Comments 65
Согласно топику habrahabr.ru/post/183474/ можно попробовать построить свою Hyperboria Mesh сеть в России.
Собственно где мануал как это сделать и HCL?
Предлагаю просто писать город / район желающих организовать сеть в России если таким образом будет понятно где можно организовать сеть, можно было бы начать с Москвы.
Инструкция по созданию сети варьируется в зависимости от железа, если будет инициативная группа, то можно выбрать железо и начать творить
Общая инструкция для OpenWRT есть тут github.com/cjdelisle/cjdns-openwrt
Вот реально работающая сеть в Сиэтле www.seattlemesh.net/ на Ubiquiti Nanostation
Инструкция по созданию сети варьируется в зависимости от железа, если будет инициативная группа, то можно выбрать железо и начать творить
Общая инструкция для OpenWRT есть тут github.com/cjdelisle/cjdns-openwrt
Вот реально работающая сеть в Сиэтле www.seattlemesh.net/ на Ubiquiti Nanostation
И еще: CJDNS работает на 2 уровне OSI при создании Mesh сетей
Про начать с МСК идея здравая, линки же как я понимаю могут быть не только по 802.11 но и через Интернет?
Было-бы лучше огранизовать какой-либо веб-ресурс для этого.
Мне это видится так: гуглокарта, в которой за каждым городом закреплена ссылка на тему на форуме, где можно найти информацию о нодах. Или ещё лучше: информация о нодах закреплена в информаци о городе, а информация добавляется после проверки модераторами.
Мне это видится так: гуглокарта, в которой за каждым городом закреплена ссылка на тему на форуме, где можно найти информацию о нодах. Или ещё лучше: информация о нодах закреплена в информаци о городе, а информация добавляется после проверки модераторами.
Имхо, затея с приватным диапазоном — бред. Что мешало запросить диапазон нормальный?
Почему?
Ответ неверный. Если бы хамачевский диапазон был реально зарегистрирован на хамачей, проблемы бы не было. Точно так же можно зарегистрировать сеть
/32
, например, которой хватит достаточно надолго, причём получить вполне реальные адреса в результате и не иметь проблем с другими приватными сетями, заметьте.совершенно не бред, количество адресов — огромное, адресация — прозрачная и отсутствие конфликтов
Отнюдь. Конфликты будут с другими приватными сетями. В этом и парадокс приватных сетей — они провоцируют на конфликты, хотя их пользователи используют их, чтобы конфликтов избежать.
С обычными приватными? Или с чем?
С точно такими же другими приватными. Потому что кто-то обязательно заиспользует такой же диапазон.
Диапазон Hamachi больше никто не использует кроме привычного ipv4 т.е глупо делать систему которая изначально конфликтует с существующей.
Ммм? Я вроде не говорил ничего о Hamachi. Но вообще, именно так, Hyperboria уже конфликтует, потому что она использует диапазон, который может использовать кто угодно для каких угодно целей, но не для таких целей, которые Hyperboria преследует.
Вы верите что домашние сети будут построены на основе ipv6 private ip?
Сначала пусть глобальная сеть то на них перейдет…
Сначала пусть глобальная сеть то на них перейдет…
Я надеюсь, что нет, потому что иначе нас всех ждут серьёзные проблемы. Тем не менее, это ещё один довод не использовать приватные адреса.
Не могу найти — а какой конкретно префикс они себе захапали?
fc2c::/что-то
, судя по всемуСпасибо, Кэп!
А конкретнее?
А конкретнее?
Ну а какая разница-то? Суть ведь не меняется. Приду я в локалку, в которой внезапно приватный диапазон используется, например, под NAT64, и не смогу к нему получить доступ.
Собственно, шансы словить такое зависят от длины маски. Все-таки если они взяли /9 (после TTL 0 и нулевых портов для общения между соседями я не удивлюсь), это намного печальнее, чем /48 c очень рандомной комбинацией цифр в первых 48-и битах.
Да и не будет unique local так популярен, как сейчас популярны адреса из RFC1918. Смысла нет.
Да и не будет unique local так популярен, как сейчас популярны адреса из RFC1918. Смысла нет.
Хм. 1329227995784915872903807060280344576 = 2^120. Они реально взяли себе fc00::/8. Ну хоть не /7, и на том спасибо, блин…
ключь
ну блиииин
4) Ваш IPv6 адрес невозможно сопоставить с реальным
Почему так получается? Разве нельзя сопоставить событие отправки пакета внутри сети и событие отправки пакета, в котором будет содержаться пакет Hyperboria, пусть даже в зашифрованном виде?
Hyperboria постоянно общается через DHT с другими пирами, если к вам подключены еще пиры то узнать что и куда ходит довольно проблематично, но быть может и реально.
Имелось ввиду что имея на руках ваш v6 адрес его нельзя конвертировать в обычный.
Хотя опять же, из-за большого шума в сети и потока трафика маловероятно что можно идентифицировать даже сидя со снифером
Имелось ввиду что имея на руках ваш v6 адрес его нельзя конвертировать в обычный.
Хотя опять же, из-за большого шума в сети и потока трафика маловероятно что можно идентифицировать даже сидя со снифером
Мне вот интересно, если в сети N узлов и между ними как-нибудь равномерно ходят пакеты с суммарной скоростью M pps, то сколько нужно вбросить в сеть пакетов до заданного хоста, чтобы узнать его физическое положение, наблюдая за всей сетью. Ведь здесь можно использовать разные средства: размер пакетов, тайминги между ними, время задержки между отправкой и приёмом (оно ведь небольшое должно быть, да?).
Если используется не mesh, т.е. оверлейный доступ через инет.
Простому хакеру Васе может быть и нет. Но, если мы говорим про спец. службы ну или любого другого человека\организации имеющего доступ к большим точкам обмена трафиком, то ситуация такая же как с тором (http://habrahabr.ru/post/182704/ см синих человечков с надписью NSA).
Если про mesh, то я уже писал — отслеживаем пакеты по адресам (они то не могу быть зашифрованы, в отличие от содержимого) последовательно «потусив» с пеленгатором в радиусе нескольких метров от каждой точки. Получаем даже не IP адрес, а физическое расположение пользователя.
Задайте все-таки авторам прямой вопрос, пожалуйста, без Ваших домыслов: в случае уровня доступа спец. служб типа АНБ, ФБР или Интерпола сеть остается анонимной или нет?
Вы сами в начале писали, что сеть не анонимная, потом в каждом посте пытаетесь убедить в обратном.
Простому хакеру Васе может быть и нет. Но, если мы говорим про спец. службы ну или любого другого человека\организации имеющего доступ к большим точкам обмена трафиком, то ситуация такая же как с тором (http://habrahabr.ru/post/182704/ см синих человечков с надписью NSA).
Если про mesh, то я уже писал — отслеживаем пакеты по адресам (они то не могу быть зашифрованы, в отличие от содержимого) последовательно «потусив» с пеленгатором в радиусе нескольких метров от каждой точки. Получаем даже не IP адрес, а физическое расположение пользователя.
Задайте все-таки авторам прямой вопрос, пожалуйста, без Ваших домыслов: в случае уровня доступа спец. служб типа АНБ, ФБР или Интерпола сеть остается анонимной или нет?
Вы сами в начале писали, что сеть не анонимная, потом в каждом посте пытаетесь убедить в обратном.
Два глупых вопроса:
1) Увидел слово OpenWRT. У меня стоит DD-WRT, причём ставил я его по принципу «прошивка от производителя глючит, надо её заменить чем-нибудь». Что делать?
2) Чем это отличается от Netsukuku?
1) Увидел слово OpenWRT. У меня стоит DD-WRT, причём ставил я его по принципу «прошивка от производителя глючит, надо её заменить чем-нибудь». Что делать?
2) Чем это отличается от Netsukuku?
+1 Pastafarianist
кто-нибудь может сравнить это с netsukuku?
кто-нибудь может сравнить это с netsukuku?
netsukuku мертв, например
Эта сеть развивается, комиты есть каждый день, разработчиков море, ну и есть реально работающий прототип, в отличия от той сети.
Сейчас еще пишется своя dns система которая бы всем устроила white paper уже есть
Сейчас еще пишется своя dns система которая бы всем устроила white paper уже есть
А разве это — не работающий прототип?
Last commit: eriol authored 4 years ago
Немножко не развивается. Ну и да, там python — это не очень хорошо для всяких мелких устройств на базе openwrt.
Немножко не развивается. Ну и да, там python — это не очень хорошо для всяких мелких устройств на базе openwrt.
1) Для DD-WRT есть ещё optware. Очень многое ставится оттуда и вполне нормально работает. Но если у софта есть какие-то специфические требования (например, загрузить свой модуль ядра, который до этого нужно ещё собрать) — то это легко может превратиться в неслабый геморрой. А если вопрос вдруг доходит до границы «пересобрать прошивку целиком из исходников с нужными мне модулями» — то вот тут как раз уже лучше посмотреть на OpenWRT, покуда это там гораздо проще.
Если маршрут все еще не найден произойдет рассылка всем в сети пакета на поиск узла, первый пришедший авторизованный ответ — считается верным
А если первым ответит злодей?
Если маршрут все еще не найден произойдет рассылка всем в сети пакета на поиск узла
Словами «it doesn't scale» этого не передать :) Не забываем — речь идет о беспроводных сетях, а не о 10G+ проводных магистралях. Броадкасты планетарного масштаба — пипец какой-то.
В дальнейшем, запрос можно будет повторить только через 10 минут, и время каждый раз будет увеличиваться при повторном запросе.
А какие механизмы запрещают слать по 10000 запросов в секунду? Маленький безопасничек во мне нервничает…
И вы лучше объясните попроще, как у вас свитчи работают. Ибо читаю я доку, и что-то не могу осилить стоящую за этим делом математику.
Запрещают слать узлы к которым подключен пир, смысл заключается в том, что с огромной вероятностью данный маршрут уже имеется, а если рассматривать dos атаку то она тоже не выйдет.
Сейчас сам изучаю этот материал.
Сейчас сам изучаю этот материал.
если рассматривать dos атаку то она тоже не выйдет.
Почему? Что мешает запрашивать несуществующие узлы?
Ну пойдет запрос на узнавание маршрута несуществующих узлов, дальше что? :) DHT сеть работает шустро, запорашивать один и тот же адрес — нельзя, если маршрут к узлу к которому уже запорашивали путь и он не был найден — об этом сразу придет ответ без доп запроса. Так что можно сделать только dos не DDOS атаку.
У системы 1 329 227 995 784 915 872 903 807 060 280 344 576 доступных адресов. Если просто с высокой скоростью перебирать все адреса, то:
1) По миру разойдется много мусорных пакетов. Они будут грузить транспорт, тратить ресурсы узлов. Не здорово. Сейчас даже внутри ЦОДов стараются ограничивать широковещательные домены. Помните не шибко новую статью про 100гб/с DDOS, от которого и магистральные операторы откладывали кирпичи?
2) «если маршрут к узлу к которому уже запорашивали путь и он не был найден — об этом сразу придет ответ без доп запроса» — каждый узел запомнит около 1 329 227 995 784 915 872 903 807 060 280 344 576 ненайденных маршрутов? DoS атака удалась — у всей сети в глобальном масштабе кончилась память :)
1) По миру разойдется много мусорных пакетов. Они будут грузить транспорт, тратить ресурсы узлов. Не здорово. Сейчас даже внутри ЦОДов стараются ограничивать широковещательные домены. Помните не шибко новую статью про 100гб/с DDOS, от которого и магистральные операторы откладывали кирпичи?
2) «если маршрут к узлу к которому уже запорашивали путь и он не был найден — об этом сразу придет ответ без доп запроса» — каждый узел запомнит около 1 329 227 995 784 915 872 903 807 060 280 344 576 ненайденных маршрутов? DoS атака удалась — у всей сети в глобальном масштабе кончилась память :)
Интересный момент, уточню у разработчиков.
Не знаю, как реализована защита но думаю можно использовать некий принцип «нагрева» и «охлаждения».
Например запросил клиент у ближайшего маршрутизатора адрес который найти не удалось, его следующий запрос «охлаждается». Теперь следующий адрес он сможет запросить только через секунду. Следующий снова не найден? Тогда дальше увеличиваем время.
Если ответ пришел и адрес существует, начинаем «нагревать», сокращая время.
Таким образом клиенты-сканеры сети сразу заморозятся еще на первых роутерах, а честные так сказать граждане будут бегать на максимальных скоростях по сетке.
Например запросил клиент у ближайшего маршрутизатора адрес который найти не удалось, его следующий запрос «охлаждается». Теперь следующий адрес он сможет запросить только через секунду. Следующий снова не найден? Тогда дальше увеличиваем время.
Если ответ пришел и адрес существует, начинаем «нагревать», сокращая время.
Таким образом клиенты-сканеры сети сразу заморозятся еще на первых роутерах, а честные так сказать граждане будут бегать на максимальных скоростях по сетке.
Это — обычный dampening по сути. С ним связана масса проблем. Если настройка будет не дефолтной, то наверняка многие не настроят это. Если дефолтная, то какое значение ставить? Пограничный хоп — одно. Центральные, видящие десятки соседей — другое, через них в штатном режиме будет ходить намного больше легитимных пакетов. Если они начнут что-то блокировать — это катастрофа. Запоминать вдобавок к запрошенным адресам адрес запросившего? Сильная дополнительная нагрузка, и как быть со спуфингом?
В итоге мы приходим к тому, что сама архитектура (если я ее правильно понял) изначально ущербна, и нужны какие-то костыли.
В итоге мы приходим к тому, что сама архитектура (если я ее правильно понял) изначально ущербна, и нужны какие-то костыли.
Тут вкусность такого решения именно в том, что в отличии от сегодняшней сети с центральными маршрутизаторами мы имеем начальные точки вхождения, которые обслуживают намного меньшее число клиентов и их рост насколько я понимаю не планируется иначе в чем смысл децентрализации. Главное не пустить сканера дальше по сети!
Ну и опять же можно включить такую технологию в стандарт сети.
Ну и опять же можно включить такую технологию в стандарт сети.
в отличии от сегодняшней сети с центральными маршрутизаторами
Что за «центральные маршрутизаторы» в сегодняшнем интернете? Почему я не в курсе?
Ну да, есть определенное количество магистралей, к которым сходится многое (оптика на тысячи километров, а то и через океан — дорогое удовольствие, консолидации избежать невозможно вне зависимости от используемой технологии), но интернет все равно децентрализован в смысле маршрутизации. Вы можете добраться до человека в соседнем доме, сидящего на другом провайдере, как через 3-4 хопа через прямой стык где-то в вашем районе, так и через Франкфурт (это вовсе не шутка) — как пожелает оператор. Маршруты будут проходить через разные железки.
А как скоро будет доступна прошивка?
Да она и сейчас доступна, но в режиме бета, палки релиз будет вместе с рассылкой прямо-роутеров
То — есть на любом девайсе поддерживающем OpenWRT можно уже тестить?
Да
Можно линк на бету?
Да конечно github.com/cjdelisle/cjdns-openwrt
Скажите, а какая скорость между двумя пирами?
Предусмотрен direct connection?
Предусмотрен direct connection?
Есть у меня серьёзное опасение на счёт заказной инициализации данного проекта. Уж больно слабая реализация защиты и анонимности по принципу «да ладно, мы же всё равно ничего не делаем такого, кому мы нужны» и т.п.
Идеаологически сеть подаётся правильно и успех скорее всего будет… но как специалист в области безопасности с двенадцатилетнем стажем не могу не отметить, что сеть как будто специально спроектирована под возможность вскрытия грубой (читай «специальной дорогой») силой, которая есть у спецслужб. Аналогично как вскрывается голосовой поток GSM и т.д.
В концепции Netsukuku изначально были заложены методы предотвращения любой возможности отслеживания, кроме физического и эксперты по безопасности сходились на том, что придраться даже после глубокого анализа не к чему,… аналогично как спецы из ведущих американских вузов проверяют код FreeNET и не находят там изъянов в безопасности в режиме даркмод.
Плата за полную децентрализованность и анонимность известна — практически никто не понимает принципов работы, так как они действительно сложны и продуманы; плюс дополнительные сложности для конечных пользователей, так как работа в сети требует дополнительных действий (типа отсылки ключей в даркмоде и т.п.)
Netsukuku предлагала уникальный фрактальный протокол маршрутизации, который на своём уровне гарантировал анонимность. Деанонимизация была доступна лишь на более высоком (физическом) уровне.
В Hyperboria анонимизация строится из надстроек из костылей, которые паразитируют на нагрузке и на дополнительных протоколах, плюс отсутствует рандомная смена конечных адресов раз в несколько минут. Конечно, костыль (в виде смены MAC и реконнекта) решит и этот вопрос… но как же это всё… не по человечески (читай «неразумно»), что ли!
P.S. Уж лучше работающая Hyperboria, чем Netsukuku, которая стремиться к идеалу, но досконально в её дебрях разбираются только 12 человек во всём Мире. Возможно именно так удастся вырастить специалистов, которым фрактальные и анархические протоколы маршрутизации покажутся простыми, как когда-то кому-то простыми показались все современные протоколы, современники создания которых считали их верхом аналитической мысли.
Идеаологически сеть подаётся правильно и успех скорее всего будет… но как специалист в области безопасности с двенадцатилетнем стажем не могу не отметить, что сеть как будто специально спроектирована под возможность вскрытия грубой (читай «специальной дорогой») силой, которая есть у спецслужб. Аналогично как вскрывается голосовой поток GSM и т.д.
В концепции Netsukuku изначально были заложены методы предотвращения любой возможности отслеживания, кроме физического и эксперты по безопасности сходились на том, что придраться даже после глубокого анализа не к чему,… аналогично как спецы из ведущих американских вузов проверяют код FreeNET и не находят там изъянов в безопасности в режиме даркмод.
Плата за полную децентрализованность и анонимность известна — практически никто не понимает принципов работы, так как они действительно сложны и продуманы; плюс дополнительные сложности для конечных пользователей, так как работа в сети требует дополнительных действий (типа отсылки ключей в даркмоде и т.п.)
Netsukuku предлагала уникальный фрактальный протокол маршрутизации, который на своём уровне гарантировал анонимность. Деанонимизация была доступна лишь на более высоком (физическом) уровне.
В Hyperboria анонимизация строится из надстроек из костылей, которые паразитируют на нагрузке и на дополнительных протоколах, плюс отсутствует рандомная смена конечных адресов раз в несколько минут. Конечно, костыль (в виде смены MAC и реконнекта) решит и этот вопрос… но как же это всё… не по человечески (читай «неразумно»), что ли!
P.S. Уж лучше работающая Hyperboria, чем Netsukuku, которая стремиться к идеалу, но досконально в её дебрях разбираются только 12 человек во всём Мире. Возможно именно так удастся вырастить специалистов, которым фрактальные и анархические протоколы маршрутизации покажутся простыми, как когда-то кому-то простыми показались все современные протоколы, современники создания которых считали их верхом аналитической мысли.
Sign up to leave a comment.
Hyperboria: Маршрутизация