IRCaBot 2.1.0
GPLv3 © acetone, 2021-2022
#dev
/2024/10/30
~AreEnn
~R4SAS
~acetone
~orignal
~villain
&N00B
+relaybot
DUHOVKIN_
Guest7184
Most2
Nausicaa
Nikat
Ruskoye_911
Vort
Xeha
anon3
b3t4f4c3
fidoid
karamba_i2p
nemiga
not_bob_afk
onon
plap
poriori
profetikla
qend
segfault
soos
teeth
tetrimer_
uis
un
unlike
user
vade
weko
whothefuckami
Most2 06.<mittwerk> я как всегда нихуя не получил ответа на вопрос с тестами
mittwerk у меня психи
mittwerk или похуй)
mittwerk ой не туда
orignal а что с ними?
orignal думаешь кто то помнит что там?
Most2 06.<mittwerk> нихуя не работают)
orignal я помню там несколько криптограмфий был
Most2 06.<mittwerk> они виснут постоянно а их результаты сомнительны
Most2 06.<mittwerk> а, то есть эт рудимент?
orignal угу
orignal кто что там делал я не знаю
Most2 06.<mittwerk> а я думал чет важное) надо бы нормальные сделать и бенчмарки еще подогнать
orignal вот криптография должна работать
Most2 06.<mittwerk> я уж думал что делаю что-то не так)
Most2 06.<mittwerk> а как вы проверяете работу ш2з?
orignal <orignal> методом хуяк хуяк и в продакшен
flumental А в какой момент генерируются приватные ключи у i2pd ноды? При установке пакета или при запуске сервиса? Я тут думаю хранить преднастроенную ноду в docker container registry
Most2 06.<mittwerk> 👽️
` То есть Нытик хочет срать временными идентификаторами ровутэра.
` Давайте дружно ему в этому поможем ¯⁠\⁠_⁠(⁠ツ⁠)⁠_⁠/⁠¯
Vort в дополнение вот вижу в чате кучу сообщений NETSPLIT. это атакующий что-то сломал или оно само?
Most2 06.<mittwerk> https://mikegerwitz.com/about/githubbub
Most2 06.<mittwerk> запомните твари
Most2 06.<mittwerk> https://geti2p.net/ru/docs/protocol/i2np
Most2 06.<mittwerk> о ну это многое проясняет
weko orignal: ну получается что нельзя челу с SNAT достучаться до такого же, но например если NAT обычный (а тем более если есть IP) у алисы или боба то можно. Вывод - ставить G не надо
weko ну тоесть до SNAT не достучаться но можно чтобы интродьюсер сказал нам кто хочет к нам и мы подключимся сами
weko когда подключимся получим подтверждение что реально запрашивалось подключение, чтобы проверить что интродьюсер не пиздит
tetrimer Это-ж потенциальный вектор атаки.
weko ну какой
tetrimer Вопрос доверия интродьюсеру. Иначе можно устроить массовый ддос.
weko так я сказал что проверяем
weko ожидаем сообщения от того кто запросил что и правда запросил
weko другой вопрос что он может запросить, а подтверждение не отправить, то есть забанить нам нормальный интрольюсер
tetrimer Ну, этим будут джавовские узлы заниматься...
weko tetrimer: или атакующий
tetrimer Опять возвращаемся к вопросу, что нужен некий ретинг, по достижении которого мы начинаем доверять тому или иному узлу. И вот тогда использовать продвинутые механизмы.
weko это я уже тоже говорил
weko давно
weko о я придумал
weko всё просто
weko боб шлёт интродьюсеру подтверждение, а он пересылает его нам. в итоге никто точно не сможет наебать нас
weko ну в плане подтверждение подписанное бобом
weko и возможно даже RI нам пресылает
tetrimer Ну, хоть какая-то защита.
weko всм хоть какая то
weko нормальная
weko итого только коннект SNAT-SNAT будут невозможны
Vort если про 1% правда, то 1%*1% будет 0.01%
orignal netsplit я думаю у R4SAS -а что то лагает
orignal weko так а откуда боб узнает порт чарли с которым пакет пойдет к алисе?
weko orignal: не понял
orignal SNAT-NAT тоже невозможны
orignal боб отвечает алисе IP и портом чарли
weko <orignal> SNAT-NAT тоже невозможны
weko можно сделать, не знаю реализовано ли
orignal который ему присылает чарли
orignal но если он SNAT он не знает какой там для алисы
weko боб интродьюсер?
weko а чарли инициатор?
orignal чарли это тот кто не публикует IP
orignal а алиса кто пытается к нему подключиться
weko понял
weko ну вот например у алисы SNAT а у чарли SNAT
weko ой
weko у чарли NAT
orignal ну значит так
weko тогда алиса делает запрос к интродьюсеру чарли, с подписанным подтверждением что хочет подключиться к чарли, боб переселыет его чарли по установленному соединению, далее чарли сам создаёт соеднение к алисе (инициатор всё так же алиса)
orignal алиса посылает свой IP/порт
orignal чарли его посылает
orignal *получает
orignal и посылает туда HolePunch
orignal естественно он уйдет не туда куда надо
tetrimer Сессия NAT-а будет с тем-же src IP:port, что и к интродьюсеру?
orignal в случае с SNAT нихуя
weko ну snat - nat можно сделать просто запарно
orignal алиса по уму должна посылать порт который для чарли но она его не знает
weko у алисы же nat значит знает
orignal у нее snat она знает свой порт как ей прислал боб
orignal какой порт должен быть для чарли она без понятия
weko orignal: у чарли snat
weko блять
orignal <weko> у чарли NAT
weko тогда наоборот
orignal если у чарли snat то алиса будет долбаться на порт чарли который ей прислал боб
weko короче к SNAT можно подключиться если они сами будут инициаторами соедениния (но не транспорта)
weko orignal: так пусть чарли подключается
orignal тут ты прав тут можно починить если смотреть реальный порт с которого пришел holepunch
orignal так не делается
weko так можно делать
orignal всегда сессию инициирует алиса
weko ну вот а можно сделать поддержку подключения к snat таким образом
orignal с hole punch надо подумать не вектор ли эта атаки
orignal если ендопойт не соваадает с тем что пришло в подписанном сообщении
orignal ну этот вариант можно
orignal но другие нельзя
weko боб говорит чарли port если NAT у алисы или просто RI алисы если есть static IP
orignal если алиса сама SNAT то не может соединиться с другиими NAT
weko ну и передаёт подтвеждение от алисы
weko orignal: с NAT сможет а с SNAT не сможет
orignal именно так
orignal ну вот и нахуя такое в тоннеле
weko так у них может быть нормальная скорость
weko но конечно надо штрафы за роуетры на одном адресе
weko как и за подсети
weko другое дело понятно что обычно U какое то говно, но профилирование то нормальные отберёт
orignal понимаешь какое дело
orignal профилирование узнает о соседе
orignal но как об этом узнает строитель тоннеля?
weko статистикой
weko уже говорил не раз
weko если в говно туннелях чаще попадаются конкретные роутеры, делаем выводы
weko ну реализации не так конечно но в общем суть ясно
weko реализацию можно сделать например баллы у каждого роутера
weko далее выбираем сколько то процентов лучших роутеров и используем
Vort так что по-поводу атаки - есть ли у кого-то идеи, в чём суть изменения её характера?
Vort по моим ощущениям, всплески стали меньше по амплитуде, но длиннее
Vort также посмотрел по коннектам - жирных транзитов уже не вижу
Vort может, теперь вместо маленького количества жирных большое количество мелких?
orignal мое ощещние что вышибают X роутеры без лимитов
orignal если много мелких то будет неэаафективно потому что лимиты будут работать правильно