае транизта ш2з может генерироват трафика больше чем сам сервис
EKCKABATOR54
а, ну и на самом деле даже более простая для реализации атака - спамом трафика) просто узел между IBGW и нами смотрит на трафик и сопостовляет с тем, что отправил атакующий на входящий тоннель. Чем ярче трафик от атакующего на фо�
EKCKABATOR54
больше информации для деанона
Vort
EKCKABATOR54: пробовал когда-нибудь выделять сигнал из шума?
Vort
это только кажется, что шум сигнал забивает. на самом деле, всё зависит от свойств сигнала
Vort
и в данном случае математика на стороне атакующего
Vort
ему то надо всего один бит данных передать, за довольно большой интервал времени (сутки, допустим)
EKCKABATOR54
как ты вычленишь сигнал из большого рандомного шума?
EKCKABATOR54
какая математика для этого поможет?
EKCKABATOR54
еще учитывай, что изменения при отправке данных не сразу отражаются на приемнике
EKCKABATOR54
там пинги еще есть, забитые буферы
Vort
во-первых, эту атаку не просто так называют корреляционной. что-то из вот этого явно сработает: ru.wikipedia.org/wiki/Взаимнокорреляционная_функция
Vort
во-вторых, на таких скоростях даже самый примитивный фильтр по частоте может сработать
EKCKABATOR54
на каких таких?
Vort
"не сразу отражаются на приемнике" - частота 1 колебание/минуту запросто проглотит все эти мелочи
Vort
"<EKCKABATOR54> на каких таких?" 1 бит в сутки
EKCKABATOR54
я перестал тебя понимать, кажется
Vort
атакующему надо передать 1 бит информации - или принялся его сигнал на стороне приёма или нет
Vort
для достижения этой цели он может потратить довольно много времени (сутки)
Vort
этот 1 бит можно промодулировать конечно же. как угодно
EKCKABATOR54
как он поймет, принялся или нет? По характкеру трафика
EKCKABATOR54
Чем меньше прием от атакующего на фоне транзита, тем сложнее атакующему
EKCKABATOR54
Разве ты не согласен?
EKCKABATOR54
транзит же не просто константа
EKCKABATOR54
а довольно случайно изменяется
Vort
по тому, обнаружится ли горб на очищенном от шума сигнале (картинки из вики посмотри)
EKCKABATOR54
как ты от шума очистишь, если шум больше чем сам трафик?
EKCKABATOR54
> картинки из вики посмотри
Vort
математика на стороне атакующего с очень большим перевесом. допустим, уменьшив интенсивность сигнала атакующего можно требование для атаки растянуть с 1 минуты до 1 часа. а атакующий и сутки может подождать. числа "с потолка", правд
Vort
а. расчитывать точно сейчас не возьмусь
EKCKABATOR54
на той же вики шумов почти нет
Vort
"<EKCKABATOR54> как ты от шума очистишь, если шум больше чем сам трафик?" посмотри для примера как WSPR работает
EKCKABATOR54
Если я дам 2 функции - как атакующих отправляет и какой суммарные трафик у принимающего, сможешь показать корреляцию?
EKCKABATOR54
вот посмотрим
EKCKABATOR54
как математика на стороне атакующего
Vort
смотря за какой период суммарность считается
EKCKABATOR54
мне кажется довольно очевидным, что чем незаметнее трафик атакующего на фоне общего трафика приемника, тем сложнее найти корреляцию
EKCKABATOR54
за любой
EKCKABATOR54
вот расскажешь как рза через какой промежуток времени достаточно инфы накопилось
Vort
но вообще я описывал ситуацию предполагая, что доступны полные логи
EKCKABATOR54
доступна информация о входящем и исходящем трафике жертвы и трафике атакующего. У жертвы только суммарный, у атакующего на конкретный тоннель
Vort
если провайдер не против предоставлять данные по суммарному трафику, то и более точные данные сможет предоставить
EKCKABATOR54
оно примешивается на уровне транспортов
EKCKABATOR54
я об этом еще фиг знает когда спрашивал
EKCKABATOR54
как оригнал сказал, обычно к уже существующему транспорту свой примешивается
Vort
а вообще - о какой суммарности речь? :)
Vort
"трафик за сутки"?
Vort
или "трафик за секунду, но по всем коннектам"?
EKCKABATOR54
второе
Vort
а, ну это атаке не мешает
EKCKABATOR54
почему?
Vort
потому что форма сигнала атакующего - она как ключ
EKCKABATOR54
у тебя транзит не константный
Vort
шум не сможет её повторить
EKCKABATOR54
шум рандомный
Vort
а значит можно отделить одно от другого
EKCKABATOR54
нет
EKCKABATOR54
если шум достаточно большой, но изменения сигнала от атакующего даже не заметишь
Vort
короч с магией фильтрации ты явно не знаком
EKCKABATOR54
по моему ты переоцениваешь
EKCKABATOR54
я говорю
EKCKABATOR54
давай
EKCKABATOR54
давай так
Vort
шум важен не сам по себе, а в определённой полосе частот
EKCKABATOR54
каких частот?
Vort
всё что за пределами этой полосы элементарно выкидывается
Vort
частот с которыми атакующий модулирует сигнал
EKCKABATOR54
1 - эта частота смазывается когда трафик проходит через другие роутеры
EKCKABATOR54
2 - шум тоже в эту частоту залезть может
Vort
смазывание работает на секундных интервалах времени
Vort
атакующему ничто не мешает использовать минутные интервалы
EKCKABATOR54
у тебя на минутных интервалах транзит меняется
EKCKABATOR54
сильно
EKCKABATOR54
ты так говоришь, будто шум 10% от трафика атакующего
EKCKABATOR54
тогда, конечно, проблемы для атакующего нет
Vort
"<EKCKABATOR54> 2 - шум тоже в эту частоту залезть может" - для сигнала низкой скорости (1 бит в сутки) полоса частот предельно узкая
Vort
99.99% шума можно отфильтровать
EKCKABATOR54
давай короче ближе к делу
EKCKABATOR54
потсмритм на конкретные примеры
EKCKABATOR54
ща я подумаю где можо удобно графики рисовать
Vort
можешь с микрофоном и динамиками поэкспериментировать, чтобы проще было
Vort
подать константный тон и попробовать его спрятать за шумом
Vort
даже тупо на спектрограмме он вылезет
Vort
а если навороченные алгоритмы применить...
EKCKABATOR54
звук это другое
EKCKABATOR54
там другие порядки
Vort
сигнал - зависимость амплитуды от времени
EKCKABATOR54
частто
Vort
математика одна и та же
EKCKABATOR54
информация на выходе разная может быть
EKCKABATOR54
так
EKCKABATOR54
ты хочешь, чтобы я после подсчета конволюции увидел график, похожий на одну из функций?
EKCKABATOR54
Vort
EKCKABATOR54
В общем, я с тобой в игру хочу сыграть. Скажи как ты хочешь, чтобы я считал корреляцию между трафиками. Я буду загадывать график транзита, а ты графика трафика атакующего с кое каким условиями. Вот и посмотрим на корреляцию
EKCKABATOR54
нет
EKCKABATOR54
ой
EKCKABATOR54
не туда
EKCKABATOR54
orignal, что думаешь по поводу того, что я в i2p-dev написал?
orignal
я тебя не читал
EKCKABATOR54
можешь. пожалуйста, прочесть, как время будет?
orignal
мне это не интересно
Vort
EKCKABATOR54: я сейчас плохо помню подробности применения свёртки/корреляции, проще пытаться скрыть простую синусоиду (или меандр) и применять обычный полосовой фильтр
Vort
ну и лучше всего захватить ещё и момент включения и выключения сигнала
Vort
то есть, допустим, трафик n секунд идёт, n секунд не идёт, n секунд идёт, n секунд не идёт - так раз 20-100
Vort
и есть возможность записать общую скорость хотя бы несколько раз в секунду
Vort
если количество шума не сильно конское, то вот это число n легко будет видно на спектрограмме или выводе Фурье / FFT
Vort
при сильно большом количестве шума лишь возрастает требуемое время наблюдений - допустим, не 20-100 колебаний, а 200-1000
Vort
но значение около 100 удобно - это замеры будут идти несколько минут
Vort
если данные по общей скорости выложишь в wav формате, то анализ можно сделать будет за несколько минут
Vort
там время будет "поехавшее" - допустим, миллисекунды заменены на секнуды, но это пофиг
EKCKABATOR54
если я данные по общей скорости дам, ты сможешь посчитать?
Vort
ну я же говорю - если в wav формате, то довольно быстро смогу. иначе придётся мудохаться с преобразованиями
EKCKABATOR54
хорошо
EKCKABATOR54
я как подготовлюсь, скажу
EKCKABATOR54
согласуем время
Vort
зачем время? просто закинь файл с данными на paste.i2pd.xyz (http://privatebin.i2p/), я посмотрю
EKCKABATOR54
я заранее функцию транзита загадаю, ты мне дашь свою функцию атаки, я наложу и выдам wav. Так?
EKCKABATOR54
точнее я несколько дам
Vort
функцию атаки я уже дал
EKCKABATOR54
и ты должен будешь угадать ту к которой я твою приплюсовал
Vort
"допустим, трафик n секунд идёт, n секунд не идёт, n секунд идёт, n секунд не идёт - так раз 20-100"
EKCKABATOR54
ок
EKCKABATOR54
хорошо
Vort
что там будет в транзите примерно пофигу, лишь бы это был шум
EKCKABATOR54
определи что такое шум?
Vort
хм. это не так однозначно. важно чтобы не было корреляции с функцией атаки :))
Vort
ну просто rand() подмешай как-нибудь
EKCKABATOR54
так я специально для этого заранее загадаю
Vort
или вообще реальные данные транзита возьми с i2pd узла
EKCKABATOR54
чтобы всё честно было
EKCKABATOR54
и только после уже твое приплюсую
Vort
так вопрос же в том, чтобы найти сигнал атаки среди шума
Vort
какой конкретно сорт шума будет - не сильно важно
EKCKABATOR54
угу
EKCKABATOR54
а я вот утверждаю, что важно
EKCKABATOR54
вот и посмотрим
Vort
главное, чтобы точек данных было достаточно
Vort
чтобы теорема Котельникова/Найквиста (или как там её) не нарушалась
EKCKABATOR54
я тебе дам несколько графиков, будешь искать к какому я приплюсовал твое
Vort
ок
extraNaCl
>EKCKABATOR54 какая математика для этого поможет?
extraNaCl
Пиздец колхозан-долбонатор
`
extraNaCl, баребухи всё ещё кушаешь по три раза на день?
orignal
солевой этим не занимался