Странный warning в логах tor
Ссылки
[link1] https://www.pgpru.com/comment21737
[link2] https://metrics.torproject.org/exonerator.html?targetaddr=&targetPort=&ip=46.4.103.36×tamp=2012-05-24#relay
[link3] http://dirty.ru/comments/337564
[link4] http://www.webopedia.com/TERM/S/serial_mouse.html
[link5] https://en.wikipedia.org/wiki/Trackball
[link6] https://en.wikipedia.org/wiki/Device_driver
[link7] http://finalfantasi.narod.ru/smeh/mouse.htm
[link8] http://tor.stackexchange.com/questions/598/sorry-you-are-not-using-tor-strange-issue-72-52-91-18-19
[link9] https://en.wikipedia.org/wiki/Multihoming
[link10] http://www.pgpru.com/comment72324
[link11] http://www.pgpru.com/comment71478
[link12] http://www.pgpru.com/comment67744
[link13] https://tor.stackexchange.com/questions/129/should-i-choose-a-new-guard-if-the-network-is-overloaded
[link14] https://trac.torproject.org/projects/tor/ticket/5458
[link15] http://comments.gmane.org/gmane.network.tor.devel/5691
Гость (24/02/2008 02:41[link1] :
Серверы в сети Tor идентифицируются своим долгоживущим identity ключём ($C1D04F2F5E9A0FF9240638BE9805563C03A3D8CB — хэш этого ключа). Символьное имя (PoderosoTorII) существует только для удобства. Этот Warning скорее всего значит что владелец ноды поменял имя своего сервера, а у некоторых DA (или в локальном кэше [?]) осталось старое (на некоторое время). А может быть Мэллори проводит свою атаку :)
Вот что есть у меня в логах :
Спасибо, ygrek, за ответ!
А если без шуток, это возможно? Реальный-то ключ не меняется...
Вероятнее всего владелец сервера поменял просто имя (а потом обратно).
Ну а если была атака, то и на меня тоже — такие же записи в логах. Все мы под колпаком :)
Заметил следующие странности в логах:
tor-0.2.0.35 на *nix-системе. Явных косяков при браузинге не подмечено. Используется в связке с Torbutton. Что могут значит строчки, содержащие такие слова как bug и error? Насколько они фатальны для анонимности? Свидетельствует ли это о каких-то злонамеренных действиях с чьей-либо стороны? Я указал всего несколько bridge'й в конфиге, а он, судя по логам, находит новые bridge'и и включает их в список сам?
То, что Вам следует сообщить об этом в or-talk. Судя по сообщениям, Вы пытаетесь подключиться к hidden-ресурсу, но по какой-то причине не удаётся соединиться с rendezvous-узлом.
Наверное, лучше включить дебаг-уровень логов, и если проблема повторится вновь, выслать лог как багрепорт. Вышеприведённый кусок лога, имхо, малоинформативен для разработчиков.
Встретил такой ворнинг от торбутона (пишется в терминал откуда запущен firefox):
Инет молчит на тему такого ворнинга. Что это могло бы значить, кто-нибудь в курсе?
Это у меня одного сегодня так? Или у dannenberg'а до сих пор "новый год"?
Tor 0.2.1.20
Этож сервак CCC. Наверно откуда-то в куда-то террабайты таскали или генерировали, загудели по такому случаю, да и не заметили как сертификат истек.
Ну а клиент, бедный, знает что истекший == никакой, и двигает скачивать новый, да только на зеркалах всё то-же самое не обновленное, с истекшим сроком годности. И так всё по новой.
В такой ситуации главное, чтобы умные клиенты удовольствие растягивали во времени и не задосили сетку в усмерть, в порыве утоления жажды сертификатной, а пользователи расслабились. Ибо коллективного данненберга уже засыпали коллективными письмами и он уже выписал новый сертификат имени себя.
Гость (15/01/2010 20:30), читаю Ваши сообщения как поэзию. :-)
Объясните как лучше решить задачу:
Конфигурация такова: компьютер-рутер A содинён с инетом через wifi и по езернету с компьютером B.
Дано:
- На A стоит старый Linux 2.6.21.4 (Debian-based-дистр) и нет желания его обновлять.
- На A в силу мудакнотости дистростроителей нет iptables и установить его — высокий риск порушить всю систему, т.е. не вариант.
- На B нет wifi.
- В силу слабой защищённости A, а также из-за кучи проблем с обновлениями всего Debian-подобного, сетевые tor/privoxy на A лучше не запускать.
Нужно: поднять на B соединение через Tor.Раз нет iptables, трансляцию на A нативно (NAT) не сделать. Есть другие способы?
Было испробовано:
Т.е. поднимается локальный socks на B через ssh от B до A (опция -D), на который и цепляются все программы на B (127.0.0.1:8080). Firefox с таким соксом работает наура, tor запускается как
где конфиг proxychains:
и туннель
Конфиг тора:
После этого в логах tor при старте:
Т.е. не понятны причины происхождения 2х ворнингов:
(даже если я не менял системное время) и
Также, не ясно отчего соединение вдруг отваливается (смысл ворнинга ясен, причина — нет).
Трудно сказать, вызваны ли эти ворнинги проблемами в реализации proxychains, нестандартностью ssh socks или какими-то хитрыми бан-штуками самого ISP. Как-никак, но пол часа на старт тора, при том, что браузер напрямую просто летает — ненормально. Из-за закрытости портов оставил только бриджи с 443, но и из тех, судя по логам на A, работают лишь совсем немногие. Пытался отсортировать список бриджей в конфиге так, чтобы заведомо рабочие по netstat (с которыми иногда пишется ESTABLISHED) шли в конфиге первыми, но всё равно работает медленно и глючно. Сейчас добавил массу новых бриджей, теперь их 20 штук — если и сейчас будет работать глючно, не знаю на что и думать.
Ещё есть вариант пропустить весь трафик с B через NAT к удалённому хосту C, где всё работает (firewall, NAT и прочее), но ISP и блокировки на C те же, потому не стал делать (ожидаются жуткие тормоза по сравнению с прямым соединением в tor).
Удалось подцепить tor на A через privoxy на B, указав её tor'у как HTTPS-proxy. Почему оказалось некошерным обычное HTTP — так и осталось не ясным. Теперь работает более-менее стабильно. Спасибо всем откликнувшимся, кто помог.
Заметил, что стал писаться явный IP эксита в логах:
Это ж не очень хорошо: писать в логи конкретные использованные экситы и соответствующие им моменты времени по умолчанию (уровень Log notice). Как Tor-разработчики на такое решились? Или стали исходить из того, что в TB всё равно на диск ничего не пишется, потому нет разницы?
Люди добрые, как это понимать? Разве статистика на check.torproject.org не самая актуальная? Появилось при одном из запусков TorBrowser, ничто не предвещало беды. IP, конечно же, не мой внешний.
Для тех, у кого картинка режется RefContolем: http://rghost.net/38271958/image.png
понимать можно так, нужно закрыть Торбраузер и открыть снова. сетевое соединение прерывалось? соединение напрямую или через сервер или роутер?
Непохоже на то. Напрямую. Но IP-то не мой! Это высветилось сразу же как TorBrowser запустился. Даже если бы были проблемы с соединением, он бы просто тупил или написал, что не может соединиться. Все настройки дефолтные, ничего особо такого не менял. TorBrowser замапллен на прокси, в обход неё он по своей воле не пойдёт.
Обновил ту вкладку спустя некоторое время без каких-либо перезапусков. Теперь пишет, что, что ОК и IP торовский. Подозреваю, что это мог бы быть bad exit, который весь свой внешний трафик сливает через стороннюю прокси (никто ему не запретит сделать редирект на сторонний узел с другим IP).
не факт, были такие случае. сменой личины не лечились.
Ничего не понял. Если "не факт", то что? Я же вижу, что траф заворачивался в тор.
Какой ещё личины? Что за идиотская любовь переводить спецтермины на русский без учёта контекста, сокеты розетками называть, треды — нитками, соксы — носками?
Айпишник исходящего узла вашего соединения зафиксирован в логах торпроджекта[link2] как вполне нормальный. Но аптайм у него на тот момент менялся, возможно сервер несколько раз перезапускали. Причём вы попали в тот момент, когда например соединение построилось по старой статистике и вы оказались (возможно, как один из вариантов) в небольшом временном промежутке расхождения своей локальной статистики и базы торпроджекта. По крайней мере, это не серьёзный баг и скорее всего неопасно, хотя и неприятно.
Иногда можно с перепугу увидеть на этой странице якобы свой айпишник — когда кто-то у того же провайдера запускает свой узел с похожим IP.
Спасибо, unknown. Как раз собирался поглядеть на официальную статистику, но забыл, вы напомнили.
поаккуратнее в выражениях с незнакомыми людьми, вас никто не оскорблял. в разных билдах Торбраузера, официально распространяемых с поддержкой русского языка, кнопка "Use a New Identity" переведена как:
– Сменить личину
– Использовать Новую Личность.
Ну то, что адекватный перевод англоязычной IT-терминологии на русский язык зачастую невозможен в силу отсутствия традиции — медицинский факт, уже давно ставший притчей во языцех. Поначалу была неопределённость, потом большинство переводчиков сошлось во мнении, что использование кальки с английского — наименьшее зло, приводящее к наименьшему непониманию того, о чём идёт речь.
Для того отсталого большинства, которое вообще слабо подковано в IT, но хочет анонимности, разработчики вынуждены делать какой-то перевод. К сожалению, даже крупные коммерческие компании не понимают, что хороший перевод (даже тогда, когда это можно) способен сделать только носитель языка. Именно поэтому так много перлов в русифицированном скайпе, в куче русских интерфейсов изначально англоязычных сайтов и т.д.
Вот финские авиалинии — это серьёзно? Наверняка у них больше ресурсов, чем у TorProject, и что? Выбор пола (альтернатива "мужской" и "женский") перевели[link3] (сейчас уже исправлено) как "человек" и "женщина". Ну, весь рунет поржал, а финским авиалиниям хоть бы хны.
Короче, официально распространяемые билды — это, конечно, мощно, хотя у меня никогда даже в голову не приходило скачивать неанглоязычную версию (хотя бы даже потому, что английский на данный момент — естественный язык интерфейса, не говоря уже о потенциальном вреде для анонимности).
Молния два раза в одно дерево ударяет? Буквально пару минут назад запустил TB и снова получил ситуацию, идентичную вышеописанной, всё с тем же 46.4.103.36. Потом вышел полностью из видалии, запустил снова, и теперь всё стало ОК.
а вы попробуйте для интереса русскую версию (тем более установка – это громко сказано) и увидите что не все так запущено, в последних версиях разработчики позаботились об анонимности в локализованных версиях. при первом запуске вы увидете.
я ж вам писал, что это самое простое и быстрое решение. у меня такие чудеса в вирт машине, когда снимаешь с паузы (редко но бывает).
А у меня без каких-либо виртуальных машин.
Перевод генерируют носители языка, через специальный портал, для всех продуктов проекта имеющих интерфейс пользователя. Существующие переводы не продукт машины или самих разработчиков.
Ну да "личина", видать такие носители. Хорошо когда дословный перевод по словарю, не литературный зато точный. У других носителей, к примеру, dedicated переводится как "одержимый". Графоманы-переводчики.
"Личина" — это прям опечатка по фрейду. Да, перевод точен, но коннотация получается слишком смешной. "Новая личность" — уже лучше, но коннотация в духе боевиков со "сменой личности". Имхо, правильнее было бы перевести стандартно, как "профиль".
Странно, откуда такое берётся. Одержимый — possessed.
Очень хорошо: [Сапог — boot, полено — log. Взято отсюда[link7]. Что такое "расклад карт", так и не понял.]
Это пример машинного перевода, причем с неправильным словарём.
ПыСы: Протокольный это ты!? Это точно ты, протокол-кун!?
Так недалеко и до дурки.
хе-хе, это что... а как перевели серваки России – "Русь"
подозреваю что локализатор русской видалии – хронический поциент-поцреот из какого-нибудь "северного братства"
а New Identify щас и прямь поудачнее – Новая личность, а то пародия какая то – отложить Личину :падсталом
Большой
лысыйбрат их напугал, тут не только личинка, амёбная дизентерия будет :)Откладывают личинки. А личина — это скорее что-то в духе "пришёл волк в личине овцы". В славняском языке такой оборот часто использовался, типа "что скрывается под личиной того-то".
Может оно иногда и смешно, но зато наводит на размышления! А "калька" это не только бездумный перевод, но и последующее бездумное использование...
Снова то же самое «Sorry. You are not using Tor», но теперь с 199.48.147.45. Страница http://leader.ru/secure/who.html пишет, что это tor-exit-router45-readme.formlessnetworking.net. Эх...
Последние дни уже не первый раз при некоторых запусках TBB замечаю в логах видалии (type "warning"):
в багтрекере 10 тикетов, и у меня такое
Та же проблема, но с 72.52.91.19[link8]. По всей видимости, bad exit, который перенаправляет траф на посторонний IP.
Почему сразу bad? Есть более простые объяснения[link9].
Объяснения того, что такое распараллеливание нагрузки может понадобиться только на высоконагруженных экситах, принадлежащих АНБ? :)
И снова она. Интересно, что бы про такие экситы сказал Tor-проект.
Есть проекты, которые создают высоконагруженные exit-серверы (Torservers.net). Одно время владелец bluetmagie, админ немецкого телекома, пропускал со своего эксита до четверти всего исходящего трафика Tor. Кто-то пропускает трафик со своих экситов через VPN, криво его настроив и др.
Но выпускать трафик не с того IP, с которого принимаешь, — IMHO, напрушение стандарта/протокола. Кроме того, если это считать нормальным положением вещей, каждый может влёгкую перенаправлять трафик на третью сторону для дальнейшей обработки (запрет смены IP не запрещает этого делать, но всё же усложняет такую атаку). Я потому и говорю, что интересно, что бы сказал официальный Tor Project.
Это не очень распространённая, но достаточно стандартная практика. Tor-чекер, к примеру, раньше не умел распознавать такие ситуации, и выдавал ложное срабатывание, что пользователь зашёл не через Tor (не знаю, исправили ли эту проблему). Сам подобный режим неоднократно рассматривался в or-talk (в основном именно в свете проблем с чекером), и tor-девелоперы ничего предосудительного в нём не находили.
Спасибо, понятно.
Раз https://check.torproject.org ругается до сих пор (а это то, что я регулярно вижу), значит, не исправили.
Или это был не админ немецкого телекома, а BKA+NSA, а версия о души чистой порывах какго-то админа телекома была просто прикрытием.
И фингерпринтинг шифрованного трафика: каждый раз при смене личины все соединения закрываются и скачивается фиксированный объём данных с конкретным профилем. Это может позволять ISP видеть, когда его Tor-клиенты сбрасывают личину.
Обнаружил разрыв одного из соединений запущенных программ, при этом было сообщение в логах Tor:
Почитал это[link13], это[link14] и это[link15].
Стоит ли сушить сухари, и, если да, то сколько?Скорее всего, это значит ровно то, что и написано: Guard просто не справляется с нагрузкой. А уж делает он это злонамеренно или случайно, сказать сложно. Может Guard как раз нормальный, а кто-то на линии пытается имитировать плохую работу с ним, пытаясь частично разорвать ваши с ним соединения, чтобы вы с некоторой вероятностью выбрали более подконтрольный.
Разновидность утечки: веб-сервер ставит ссылку на страницу с информативным malformed hostname. Tor ругается на адрес и пишет его в логах, а логи надолго оседают в /var. Вообще, tor в логах пишет много лишнего о сетевой активности юзера.
Участились предупреждения в логах:
Количество секунд часто круглое (минута-две), что наводит на мысль о целенаправленной атаке.
Стало появляться предупреждение в логах:
Некоторые HS усиленно пасут или блочат на уровне самого протокола Tor?