IRCaBot 2.1.0
GPLv3 © acetone, 2021-2022
#dev
/2023/11/09
~AreEnn
~R4SAS
~acetone
~orignal
~villain
@onon
&N00B
+relaybot
DUHOVKIN_
Guest7184
Komap-
Most2
Nausicaa
Nikat
Ruskoye_911
Vort
Xeha
anon3
b3t4f4c3
fidoid
karamba_i2p
nemiga
not_bob_afk
plap
poriori
profetikla
qend
segfault
soos
teeth
tetrimer_
uis
un
unlike
user
weko
whothefuckami
weko [19:21:27] <orignal> но понимаешь в чем дело как правило это соотвествует действительности
weko Тогда почему повторный даже через пару секунд показывает OK? Даже если пакеты не дошли, не значит, что не могут (потери в UDP бывают)
weko Может быть, иногда не везёт, что все 5 пиров - кал?
Vort weko: дело в том, что некоторым юзерам "везёт" больше, чем, другим. а такого быть не может
Vort скорее всего, нужно комплексную проблему глюков пиртеста разбивать на мелкие части и по кусочкам делать, иначе толку не будет
weko Tunnel creation success rate: 8%
weko Routers: 18106
weko Опять??
Vort Transit Tunnels: 24008
Vort видимо, до этого были тесты
weko У меня лимит
weko Сейчас видно другой способ
weko Спам туннелями
Vort я об этом и говорю - повышенное количество уже неделю как
Vort но было чуть чуть повышенное, а теперь - уже не чуть чуть
weko Вот откуда нагрузка
weko 1000 туннелей за 15 секунд забило
weko SSU2 - 7000 NTCP2 - 3000
Vort у меня SSU2 меньше. странно
Vort NTCP2 ( 3101 ) SSU2 ( 2912 )
Vort может, кластер узлов у тебя в SSU2 найдётся?
weko Нашёл странный баг - коннекшены дублируются
weko Или даже 3 бывают
Vort как проявляется?
weko Может он старый?
weko И на разные порты
weko На разные порты, но роутер и ip одинаковые
Vort кто старый?
Vort ну я видел, что специально так делали - рассказывал же про китайцев
Vort можно же несколько узлов с одним и тем же id запустить
Vort weko: это происходит часто или нет? со всем примерно адресами или только с какими-то определёнными?
tetrimer weko: >Tunnel creation success rate: 8%
tetrimer У меня сегодня на двух линуксовых машинах за файрволом - такие же эффекты: падение tcsr с 60% до 20% буквально за час.
tetrimer Сейчас ткнул на обеих машинах PeerTest - посмотрим...
Vort tetrimer: а дублирование коннектов как у weko есть?
tetrimer А где это смотреть?
Vort tetrimer: на вкладке Transports, раскрыть списки
Vort weko: последние сообщения видел?
tetrimer Ща...
weko Нет
weko Меня ж выкинуло
weko 139.224.* , 139.196.* , 120.55.* - вот тут такого много
weko Да вообще они как то группами
weko В каких то подсетях дохера, в других почти нету
weko Это не единственные
weko При чём часто один из дупликатов - slow
tetrimer Полных строковых дублей - нет, могу повыковыривать только адреса...
Vort weko: это только на SSU2 или и на NTCP2 ?
Vort weko: странные подсети. их у меня в SSU2 нету, только в NTCP2
Vort уже подозрительно
tetrimer У меня в SSU2: IpvT: 139.162.162.238:22517 ⇒ [1177:52]
weko В ntcp2 не вижу дубликатов по IP
weko Если и есть, то мало
tetrimer А в NTCP - 139-й сетки нет
Vort бля. это все подсети Китая
weko Даже это подсети в NTCP2 у меня не дублируются
weko Ну блять китайцы видимо
Vort weko: короч я думаю через тебя идёт вход атаки
Vort а через меня - нет
weko Один из входов
weko Да логично
weko Я говорил уже что это не все роутеры
weko Какие то выбираются
weko 14.29.*
Vort тоже дубли?
Vort это опять Китай. и у меня их почти нету - всего 3 коннекта
Vort weko: сколько примерно из этой подсети коннектов?
weko Дофига
Vort ну примерно. сотня, тыща?
Vort можно в текстовый редактор скопипастить и посмотреть на количество строк :)
weko По сравнению с другими подсетями это много
Vort многовато, но не очень
Vort надо искать, откуда твои 7 тыщ
weko [10:05:22] <Vort> можно в текстовый редактор скопипастить и посмотреть на количество строк :)
weko Я в python .count("\n") написал
Vort то есть, эти 7 тыщ могут состоять как из обычных узлов, так и из атакующих
Vort пока что подозрение на DDoS от китайцев. но всё-таки 55 узлов - это не очень много. это на грани
Vort была бы тысяча - другое дело. тогда было бы явно
weko 55 из этого кластера
Vort количество транзитов, кстати, уменьшается
weko Остальные я не считал
weko И хз сколько кластеров всего
weko Сейчас смотрю
Vort вырубили атаку что ли?
Vort 50 минут атака была похоже
Vort weko: если не сохранил старый список, то сейчас уже можно не смотреть
Vort уже 10 минут атаки нету
weko Ну я не обновлял страницу
Vort сохрани куда-то в текстовый файл
Vort чтобы не потерять. вдруг пригодится
weko 101.200.*
Vort Название провайдера: ALISOFT
weko 112.74.*
weko Vort: тож китайцы?
Vort это не просто китайцы, а одна из самых крупных их компаний. похоже
Vort Aliexpress и т.д.
Vort хотя может и провайдер тоже так называется. не уверен
weko 116.62.*
weko 120.24-26.*
tetrimer У меня, если группировать, вот так примерно получается:
tetrimer 9 23.128
tetrimer 9 65.21
tetrimer 9 82.66
tetrimer 9 93.95
tetrimer 9 95.216
tetrimer 9 95.91
tetrimer 11 146.70
tetrimer 12 107.189
tetrimer 23 23.137
tetrimer Первая колонка - количество повторов, вторая - первые два октета сетки /16.
weko 120.76.*
Vort tetrimer: это данные на момент когда ещё была атака или когда уже прекратилась?
tetrimer Это уже на излете...
Vort атаки 20 минут уже нету
weko 120.76-78.*
tetrimer У меня - минут 15...
Vort weko: всё это ALI
weko Вот походу оттуда
tetrimer 120.79.192.94:9388
tetrimer 120.79.202.26:9956
tetrimer 120.88.121.72:23154
weko Явно не совпадение
Vort надо бы выяснить - то ли эти адреса раздают юзерам, то ли это - собственность компании Alibaba
Vort может они решили филиал aliexpress в i2p открыть? :D
weko Даже если не они источник атаки, это всё равно гавно
weko Разные порты на один роутер
weko Итого несколько коннекшенов к нему
Vort ну этот эффект я и раньше видел
Vort вроде решили не блочить такое. ну или не решили, а по факту
weko 180.106.83.198 - вообще пиздец
weko И несколько близко
Vort а вот это уже не ALI: Название провайдера: CHINANET-JS
weko 6 коннектов, все slow
weko [10:25:01] <Vort> а вот это уже не ALI: Название провайдера: CHINANET-JS
weko Но тут мало разных адресов
weko Просто скинул пиздец совсем
Vort может и баг из-за тормозов китайского интернета
Vort но атака точно была
Vort то есть, может быть баг + атака, а может быть просто атака
weko На разные порты оно
weko Точно не тормоза
Vort weko: а это не U узлы? был ли там [itag: ?
weko У большинства нету, кажется
Vort значит тогда несколько копий i2p запускали с одними и теми же ключами
weko Обновил страницу, 4800 SSU2
Vort weko: может стоит ещё забекапить netdb
Vort вдруг там что-то интересное у них в RI
Vort пока ещё не должно было очиститься - полчаса прошло
Vort флажки надо бы рассмотреть - может, это X узлы допустим. или флудфилы
weko Да не суть. Такое должно профилировщиком банится
weko На недельку минимум
Vort от атаки может понадобиться защита в ближайшее время. на переделку профилировщика может не быть времени
Vort так что чем больше информации сохранено для анализа - тем лучше
Vort удалить всегда можно если будет уже не актуально
tetrimer У меня вот румыны дублем отметились:
tetrimer nwvy: 79.118.91.98:28679 [5377:30805]
tetrimer nwvy: 79.118.91.98:28679 [944:142]
tetrimer caps=XfR;
weko tetrimer: интересно, ведь тут и порт один
orignal Transit Tunnels: 15708
orignal больше но не критично
tetrimer Ну да.
orignal так писал же тут чувак откуда тоннели
tetrimer RI я от него сохранил, если оно кому-то поможет.
orignal придарки с кисолицы сотни тоннелей прописывают
orignal разыне порты на один роутер это значит несколько узлов сидят за натом на одном IP
Vort "<~orignal> так писал же тут чувак откуда тоннели". я тоже писал. ссылку-то передал zzz, которую я просил передать?
Vort ну и найденные свидетельства наплыва китайцев тоже стоит учитывать
orignal какую?
Vort на сообщения Козлова
orignal это да
Vort ок
Vort weko: можешь проверить - ушла ли из списка коннектов основная масса узлов с Ali ?
Vort "<weko> 55 из этого кластера" - сейчас сколько?
orignal а они тут причем?
orignal они же китайским барахлом торгуют
Vort сомневаешься, что атаку организовала Alibaba Group?
Vort это предположение хоть и выглядит фантастическим, но другого пока что нету
orignal а им это зачем?
orignal они же просто торгаши
Vort может заказ государства выполняют
weko Vort: не обязательно организована
weko Мб они просто дают адреса
weko Vort: 0 коннектов с всех этих кластеров
Vort думаешь, могут предоставлять услуги хостинга?
weko NTCP2 тоже
Vort про 0 коннектов понял. значит, точно оттуда атака шла
Vort попорбую получше погуглить про этот диапазон адресов. не уверен, что получится, правда
orignal так а в чем атака если 0 коннектов?
orignal зафлуживание левыми роутерами?
Vort orignal: ну почитай логи ёпт. атака длилась 50 минут
orignal ну это счас профилируется
orignal скажи в одной фразе что было
orignal некогда
Vort был прыжок транзитов до 24к, длилось это 50 минут. скорее всего, атака шла с адресов некоего alisoft
Vort weko смог словить список коннектов в момент атаки. было дофига китайских адресов
Vort после того, как атака ушла, теперь этих адресов нету в списке
weko [14:46:58] <orignal> ну это счас профилируется
weko Нифига оно не профилируется. Должно было сразу таких забанить
orignal да но транзиты откуда взялись?
Vort так реальные роутеры были блин
orignal значит они с кем то соединялись
Vort надо вначале думать, а потом банить
orignal ты сказало 0 коннектов
orignal если реальные никто не будет банить
Vort 0 коннектов _после окончания_ атаки
Vort и это только одна из подсетей
Vort а их было штук 10
orignal а все понял
orignal ну так а в чем атака то я не понял?
orignal ну много транзитов насоздавали. и че?
Vort orignal: не заметил, как тебя из чата выкидывало?
Vort вот как раз в тот момент была атака
orignal ну выкидвает иногда и без атаки
Vort эту волну сеть более-менее выдержала, но фиг его знает что организаторы придумают в будущем
weko [14:51:17] <Vort> надо вначале думать, а потом банить
weko А чего думать? Там на одном адресе (и один роутер) имел разные порты для подключения. Думать не о чем
Vort ну нагенерят они ключей - легче станет что ли?
Vort а несколько узлов на одном IP - это нормально и иногда даже полезно
weko Я о том, что профилирования нет
weko И они реально отключились, а не их забанило
weko Vort: нормально, но нет же ещё системы, чтобы распределять свои туннели на них как на один роутер? Нету.
weko А тут роутер был один и тот же
weko Это факт
weko И их не забанило моментально
weko Тоже факт
weko Вывод - косяк
Vort если такой бан элементарно обходится, то делать его смысла мало - только код усложнять
weko Код усложнится если он изначально криво написан
Vort ну и сейчас есть метод выявления атакующих по этому признаку
weko А в хороший код добавить это - легко
Vort убрать признак - выявлять станет сложнее. а атака останется
weko И сложнее он от этого не станет
weko Vort: дак сейчас они исправят
weko Мы ж уже знаем
Vort такс, похоже, что они переименовались в Alibaba Cloud
Vort weko: можешь сверить айпишники - хотя бы один гарантированно в этом списке есть?
Vort это, наверное, не все адреса. можно будет ещё поискать
` Хах, представил ситацию:
` - *Китайский блохер рассказывает о ш2з и инициирует китайский хаброэффект*
` - Тем временем в ш2зв-илите: "Китайские какеры отокують!11"
Vort они не только резко пришли, но и резко ушли
Vort weko: хотя можешь и не проверять. 99% что это они
Vort вот ещё списочек: bgp.he.net/AS37963#_prefixes
` <weko> Вывод - косяк
` * китайцефф вся netDb
Vort ещё одно их название: Aliyun Computing Co., LTD
` * у китайцефф теперь вся netDb за 50 минут
Vort так что да, таки хостинг. только вот сомневаюсь, что кому попало разрешено там арендовать сервера. скорее всего, это только для китайцев
Vort хотя на сайтике какие-то free trial...
Vort может атакующий набрал free серваков и гадил пока они не "кончились"? :)
Vort в Tor, кстати, ещё одну дырку прикрыли
Vort жаль только в Tor не удалось адреса атакующих словить
Vort они прекратили атаки после выхода прошлой обновы
Vort почитал я ещё немного про Alibaba Cloud - скорее всего, арендовать сервер может кто угодно
Vort вот чтобы сделать сайт в .cn зоне - там уже специальные условия нужны
Vort но для атаки на i2p это не нужно
orignal так я все же не понял в чем суть атаки
orignal ну засрали транзитами
Vort ну да
orignal опять джависты стали промежуточные узлы банить?
orignal я просто не понимаю механизма
` Экспертно утверждаю, что собрали всю netDb.
Vort а я не пойму, в чём сомнения
Vort в том, что это атака?
Vort может, не просто срали, а как-то по особому
Vort хотя, скорее всего, проверяли сеть на прочность
Vort если была бы атака на внутренний сервис, то мне кажется, так быстро они бы не отстали
Vort есть предположение, почему они делали много транспортных коннектов: у них же китайский фаерволл, он скорее всего режет скорость
Vort вот и гнали в несколько потоков
` не скорее всего а режет
` Да, пытались говнокислицу прогрузить в 100500 потокофф. шутка
Vort "<~orignal> опять джависты стали промежуточные узлы банить?" похоже, пока что только атакующие исследуют влияние перегрузок на сеть :)
orignal сомнение в том какой механизм атаки
Vort как именно количество транзитов влияет на сеть - вопрос интересный
orignal в i2pd никак
orignal а вот джависты банят тех от кого много запросов приходит
Vort что значит механизм? как количество туннелей влияет на сеть?
Vort или вопрос в том, делал ли атакующий что либо ещё кроме туннелей?
Vort по поводу влияния транзитов: они жрут трафик. понемножку, но жрут
Vort у кого-то может упираться в лимит физической сети и приводить к потерям пакетов
Vort а потери уже просаживают рейт
orignal так пустые транзиты с чего жрут? только запросы на построение но это ж мизер
Vort orignal: если юзер поставит лимит 2 мегабайта в сек, а его сеть больше 1 мегабайта в сек выдать не может, то congestion cap при перегрузке ведь не выставится?
Vort пинги через туннели вроде ж идут
Vort около 50 килобайт за 10 минут у меня туннель сжирает
Vort пустой
orignal не выставится
Vort возможно стоит думать, как такую ситуацию ловить. такой узел, как я понимаю, будет конкретно тупить и гадить сети
orignal так что он делает еще кроме запросов на простоение тоннелей?
Vort теперь только гадать можно. он может их держать
Vort побольше дестинейшенов сделать, включить узел и всё. сам не проверял, просто предполагаю
Vort по-хорошему, надо мониторить размеры транзитов. тогда можно будет сказать точно - сколько пустых, сколько полных
orignal там может это правда любитель срать на кислицу
orignal сделал несколько сотен тоннелей и срет
Vort точнее, сколько совсем пустых, сколько пустых с пингами и сколько с данными
Vort сотни серверов в Китае арендовать для этих целей?
Vort ну и это же не сотня туннелей. это прыжок количества по всей сети в 2 раза
Vort сколько точно сейчас транзитов по всем узлам не знаю, но явно миллионы
orignal так погоди это один узел срет или сотни?
Vort сотни. weko только из одной подсети насчитал 55 узлов во время атаки. а подсетей было штук 10
orignal и все срали кучей транзитов?
Vort похоже на то. "вход" атаки был у weko, у меня только сами транзиты
Vort кстати. это же значит, что атака была не такая уж простая
Vort просто включенный узел равномерно бы по всей сети гадил, а тут избирательно
Vort то есть, транзиты были по всей сети, а китайские транспортные коннекты - не везде
orignal я думаю построили первые тоннели а дальше уже через них
Vort вот на графиках виден эффект от атаки: ujtui6edpiqofdhuwdwo3trfrjznqgvzcagvofybu666wivwkdqa.b32.i2p/i2pd_stat-day.png
Vort значение Transit speed не прыгало, так что, может, действительно туннели были совсем пустые
orignal интересно дед хотя бы заметил?
Vort да у него вроде были какие-то графики
Vort но как часто он на них смотрит - без понятия
orignal счас почитаю
orignal тишина
Vort посмотрим, что будет дальше
Vort или атакующий решил, что оно не стоит того
Vort или это была тренировка перед полноценной атакой
orignal я просто не понимаю что тут вообще можно сделать
orignal в i2pd транзитный тоннель не потребляет вообще ничего
Vort разве что 16 битный лимит на 32 битный переделать :)
orignal 16 битный лимит чего?
Vort transittunnels
orignal аааа числа транзитных тоннелей
orignal да. стоит