#dev (ilita) | Обсуждение разработки I2Pd | i2pd development discussion | http://i2pd.website/

Most2 06.<mittwerk> я как всегда нихуя не получил ответа на вопрос с тестами

mittwerk у меня психи

mittwerk или похуй)

mittwerk ой не туда

orignal а что с ними?

orignal думаешь кто то помнит что там?

Most2 06.<mittwerk> нихуя не работают)

orignal я помню там несколько криптограмфий был

Most2 06.<mittwerk> они виснут постоянно а их результаты сомнительны

Most2 06.<mittwerk> а, то есть эт рудимент?

orignal угу

orignal кто что там делал я не знаю

Most2 06.<mittwerk> а я думал чет важное) надо бы нормальные сделать и бенчмарки еще подогнать

orignal вот криптография должна работать

Most2 06.<mittwerk> я уж думал что делаю что-то не так)

Most2 06.<mittwerk> а как вы проверяете работу ш2з?

orignal <orignal> методом хуяк хуяк и в продакшен

flumental А в какой момент генерируются приватные ключи у i2pd ноды? При установке пакета или при запуске сервиса? Я тут думаю хранить преднастроенную ноду в docker container registry

Most2 06.<mittwerk> 👽️

` То есть Нытик хочет срать временными идентификаторами ровутэра.

` Давайте дружно ему в этому поможем ¯⁠\⁠_⁠(⁠ツ⁠)⁠_⁠/⁠¯

Vort в дополнение вот вижу в чате кучу сообщений NETSPLIT. это атакующий что-то сломал или оно само?

Most2 06.<mittwerk> https://mikegerwitz.com/about/githubbub

Most2 06.<mittwerk> запомните твари

Most2 06.<mittwerk> https://geti2p.net/ru/docs/protocol/i2np

Most2 06.<mittwerk> о ну это многое проясняет

weko orignal: ну получается что нельзя челу с SNAT достучаться до такого же, но например если NAT обычный (а тем более если есть IP) у алисы или боба то можно. Вывод - ставить G не надо

weko ну тоесть до SNAT не достучаться но можно чтобы интродьюсер сказал нам кто хочет к нам и мы подключимся сами

weko когда подключимся получим подтверждение что реально запрашивалось подключение, чтобы проверить что интродьюсер не пиздит

tetrimer Это-ж потенциальный вектор атаки.

weko ну какой

tetrimer Вопрос доверия интродьюсеру. Иначе можно устроить массовый ддос.

weko так я сказал что проверяем

weko ожидаем сообщения от того кто запросил что и правда запросил

weko другой вопрос что он может запросить, а подтверждение не отправить, то есть забанить нам нормальный интрольюсер

tetrimer Ну, этим будут джавовские узлы заниматься...

weko tetrimer: или атакующий

tetrimer Опять возвращаемся к вопросу, что нужен некий ретинг, по достижении которого мы начинаем доверять тому или иному узлу. И вот тогда использовать продвинутые механизмы.

weko это я уже тоже говорил

weko давно

weko о я придумал

weko всё просто

weko боб шлёт интродьюсеру подтверждение, а он пересылает его нам. в итоге никто точно не сможет наебать нас

weko ну в плане подтверждение подписанное бобом

weko и возможно даже RI нам пресылает

tetrimer Ну, хоть какая-то защита.

weko всм хоть какая то

weko нормальная

weko итого только коннект SNAT-SNAT будут невозможны

Vort если про 1% правда, то 1%*1% будет 0.01%

orignal netsplit я думаю у R4SAS -а что то лагает

orignal weko так а откуда боб узнает порт чарли с которым пакет пойдет к алисе?

weko orignal: не понял

orignal SNAT-NAT тоже невозможны

orignal боб отвечает алисе IP и портом чарли

weko <orignal> SNAT-NAT тоже невозможны

weko можно сделать, не знаю реализовано ли

orignal который ему присылает чарли

orignal но если он SNAT он не знает какой там для алисы

weko боб интродьюсер?

orignal да

weko а чарли инициатор?

orignal чарли это тот кто не публикует IP

orignal а алиса кто пытается к нему подключиться

weko понял

weko ну вот например у алисы SNAT а у чарли SNAT

weko ой

weko у чарли NAT

orignal ну значит так

weko тогда алиса делает запрос к интродьюсеру чарли, с подписанным подтверждением что хочет подключиться к чарли, боб переселыет его чарли по установленному соединению, далее чарли сам создаёт соеднение к алисе (инициатор всё так же алиса)

orignal алиса посылает свой IP/порт

orignal чарли его посылает

orignal *получает

orignal и посылает туда HolePunch

orignal естественно он уйдет не туда куда надо

tetrimer Сессия NAT-а будет с тем-же src IP:port, что и к интродьюсеру?

orignal в случае с SNAT нихуя

weko ну snat - nat можно сделать просто запарно

orignal алиса по уму должна посылать порт который для чарли но она его не знает

weko у алисы же nat значит знает

orignal у нее snat она знает свой порт как ей прислал боб

orignal какой порт должен быть для чарли она без понятия

weko orignal: у чарли snat

weko блять

orignal <weko> у чарли NAT

weko тогда наоборот

orignal если у чарли snat то алиса будет долбаться на порт чарли который ей прислал боб

weko короче к SNAT можно подключиться если они сами будут инициаторами соедениния (но не транспорта)

weko orignal: так пусть чарли подключается

orignal тут ты прав тут можно починить если смотреть реальный порт с которого пришел holepunch

orignal так не делается

weko так можно делать

orignal всегда сессию инициирует алиса

weko ну вот а можно сделать поддержку подключения к snat таким образом

orignal с hole punch надо подумать не вектор ли эта атаки

orignal если ендопойт не соваадает с тем что пришло в подписанном сообщении

orignal ну этот вариант можно

orignal но другие нельзя

weko боб говорит чарли port если NAT у алисы или просто RI алисы если есть static IP

orignal если алиса сама SNAT то не может соединиться с другиими NAT

weko ну и передаёт подтвеждение от алисы

weko orignal: с NAT сможет а с SNAT не сможет

orignal именно так

orignal ну вот и нахуя такое в тоннеле

weko так у них может быть нормальная скорость

weko но конечно надо штрафы за роуетры на одном адресе

weko как и за подсети

weko другое дело понятно что обычно U какое то говно, но профилирование то нормальные отберёт

orignal понимаешь какое дело

orignal профилирование узнает о соседе

orignal но как об этом узнает строитель тоннеля?

weko статистикой

weko уже говорил не раз

weko если в говно туннелях чаще попадаются конкретные роутеры, делаем выводы

weko ну реализации не так конечно но в общем суть ясно

weko реализацию можно сделать например баллы у каждого роутера

weko далее выбираем сколько то процентов лучших роутеров и используем

Vort так что по-поводу атаки - есть ли у кого-то идеи, в чём суть изменения её характера?

Vort по моим ощущениям, всплески стали меньше по амплитуде, но длиннее

Vort также посмотрел по коннектам - жирных транзитов уже не вижу

Vort может, теперь вместо маленького количества жирных большое количество мелких?

orignal мое ощещние что вышибают X роутеры без лимитов

orignal если много мелких то будет неэаафективно потому что лимиты будут работать правильно