~AreEnn
~R4SAS
~acetone
~orignal
~villain
&N00B
+relaybot
DUHOVKIN_
Guest7184
Most2
Nausicaa
Nikat
Ruskoye_911
Vort
Xeha
anon3
b3t4f4c3
fidoid
karamba_i2p
nemiga
not_bob_afk
onon
plap
poriori
profetikla
qend
segfault
soos
teeth
tetrimer_
uis
un
unlike
user
vade
weko
whothefuckami
Most2
06.<mittwerk> я как всегда нихуя не получил ответа на вопрос с тестами
mittwerk
у меня психи
mittwerk
или похуй)
mittwerk
ой не туда
orignal
а что с ними?
orignal
думаешь кто то помнит что там?
Most2
06.<mittwerk> нихуя не работают)
orignal
я помню там несколько криптограмфий был
Most2
06.<mittwerk> они виснут постоянно а их результаты сомнительны
Most2
06.<mittwerk> а, то есть эт рудимент?
orignal
угу
orignal
кто что там делал я не знаю
Most2
06.<mittwerk> а я думал чет важное) надо бы нормальные сделать и бенчмарки еще подогнать
orignal
вот криптография должна работать
Most2
06.<mittwerk> я уж думал что делаю что-то не так)
Most2
06.<mittwerk> а как вы проверяете работу ш2з?
orignal
<orignal> методом хуяк хуяк и в продакшен
flumental
А в какой момент генерируются приватные ключи у i2pd ноды? При установке пакета или при запуске сервиса? Я тут думаю хранить преднастроенную ноду в docker container registry
Most2
06.<mittwerk> 👽️
`
То есть Нытик хочет срать временными идентификаторами ровутэра.
`
Давайте дружно ему в этому поможем ¯\_(ツ)_/¯
Vort
в дополнение вот вижу в чате кучу сообщений NETSPLIT. это атакующий что-то сломал или оно само?
Most2
06.<mittwerk> https://mikegerwitz.com/about/githubbub
Most2
06.<mittwerk> запомните твари
Most2
06.<mittwerk> https://geti2p.net/ru/docs/protocol/i2np
Most2
06.<mittwerk> о ну это многое проясняет
weko
orignal: ну получается что нельзя челу с SNAT достучаться до такого же, но например если NAT обычный (а тем более если есть IP) у алисы или боба то можно. Вывод - ставить G не надо
weko
ну тоесть до SNAT не достучаться но можно чтобы интродьюсер сказал нам кто хочет к нам и мы подключимся сами
weko
когда подключимся получим подтверждение что реально запрашивалось подключение, чтобы проверить что интродьюсер не пиздит
tetrimer
Это-ж потенциальный вектор атаки.
weko
ну какой
tetrimer
Вопрос доверия интродьюсеру. Иначе можно устроить массовый ддос.
weko
так я сказал что проверяем
weko
ожидаем сообщения от того кто запросил что и правда запросил
weko
другой вопрос что он может запросить, а подтверждение не отправить, то есть забанить нам нормальный интрольюсер
tetrimer
Ну, этим будут джавовские узлы заниматься...
weko
tetrimer: или атакующий
tetrimer
Опять возвращаемся к вопросу, что нужен некий ретинг, по достижении которого мы начинаем доверять тому или иному узлу. И вот тогда использовать продвинутые механизмы.
weko
это я уже тоже говорил
weko
давно
weko
о я придумал
weko
всё просто
weko
боб шлёт интродьюсеру подтверждение, а он пересылает его нам. в итоге никто точно не сможет наебать нас
weko
ну в плане подтверждение подписанное бобом
weko
и возможно даже RI нам пресылает
tetrimer
Ну, хоть какая-то защита.
weko
всм хоть какая то
weko
нормальная
weko
итого только коннект SNAT-SNAT будут невозможны
Vort
если про 1% правда, то 1%*1% будет 0.01%
orignal
netsplit я думаю у R4SAS -а что то лагает
orignal
weko так а откуда боб узнает порт чарли с которым пакет пойдет к алисе?
weko
orignal: не понял
orignal
SNAT-NAT тоже невозможны
orignal
боб отвечает алисе IP и портом чарли
weko
<orignal> SNAT-NAT тоже невозможны
weko
можно сделать, не знаю реализовано ли
orignal
который ему присылает чарли
orignal
но если он SNAT он не знает какой там для алисы
weko
боб интродьюсер?
orignal
да
weko
а чарли инициатор?
orignal
чарли это тот кто не публикует IP
orignal
а алиса кто пытается к нему подключиться
weko
понял
weko
ну вот например у алисы SNAT а у чарли SNAT
weko
ой
weko
у чарли NAT
orignal
ну значит так
weko
тогда алиса делает запрос к интродьюсеру чарли, с подписанным подтверждением что хочет подключиться к чарли, боб переселыет его чарли по установленному соединению, далее чарли сам создаёт соеднение к алисе (инициатор всё так же алиса)
orignal
алиса посылает свой IP/порт
orignal
чарли его посылает
orignal
*получает
orignal
и посылает туда HolePunch
orignal
естественно он уйдет не туда куда надо
tetrimer
Сессия NAT-а будет с тем-же src IP:port, что и к интродьюсеру?
orignal
в случае с SNAT нихуя
weko
ну snat - nat можно сделать просто запарно
orignal
алиса по уму должна посылать порт который для чарли но она его не знает
weko
у алисы же nat значит знает
orignal
у нее snat она знает свой порт как ей прислал боб
orignal
какой порт должен быть для чарли она без понятия
weko
orignal: у чарли snat
weko
блять
orignal
<weko> у чарли NAT
weko
тогда наоборот
orignal
если у чарли snat то алиса будет долбаться на порт чарли который ей прислал боб
weko
короче к SNAT можно подключиться если они сами будут инициаторами соедениния (но не транспорта)
weko
orignal: так пусть чарли подключается
orignal
тут ты прав тут можно починить если смотреть реальный порт с которого пришел holepunch
orignal
так не делается
weko
так можно делать
orignal
всегда сессию инициирует алиса
weko
ну вот а можно сделать поддержку подключения к snat таким образом
orignal
с hole punch надо подумать не вектор ли эта атаки
orignal
если ендопойт не соваадает с тем что пришло в подписанном сообщении
orignal
ну этот вариант можно
orignal
но другие нельзя
weko
боб говорит чарли port если NAT у алисы или просто RI алисы если есть static IP
orignal
если алиса сама SNAT то не может соединиться с другиими NAT
weko
ну и передаёт подтвеждение от алисы
weko
orignal: с NAT сможет а с SNAT не сможет
orignal
именно так
orignal
ну вот и нахуя такое в тоннеле
weko
так у них может быть нормальная скорость
weko
но конечно надо штрафы за роуетры на одном адресе
weko
как и за подсети
weko
другое дело понятно что обычно U какое то говно, но профилирование то нормальные отберёт
orignal
понимаешь какое дело
orignal
профилирование узнает о соседе
orignal
но как об этом узнает строитель тоннеля?
weko
статистикой
weko
уже говорил не раз
weko
если в говно туннелях чаще попадаются конкретные роутеры, делаем выводы
weko
ну реализации не так конечно но в общем суть ясно
weko
реализацию можно сделать например баллы у каждого роутера
weko
далее выбираем сколько то процентов лучших роутеров и используем
Vort
так что по-поводу атаки - есть ли у кого-то идеи, в чём суть изменения её характера?
Vort
по моим ощущениям, всплески стали меньше по амплитуде, но длиннее
Vort
также посмотрел по коннектам - жирных транзитов уже не вижу
Vort
может, теперь вместо маленького количества жирных большое количество мелких?
orignal
мое ощещние что вышибают X роутеры без лимитов
orignal
если много мелких то будет неэаафективно потому что лимиты будут работать правильно