Цензура в интернете. Когда базовых мер недостаточно — I2P

  • Tutorial

В прошлой статье я рассказал, какие выкрутасы можно сделать одним только браузером. Нам потребуются эти знания далее

Жаркий август 2020 показал, что базовые меры — это слишком мало и неэффективно. Нужно что-то большее

Выбирая решение, я ставил перед собой несколько целей:

  1. Решение должно быть открытым

  2. Решение должно быть бесплатным — только так оно может стать массовым

  3. Решение должно быть децентрализованным — не должно быть единой точки отказа

  4. Бомж-VPN. Хотелось иметь возможность соединиться с любым узлом сети забесплатно

  5. Бомж-хостинг. Следствие предыдущего пункта. Возможность выкатить тестовый ресурс забесплатно

VPN отвалился сразу: даже рабочий VPN умер. VPN требует централизованного внешнего сервера — единая точка отказа. Наконец, VPN платный — не назвал бы лично себя нищебродом, но это точно не массовый вариант

TOR я пока что не рассматривал. Это вполне жизнеспособное решение, но у меня отсутствует экспертиза. В комментарии вызываю пояснительную бригаду о сильных и слабых сторонах реальной эксплуатации TOR. Сравнение сетей I2P и TOR

Я начал осваивать I2P. Идея мне показалась симпатичной. Особенно интересно, что сеть не просто выдержит резкий рост числа пользователей — она от этого станет работать лишь надёжнее (но это не точно). На лурке очень вдохновляющее описание возможностей, а wiki спускает с небес на Землю и даёт понять, что I2P — не серебряная пуля, и атаки по деанонимизации — реальность. Сложно и дорого, но реально. Для сравнения, без I2P — это как по паспорту представиться и приготовиться к обыску

Возможности, ограничения и болячки

Точно так же, как и в сети TOR, в сети I2P есть выходные ноды. Это значит, что через сеть I2P можно пролезть в обычный интернет. Однако следует понимать, что скорость работы оставляет желать лучшего — потоковое видео через I2P смотреть так себе идея

Интересно, что из сети I2P можно достучаться до нод TOR. Это мы обязательно настроим

I2P не ограничивает себя каким-то протоколом. Вместо этого сеть предоставляет среду передачи данных. Я пробрасывал через сеть I2P соединение с базой данных. Туннели I2P позволяют пробросить любой ресурс, таким образом сделав его доступным для использования любыми программами. Если кто-то не знаком с туннелями — идея проста и состоит в том, чтобы для некоторого открытого порта на удалённом сервере открыть порт на своей машине, и в дальнейшем любой локальной программой подключаться к локальному порту, что точно умеет любая программа, а тонкостями переноса байтов на тот порт удалённой машины и обратно занимается уже туннелирующая программа (частный случай туннеля).

Следствия туннелей — бомж-VPN и бомж-хостинг. Я счастлив — я могу выкатить ресурс бесплатно. Я могу соединить 2 машины бесплатно. Любой другой участник сети может сделать всё то же самое бесплатно. Вкусно

Функционировать сеть сможет, даже если шаловливые ручки вновь потянутся к Большому Рубильнику — белорусские реалии именно такие, он существует

Больным местом является изменение маршрутов (следовательно, dest hash). Но я надеюсь, что проблема решаема — существует версия для Android, которая подразумевает переход между сетью оператора и разными точками доступа wifi, а в настройках роутера появился экспериментальный «Laptop Mode»

Ошибки и заблуждения

Я заметил несколько шаблонов заблуждений

Ой, мне по телевизору сказали, что в этом вашем i2p такое показывают! Это вообще законно?

Больше верьте слухам. Ничего там нет такого, чего нет в обычном интернете. I2P ставит своей целью среду передачи данных. Протоколы TCP и UDP, передают более чем 99% информации в интернете, включая незаконный контент. Давайте бороться с контентом, а не транспортом его доставки

Как интернет отключат — обязательно установлю

И будешь куковать, пока сеть не восстановится. I2P — не магия для обхода цензуры, а вполне реальная оверлейная сеть из плоти и крови, которая получает информацию о других участниках сети только во время своей работы

Хорошо, я установил, запустил, что-то потыкал — и выключил. Как только интернет выключат — ух держите меня семеро! Включу I2P — и всё у меня станет расчудесно!

Та же проблема. С высокой вероятностью, тебе не удастся найти вообще никого из тех, с кем ты ранее устанавливал соединение. Запусти I2P как службу — пусть висит себе в фоне. Она есть не просит (ну кроме памяти). Только так ты встретишь час Ч в готовности

Я на минуточку. Туда и назад

Узлы, часто разрывающие соединения с другими участниками сети, по сложившейся традиции получают в жбан попадают в бан-листы. Не стоит возводить это правило в абсолют, просто желательно, чтобы служба работала в фоне. Не дёргайте её на каждый чих — она не кусает и есть не просит

Ну и совсем кошерная остановка службы I2P — это в консоли роутера нажать кнопочку «Shutdown» / «Выключить». Демон I2P остановися сам в худшем случае через 10 минут — как только истекут уже установленные соединения с другими участниками сети i2p

Кнопки «Restart» / «Перезапуск» и «Shutdown» / «Выключить» находятся на скриншоте в нижнем левом углу
Кнопки «Restart» / «Перезапуск» и «Shutdown» / «Выключить» находятся на скриншоте в нижнем левом углу

Установка на desktop

Состоит из двух обязательных частей — установки шлюза (inproxy) и настройки браузера (лайт или пожёстче — выбираем сами на свой вкус). Важно выполнить оба этапа, по отдельности они не имеют смысла

Установка шлюза

На оффициальном сайте проекта есть список загрузок — можно взять оттуда

В этом же списке присутствует секция «Пакеты для Debian/Ubuntu»

После установки пытаемся открыть http://localhost:7657/ — web-консоль роутера. Настоятельно рекомендую добавить страницу в закладки или даже закрепить (Pin Tab). Если страница открылась — вы всё сделали правильно

Настройка браузера. Лайт

В данном случае мы исходим из предположения, что вы не делаете ничего плохого, и просто желаете получить доступ к информации, которая огорчила ваше правительство. А правительство, словно плаксивая девочка, склонно обижаться на любую информацию. Например, в России заблокирован linkedin. Жутко опасный и экстремистский ресурс, ага

В данном случае нас не пугают утечки информации. Например, сайт в сети i2p может запрашивать какой-нибудь jquery с CDN. Что такого в js-библиотеке, которую запрашивают миллионы, если не миллиарды раз в день?

Мы предполагаем, что не делаем ничего плохого, и нас не интересует сайт-приманка товарища майора Василия Мусорова с какой-то жестью, который загружает ресурсы напрямую в обход I2P или TOR по абсолютным ссылкам, выдавая ваш реальный IP-адрес. Оригинал изображения искать где-то тут: http://vasya-lozhkin.ru/pictures/. Я не нашёл =(
Мы предполагаем, что не делаем ничего плохого, и нас не интересует сайт-приманка товарища майора Василия Мусорова с какой-то жестью, который загружает ресурсы напрямую в обход I2P или TOR по абсолютным ссылкам, выдавая ваш реальный IP-адрес. Оригинал изображения искать где-то тут: http://vasya-lozhkin.ru/pictures/. Я не нашёл =(

Для настройки нам потребуется дополнение SmartProxy. Настройка производится в 2 простых шага — необходимо добавить входной шлюз I2P в список proxy-серверов и создать правила проксирования

Добавляем входной шлюз I2P в список proxy-серверов
Добавляем входной шлюз I2P в список proxy-серверов
Создаём правила проксирования для i2p-сайтов
Создаём правила проксирования для i2p-сайтов
Создаём правила проксирования для onion-сайтов
Создаём правила проксирования для onion-сайтов

Настройка браузера. Для любителей пожёстче

Паранойя может затребовать гарантий отсутствия утечек. Из наличия паранойи не следует, что мы кинемся смотреть упомянутый ранее сайт товарища майора Василия Мусорова. Настройка проводится в несколько простых шагов

У меня нет лишнего браузера в системе, чтобы полностью выделить его под I2P. Воспользуюсь уже установленным firefox. Следующий вариант работает в Linux:

FIREFOX_PROFILE="firefox-i2p"
FIREFOX_HOME="${HOME}/${FIREFOX_PROFILE}"
mkdir -p "$FIREFOX_HOME"
env HOME="$FIREFOX_HOME" firefox

То есть идея проста: заставить firefox работать с полностью чистым профилем, который никак не повлияет на основной, и который мы сможем снести при первых же намёках на проблемы, как дедушке яичко. Какие бы мы туда дополнения ни ставили, какие бы настройки там не делали — основным профилем можно будет продолжать пользоваться

У меня нет ни одной машины с Windows и MacOS. В комментариях, пожалуйста, расскажите, как сделать похожий финт ушами в Windows. А в MacOS этот фокус должен сработать, но я не тестировал

Открываем настройки и находим «Network Settings» / «Настройки Сети»
Открываем настройки и находим «Network Settings» / «Настройки Сети»
И указываем входной шлюз I2P
И указываем входной шлюз I2P

Установка на Android

Суть ровно та же, но инструменты немного другие

Установка шлюза

На всё той же странице загрузок есть секция «Android»

Секция загрузок для Android
Секция загрузок для Android

Настройка браузера. Лайт

Находим в менеджере дополнений FoxyProxy и устанавливаем
Находим в менеджере дополнений FoxyProxy и устанавливаем
Переходим в его настройки, нажимаем «Добавить»
Переходим в его настройки, нажимаем «Добавить»
Указываем адрес шлюза, листаем вниз и жмём «Сохранить»
Указываем адрес шлюза, листаем вниз и жмём «Сохранить»
И добавляем шаблоны для всего домена i2p и onion
И добавляем шаблоны для всего домена i2p и onion
В настройках FoxyProxy убеждаемся, что он включен
В настройках FoxyProxy убеждаемся, что он включен

Рецепты по настройке

Я расскажу про несколько опциональных шагов

DNS-over-HTTPS

Для тех, что не читал предыдущую статью: необходимо добавить i2p и onion в исключения. Иначе браузер будет пытаться резолвить эти домены на Cloudflare с предсказуемым результатом

I2P + uBlock Origin

Мы умеем учиться на ошибках, поэтому добавим в исключения зоны i2p и onion, таким образом полностью отключив блокировщик рекламы для всех ресурсов i2p и onion

Открываем настройки uBlock Origin
Открываем настройки uBlock Origin
Добавляем в uBlock Origin исключения для доменов i2p и onion
Добавляем в uBlock Origin исключения для доменов i2p и onion

Стало лучше, чем было, но не идеально — теряется контроль над загрузкой стороннего контента (3rd party). Хотелось бы только отключить резолв имён i2p и onion

Дополнительные подписки

В список подписок есть смысл добавить адреса:

  1. http://stats.i2p/cgi-bin/newhosts.txt

  2. http://identiguy.i2p/hosts.txt

  3. http://isitup.i2p/alive-hosts.txt

  4. http://reg.i2p/export/hosts.txt

  5. http://inr.i2p/export/alive-hosts.txt

Покорми java памятью

Входной шлюз I2P написан на языке java. По умолчанию он стартует с ограничением в 128M. Этого хватит для знакомства и неспешного погружения в дивный новый мир невидимого интернета. Больше всего памяти потребляет компонент NetDB — база данных о других хостах сети I2P. Чем их больше известно, тем выше надёжность и тем выше вероятность, что в час Ч, когда интернет снова сдохнет, Вам таки удастся найти лазейку — доступный хост из списка известных. Правда, гарантий никаких

В случае Ubuntu/Debian:

sudo dpkg-reconfigure i2p

Как это сделать для Windows — я не знаю и очень надеюсь на комментарии

Когда нельзя открыть порт меньше 1024, но очень хочется, то можно

Очень спорный рецепт. В общем случае, так делать не надо. Но если очень хочется, то можно. Я проделал это для прощупывания возможностей I2P. То есть just for fun

Приключения начались с вопроса «так где же java?»

which java | xargs file --mime-type
/usr/bin/java: inode/symlink

Окей

which java | xargs readlink | xargs file --mime-type
/etc/alternatives/java: inode/symlink

Больше симлинков богу симлинков!

which java | xargs readlink | xargs readlink | xargs file --mime-type
/usr/lib/jvm/java-11-openjdk-amd64/bin/java: application/x-pie-executable

Следует понимать, что конфигурация у меня может не совпадать с конфигурацией у Вас. Идея проста — добавлять в середину секцию xargs readlink до наступления просветления — пока file не скажет application/x-pie-executable. Как только java нашлась — из получившейся команды удаляем 2 последних слова file --mime-type, например, нажав ^W дважды, и вместо этого добавляем setcap 'cap_net_bind_service=+ep':

which java | xargs readlink | xargs readlink | xargs setcap 'cap_net_bind_service=+ep'

Возможно, потребуется добавить также возможность открытия сырого сокета setcap 'cap_net_raw=+ep':

which java | xargs readlink | xargs readlink | xargs setcap 'cap_net_raw=+ep'

Но в следующий раз я просто разверну docker с nginx

А что ещё там есть?

Очень рекомендую почитать русскоязычную wiki и полистать списки identiguy или isitup. А ещё есть поисковик

Внезапно web-версия telegram. Правда, я понятия не имею, знает ли про это зеркало администрация telegram. Впрочем, через выходную ноду можно достучаться и до оригинала
Внезапно web-версия telegram. Правда, я понятия не имею, знает ли про это зеркало администрация telegram. Впрочем, через выходную ноду можно достучаться и до оригинала

А ещё есть телеграмовские MTProto прокси. Идея сводится к созданию туннелей на указанные i2p-хосты. Инструкция на сайте

Ещё есть торренты и почта. Ничего из этого я ещё не пробовал использовать

Находил флибусту и ebooks.i2p — последний выглядит вообще дорого-богато

Вместо заключения

Следует понимать, что I2P — не самостоятельный ресурс, а в первую очередь фидер — среда передачи данных. Поэтому область применимости технологии достаточно широка и упирается, скорее, в воображение

Я ни слова не сказал про i2pd. Проект достоин внимания: он производительнее при меньшем потреблении ресурсов. Пока что у меня нет экспертизы

Комментарии 93

    0

    Можете рассказать о плюсах/минусах интеграции IPFS с I2P?

      +2

      Ну только то, что это разные вещи. Ключевая разница в том, что IPFS — это про статику. Но экспертизы в этом вопросе у меня нет

      0

      Сейчас в i2p вместо большого java-роутера многие рекомендуют ставить i2pd. Он написан на плюсах и ест меньше памяти. Подходит для слабых устройств, типа роутеров.

        +2

        Я о нём написал в конце статьи

          +1
          Автор, а что думаете про это: vasexperts.ru/blog/klassifikatsiya-trafika-i-deep-packet-inspection (кластерный анализ, позволяющий бороьтся даже с зашифрованным трафиком?)
          А так же:
          Это в рамках применения в совсем недалеком будущем сигнатурного анализа на устанавливаемых сейчас технических средствах противодействия угрозам (ТСПУ).
          Есть далеко ненулевая верятность того, что как шифрование так и обфускация уже не поможет.
          Дополнительно:
          1) icmmg.nsc.ru/sites/default/files/pubs/sh2013-1.pdf
          2) А так же: ru.wikipedia.org/wiki/Атака_по_сторонним_каналам
            +1

            Даже не читая — подозревал, что такое возможно. Пока не знаю. Я бы ставил на мимикрирование и увеличение числа ложных срабатываний — чтобы отваливался вполне легитимный трафик, будь то игры или ютубчик. Тем меньше людей останется незаинтересованным, тем громче будет обсуждаться проблема блокировок, тем очевиднее, что решать её надо административными методами, а не техническими. Но это пока фантазии о далёком радостном будущем

              +1

              Не очень понятно о какой классификации зашифрованного трафика на основе сигнатур может идти речь, ведь просто по определению сигнатурный анализ, это поиск регулярных патернов, а шифрование это борьба с регулярностью сообщения.
              Если после шифрования у вас остались какие патерны в данных — у вас не работает шифрование. Оно не прост плохое — оно вообще не работает.
              А если оно работает — о каких патернах мы говорим?

                0
                Именно в этом и вопрос. Разработчики утверждают что анализу и определению поддается даже шифрованный трафик. Выше я привел статью из Вики, по которой выходит что такое все же возможно…
              –1
              Еще был какой-то i2p-браузер. Что-то вроде тор-браузера, только для сети i2p.
              Когда-то лет 5 назад ставил его, можно было заходить на вебсайты в i2p если знаешь адрес.
              Что там у него с приватностью — без понятия, наверное ее нет.
              –2
              Вопрос еще в доверии к альтернативной реализации. Ее создатель русскоязычный (и вроде даже есть на хабре) и может к нему регулярно наведывается в гости товарищ майор и проверяет, что бы все было как положено, а не безопасно.
                +2

                Это, кстати, одна из больших проблем современного российского общества — социальное недоверие. Именно на нём и держится инфраструктура "товарищей майоров".
                Низкое социальное доверие рождает чувство постоянной угрозы. Не зря в Советском Союзе очень любили делать плакаты типа "Не болтай!", да и у нас сейчас повсеместно видят не партнёров, а врагов.


                А если "кругом враги", то нужна охрана. И после этого мы удивляемся, почему же у нас столько "товарищей майоров" на 100к населения.


                В общем, не надо так. Русскоязычный автор — это не плохо и не хорошо, а нормально. Хотя, то, что автор i2pd тусит тут, на хабре (даже в комментах к этому посту, orignal ) — это, безусловно, приятно.

              +3
              Отличная статья, спасибо!
              Надеюсь на продолжение этой серии статей.
              Идеи для следующих тем (что было бы лично мне интересно):
              tor (куда же без него), onion-ресурсы
              retroshare (тоже интересная сеть), unseenp2p (ее разновидность, работающая через tor)
              прочие p2p сети (freenet, zeronet, tribbler, ipfs и т.д.)
              как смежная тема — криптоконтейнеры truecrypt/veracrypt
              и установка всего этого софта для постоянной работы на какой-нибудь роутер или NAS (может даже готовые дистрибутивы есть, где все «из коробки»? по аналогии с Tails, но заточенные под p2p обмен)
                0

                Так точно! Спасибо :)

                  0
                  Whonix будет лучше Tails
                    0
                    Кстати тоже интересная тема.
                  +1
                  Спасибо за наводку i2pd!
                  Не так давно по привычке сетовал, что i2p на Java и потому ставить не буду лень.
                  А оказывается уже довольно давно написан i2pd. Попробовал под Win & linux (в gentoo штатно есть пакет) — вроде даже работает:)
                  Осталось торрент клиент собрать.
                    0

                    А чем ТОР не подходит?
                    Не, я понимаю что всем почему то кажется, что анонимность это целая статья на стопицот страниц. Но в 21 веке же живем ) Все можно в пару кликов/команд сделать.
                    Развиваются не только "злые", но и "добрые" )))


                    ЗЫ. Из выходных нод можно исключить перечисленные в конфиге страны. Если упороться в паранойю.

                      0

                      Статья: я разобрался с технологией X. У меня нет экспертизы в технологии Y.
                      Коммент: А чем Y не подходит?


                      Ответ. Только тем, что я не разбирался в технологии Y.


                      Также я просил рассказать в комментариях об особенностях и подводных камнях эксплуатации TOR. Маэстро! Ваш выход

                        –2
                        Статью не читал, но увидел I2P и решил отметиться )
                        Маэстро делает выход ru.wikipedia.org/wiki/Tor
                        Все дело в том что тор «для людей», а не «чужие для хищников делали»
                          0

                          Я умею читать википедию. Я спрашивал о реальном опыте эксплуатации TOR, а не про википедию. Спасибо за невероятно полезный комментарий

                            0
                            Я не хотел обидеть, а просто намекнул что там все «просто».
                            Реальный опыт «в эксплуатации» заключается в том что поставил тор браузер и все )
                            Хотя там есть пару багов в последних релизах (жду когда допустят до их иссушек). Например js/css с integrity свойством тупо не загружаются (можно просверить на getbootstrap.com)

                            НО, тор это не тор браузер ) По сути это сокс сервер на локалхосте.
                            Но никто не мешает настроить в качестве прозрачного прокси и т.п.
                              0
                              > По сути это сокс сервер на локалхосте.

                              Разверну мысль. Устанавливаешь пакет `apt install tor` (да я дебианщик). и можешь хоть в хроме сидеть через тор настроив прокси в сокс 127.0.0.1:9050
                                0
                                Это — достаточно плохая идея. В mainline браузерах есть огромное количество проблем, связанных с фингерпринтингом и деанонимизацией. Лучше использовать tor browser — форк firefox, включающий workaround'ы и имеющий адекватные настройки по-умолчанию (noscript, duckduckgo как поисковая система и т.п.). Заодно он сам свой tor поднимает, отдельно ничего ставить не нужно.
                                  –2

                                  … через который работает только он и это и есть вектор атаки.

                                    0
                                    Nope, «вектор атаки» размазывается с «лично вы» на «все пользователи тор браузера».
                                      –2
                                      Нет. Достаточно чтобы ты по неосторжности открыл ссылку в другом приложении.
                                      В система в которой работает Тор все приложения должны ходить через Тор.
                                        +1
                                        Какое «другое приложение», если мы говорим о тор браузере? )
                                        Тор браузер не делает анонимность если не пользоваться тор браузером? Оригинально )
                                    0
                                    Я же сказал «хоть в...» подчеркнув простоту )
                                    Но хотел сказать «в любой программе поддерживающей сокс прокси».
                                    А так да, замечания по делу.
                                    Тот же facebookcorewwwi.onion смех вызывает )
                                    Давайте сливайте все через контакты и думайте что защищены )
                            +3
                            Я использую tor, со времен когда активно роскомнадзор блокировал телегу, и однажды положил пол интернета.
                            Главный плюс по сравнению с i2p — скорость!
                            Из минусов как у всех — не стоит доверять выходным нодам, весь не зашифрованный трафик летит кому надо.
                            Мой конфиг:

                            StrictNodes 1
                            ExcludeNodes {ru},{ua},{kz},{by},{us},{ca},{de},{??}
                            ExitNodes {nl}
                            NewCircuitPeriod 3600
                            ExitRelay 0

                            Были настроены bridges, но отказался из-за ненадобности и их нестабильности. Из-за моих кривых рук постоянно отваливались (obfs4).
                            0
                            у TOR основным спонсором является DARPA, даже не просто спонсором, это вообще их разработка.
                            Хорошо это или плохо, каждый решает сам, в политику углубляться не будем.
                              0
                              А ассиметричный шифр RSA (который суть стандарт сейчас в тех же https сертификатах), внезапно от NSA пошло. Как страшно жить, ничему нельзя доверять.
                              А компьютеры/комплектухи вообще во «вражеских» странах производят. Что же они там в наши/свои процы суют?
                              А сети вообще прослушиваются всеми подряд.

                              Внимание вопрос!!!
                              Что страшнее, «товарищь полковник» или «агент смит»?
                            +1
                            А что нибудь этакое можно сделать, что бы распространялось на все устройства дом.сети? Например через роутер (в моём случае кинетик без USB порта) разумеется бесплатно.
                              0

                              На роутере вполне можно попробовать поднять i2pd — лишь бы мощности хватило
                              Правда, с исключениями DoH всё равно нужно залезть в каждый браузер

                                0
                                Правда, с исключениями DoH всё равно нужно залезть в каждый браузер

                                Не понятно, это хорошо или плохо, просто я нуб.
                                0

                                Кстати, а зачем они? В какой момент при подключении через HTTP-прокси браузер начинает узнавать IP-адрес хоста? Он же всегда просто передавал доменное имя прокси-серверу...

                                  0

                                  Ну конкретно DoH работает ещё раньше. Я сам сделал много чудных открытий, в том числе и о подводных камнях DoH

                                  0
                                  Если роутер «умный», то ставится пакет и направляются UDP пакеты на 53 порт куда надо. Т.е. все решаемо )
                                0

                                В статье постоянно упоминается гипотетическое отключение интернета — речь идет о блокировке конкретных сайтов? Ведь в случае полного отключения, как это иногда делают в других странах, ни одна оверлейная сеть не поможет. Вот про mesh сети в этом контексте было бы интересно почитать

                                  0

                                  Гипотетическое? По всей Республике Беларусь интернет отсутствовал вполне себе не гипотетически с 9 по 11 августа, и после каждое воскресенье пропадал мобильный интернет. Ни разу не гипотетически

                                    +1

                                    Я о том и спрашиваю — как вы в такой ситуации предлагаете использовать i2p или любую другую оверлейную сеть?

                                      0

                                      Так же, как Psiphon. Он работал

                                        0
                                        Так отсутствовал интернет полностью или доступ к конкретным ресурсам?
                                          0
                                          Вы предлагаете в итоге использовать сохранившийся доступным фрагмент i2p или как?
                                    0
                                    Было бы интересно посмотреть на сетевую анархию. Насколько вероятен захват такой сети, если условные 60% нод будут принадлежать определенной организации?
                                      0

                                      Возвращайтесь в реальный мир :)

                                        0
                                        Возвращайтесь вы )
                                        У вас «локальный конфликт», но вы почему то дёргаете технологии прошлого века (не в обиду).

                                        Челавек реальную «угрозу» обозначил ) Хотя реальней просто вырубить интернет )))
                                          +1

                                          Пользователь без i2p-роутера выйти в сеть не может. У каждого пользователя сети i2p установлен роутер, который назвали нодой. Это значит, что для 60% нод нужно поднять роутеров больше, чем реальных пользователей в сети. Это немалые $$ Особенно с учётом того, что ноды будут использоваться всеми участниками сети одинаково. То есть Ник и Майк из далёких Германии и Варшавы будут использовать эти ноды точно так же, как и мы с вами

                                            0

                                            То есть безопасность основана на том, что у достаточного количества обывателей заведомо больше ресурсов, чем у спецслужб?

                                              +2

                                              Забавно отметить, что безопасность криптовалют изначально основана на том же.

                                                0

                                                Лучше, чем ничего. Может, у вас есть идея получше?
                                                Замечу, что мы приближаемся к сфере инженерных решений. Это область компромиссов, где мы обмениваем сильные стороны на слабые. Идеала нет. В этой области самое главное — получить удачную комбинацию сильных сторон, чтобы как можно реже упираться в слабые. Подводные лодки плохо приспособлены для полётов в космос

                                                  +1

                                                  Атака 51% уже вроде как 2 раза совершалась на крипту, если я правильно помню по новостям, и совершалась она на довольно известные "бренды"

                                                0

                                                Хм, можно поднять много недорогих инстансов в облаках на небольшое время, тем самым получив какой-то заметный процент участия. Надо попробовать найти число роутеров в сети и прикинуть цену за час работы, например. И не стоит забывать про ботнеты.

                                                  –2

                                                  Ну и толку? i2p предполагает, что каждый узел может быть скомпрометирован. Это заложено архитектурно. И странно, что я тут цитирую википедию. Вы статью на wiki открывали? Какого цвета учебник?

                                                  +3
                                                  >Особенно с учётом того, что ноды будут использоваться всеми участниками сети одинаково

                                                  Это не совсем так. У джавы профилировщик определяет быстрые узлы и старается строить тоннели через них. И в данный момент сложилась достаточно курьезная ситуация, что тоннели идут в основном через i2pd узлы, поскольку профилировщик обоснованно считает их более быстрыми. Поэтому обозначенная выше проблема действительно существует и обсуждается.
                                                    0

                                                    Спасибо. Проблема ясна

                                            +2

                                            На мой взгляд попытка обойти блокировки это просто попытка отдалить неизбежное, выпустить весь пар ненависти к режиму.

                                              0

                                              Nice try. Увы — вопрос даркнета веселее и увлекательнее

                                              +2

                                              В этих оверлейных сетях особо нет ничего интересного в плане ресурсов. Максимум будет зеркало из обычного интернета и всё. Поисковиков нормальных нет тоже, в торе в поиске куча мёртвых ресурсов. Т.е. использовать саму эту сеть не очень понятно как. Вот про это лучше написать статью, а с установкой справиться несложно.

                                                –1

                                                О! Эксперт в треде. Расскажите, чего ещё нет в даркнете?

                                                  +2
                                                  А Вы расскажите, что интересного/полезного есть в даркнете. Раз Вы лучше разбираетесь в этом вопросе.
                                                    –3

                                                    Вам дали в руки туннели. Через них вы можете пробросить любой трафик. Поэтому, как я сказал выше, применимость i2p сильнее упирается в воображение, нежели в технические ограничения. Я своё воображение одолжить не смогу, извиняйте. Моё воображение кричит: "Это пространство бесконечных возможностей!". Как объяснить бесконечность?

                                                      +1
                                                      Но трафик можно пробросить и через обычный VPN…
                                                      Насчёт безграничных тоже не совсем верно: скорость ограничена, отклик тоже. Видео онлайн не посмотреть, картинки грузятся неспешно, об онлайн играх речи тоже не идёт.
                                                      В этом и проблема, нет реальных кейсов, когда такая сеть будет мастхев. На ум приходят только полностью анонимные форумы…
                                                      Например, если сделать сайт про котиков в i2p, то на него зайдёт просто на 99% меньше людей и всё, особо бенефитов от размещения его в i2p я не вижу сейчас.
                                                        0
                                                        Например, если сделать сайт про котиков в i2p,
                                                        то на него зайдёт просто на 99% меньше людей
                                                        и всё, особо бенефитов от размещения его в i2p
                                                        я не вижу сейчас.

                                                        Ну да. По этой причине сайт в i2p и в прочих непривычных средах сейчас делать надо, конечно, не для замены сайта обычного, а только для резервных случаев, чтобы в случае пропадания доступа к сайту обычному (РКН заблокировал или хакеры там какие или киберсквотеры поживились и т.п.), оставалась возможность зайти народу на сайты резервные.


                                                        Зайдёт резервно на резервные сайты быстро, конечно, не весь обычный народ, а только гики. Некоторый остальной народ подтянется на резервные сайты немного позднее. Ну а у части совсем простого народа, которому неоткуда узнать о том, как на резервные сайты попасть, доступ к ним будет отсутствовать совсем. Ну это неизбежные потери, которых полностью избежать невозможно.

                                                  +1
                                                  I2P это не только невидимый интернет, но и невидимые ресурсы. Иными словами, те, кто используют I2P для своих целей, стараются избегать публичности.
                                                    0

                                                    Не все >:3

                                                  +3
                                                  Все круто в I2p, кроме
                                                  1. он(она, оно)- не про выход в клирнет, скорости там мизерные, т.е. это если и прокси, то очень медленный и печальный
                                                  2. достаточно мало ресурсов в самой сети, и их срок жизни невелик (нужны энтузиазисты)
                                                  3. скорость обмена данными невысока (это цена безопасности и этих вот хопов с чесноком), когда *chan-ы с пикчами грузятся, то вспоминаешь dialup

                                                  из плюсов:
                                                  а. товарищ майор не забанит IRL за пост про бункерного обитателя. Вопрос, где разместить этот пост (см п. 2)
                                                  б. можно запилить свой собственный сайтик безопасно и анонимно (при наличии прямых рук)
                                                  в. можно очень безопасно общаться с друзьями без риска что переписка осядет у какого-нибудь сцукенберга или товарища майора

                                                  Сеть хороша, с определенными оговорками, и ей явно не хватает энтузиастов для её развития.
                                                  В сетях я не спец, но думаю, что I2P можно как-то поженить с mesh сетями, и тогда, в теории, сеть будет и неубиваемой, и еще и более анонимной. Но это не точно (про работу в mesh-сети).
                                                    0
                                                    I2P это Invisible Internet, какой в нём смысл в mesh сети?
                                                      0
                                                      Есть сильно ненулевая вероятность что I2P-трафик будет детектится на современных хитрых железках в рамках развития «суверенного интернета».
                                                      habr.com/ru/post/544516/#comment_22749490
                                                        +2
                                                        >В сетях я не спец, но думаю, что I2P можно как-то поженить с mesh сетями, и тогда, в теории, сеть будет и неубиваемой, и еще и более анонимной.

                                                        i2pd, начиная с релиза 2.36.0, уже поддерживает работу поверх Yggdrasil.
                                                          0

                                                          Вот это вкусно! Разве что требует написать ещё 2 статьи: настройка Yggdrasil для самых маленьких и опыт боевого использования, и особенно зачем это делать, и настройка i2pd

                                                            +2
                                                            Сделано: habr.com/ru/post/545822
                                                              0

                                                              Установлено :) Спасибо за статью!


                                                              PS: с момента написания статьи я уже перешёл на i2pd. Огромное спасибо, orignal! На текущий момент yggdrasil также развёрнут и установлен. Тестирую

                                                        +1
                                                        Мне кажется вы применяете инструмент не по месту прямого назначения. Анонимайзеры и альтернативные сети нужны в не-авторитарных странах как средство противодействия не спятившему правительству, а зажравшимся корпорациям. Сходств у них конечно много, но и отличий хватает.
                                                        А против «Большого Рубильника» это все бесполезно. Что собственно и показали события 9-11. Провайдер бездумно выкашивал все шифрованные или не распознаваемые соединения: VPN, MTProto, HTTPS, SSH — под нож шло буквально все. При желании, они могли просто прекратить обслуживание всех физических лиц, и в условиях правительственного беззакония доказывать что-то кому-то вы можете долго и безрезультативно.
                                                          0
                                                          А против «Большого Рубильника» это все бесполезно.
                                                          Что собственно и показали события 9-11. Провайдер
                                                          бездумно выкашивал все шифрованные или не
                                                          распознаваемые соединения: VPN, MTProto, HTTPS, SSH
                                                          — под нож шло буквально все. При желании, они могли
                                                          просто прекратить обслуживание всех физических лиц,
                                                          и в условиях правительственного беззакония
                                                          доказывать что-то кому-то вы можете долго и
                                                          безрезультативно.

                                                          Вот для предотвращения негативного воздействия "Большого рубильника" и нужны меш-сети, в полезности которых тут несколько сообщениями тому назад (выше) сомневались.


                                                          Узлы меш-сети друг друга блокировать-то не будут.
                                                          Хотя у меш-сетей есть другой небольшой недостаток:
                                                          В одном населённом пункте (с несильно удалёнными друг от друга районами) одна меш-сеть сможет покрыть весь населённый пункт. А вот для связи с другими городами нужны будут какие-то междугородние соединения (ну типа почти как раньше фидошный узлы обменивались информацией). А это пока возможно только через системы связи "Большого рубильника"...

                                                          0
                                                          Вопрос к специалистам: на сколько безопасен I2P с точки зрения обнаружения факта его использования?
                                                          Тот же вопрос про TOR — верно ли я понимаю, что использование obfs4 мостов затрудняет обнаружение использования пользователем TOR?
                                                            0
                                                            Пока еще безопасен как и ТОР, для физических лиц. Но не факт что соответствующие статьи 149 ФЗ не допилят в худшую сторону…
                                                              0
                                                              Я имел в виду немного другое — может ли провайдер определить, что пользователь использует I2P или obfs4 мосты TOR?
                                                                0
                                                                Сможет, сигнатурным анализом. По крайней мере так заяляется разработчиком.
                                                            0
                                                            Прямо коллекция антипаттернов, как не стоит делать, и выстрелить самому себе в пятку.
                                                            Сама возможность одновременного выхода в обычную сеть и i2p из одного браузера, — уже может быть использована для деанонимизации.
                                                              0

                                                              О чём и было написано. Всё зависит от цели. В лайтовом режиме у меня нет цели добиться анонимности. Я не боюсь ресурса, к которому подключаюсь. Я не делаю ничего плохого. Моя цель — эффективность. Ещё раз и по буквам: всё зависит от поставленной цели


                                                              PS: предыдущий оратор прав в общем, его минусовать не надо. Упустил он только то, что цели и требования могут быть разными

                                                                0
                                                                Ну с такой постановкой вопроса и цели, — да. Тут недавно на хабре вообще предлагали использовать I2P и Tor как замену техники NAT Traversal (ну, это когда два узла за разными NAT-ами пытаются установить «прямое» соединение). Почему бы и нет.
                                                                Главное, чтобы читатели не напутали.
                                                                  0

                                                                  Я ничем не лучше и предлагаю использовать в том числе как децентрализованный бесплатный VPN. Уровень статьи вводный — она пытается заинтересовать пользователя, дать ему инструмент и сказать "учись". Куда и как он дальше будет учиться — я не знаю

                                                              –1
                                                              Интересно об I2P. В последний раз пробовал его только когда это все было в зачатках.
                                                              Сейчас не вижу смысла, так как тот же ТОР вполне устраивает.
                                                              Он у меня работает в качестве фонового сервиса в Windows постоянно, используется для обхода блокировок или SOCKS-проксирования трафика на сомнительные ресурсы (на которых не хочется палить свои данные напрямую). Через эти же SOCKS-прокси можно многие десктопные программы направлять.
                                                              Скорость работы у тора сейчас явно достаточно высокая, даже видео вроде вполне может протянуть (но конечно так себе идея перегружать его этим, разве в крайнем случае. явно уж у многих есть более важное его применение чем для просмотра видосиков.).

                                                              К браузеру подключается двумя способами, либо через расширение для избирательного проксирования сайтов (это в общем лайт-вариант, в терминах статьи). Либо же если требуется больше скрытности, используется сам Тор браузер, при этом он работает независимо от сервиса что висит на фоне (может и можно его перенастроить на тот же сервис, но я не вникал и так сойдет). Плюс Тор-браузера в том что он «из коробки» дает многое с того что нужно (определенную степень анонимности и закрытие многих утечек возможных в браузере), ничего не сохраняет после себя и не требует никаких действий по настройке.

                                                              Ну а так насколько знаю, сервис Тор после подключения сохраняет ноды и маршруты в файле в системной папке и использует их надалее (периодически обновляя), так что вероятно будет работать используя эти данные в случае какого-то «отключения интернета», даже если перед этим долго не использовался. Впрочем не берусь утверждать насколько все это уместно для белорусских реалий, не знаю как именно у вас это отключение устроено.

                                                              Еще хотелось бы отметить настройку тора позволяющую избегать выходных нод с определенных стран, это может иметь смысл. В любом случае, стоит многие настройки под себя в нем выставить, а их там много разных в конфиге так шо скучно не будет.

                                                              Впринципе нечего больше особо рассказывать. С тора получается очень приличный бесплатный VPN, который в общем-то надежней большого числа платных. Ну и выбрал я его когда этот самый VPN понадобился, выбирай между I2P и Тором, пока нет особых причин перебираться на I2P. Фоновый сервис тора потребляет крайне мало ресурсов.
                                                                +3
                                                                Тор, при отсутствии конкуренции, очень быстро начнет внедрять «политики», «правила поведения» и прочие прелести современного клирнета, учитывая, что он официально разрабатывается американской корпорацией.
                                                                  0
                                                                  Не знаю к чему это про «отсутствие конкуренции». Я описываю свой опыт использования и впечатления к настоящему моменту. Конечно в будущем что-то может измениться, ну а до тех пор пока в нем нет фатальных недостатков, не вижу причин менять на что-то другое.

                                                                  очень быстро начнет внедрять «политики», «правила поведения» и прочие прелести современного клирнета


                                                                  Впрочем и с таким прогнозом не согласен и он не выглядит разумным/чем-то обоснованным или имеющим предпосылки, Тор создан и позиционируется как некоммерческий инструмент обхода цензуры в странах где она существует и направлена на подавление прав населения, один из множества возможных инструментов противодействия тоталитарным режимам. Сомневаюсь что в нем будет развиваться собственная цензура какая могла бы быть уместна на сверх-массовых ресурсах. Могут предприниматься разве что меры по уменьшению его использования в объективно преступных целях (наркоторговля, прочее), но и то прецеденты уже были и этим занимается не сам проект.

                                                                  Ну а то что конкуренция всегда только к лучшему, это и так очевидно.
                                                                    0
                                                                    > и позиционируется как некоммерческий инструмент обхода цензуры в странах где она существует и направлена на подавление прав населения, один из множества возможных инструментов противодействия тоталитарным режимам

                                                                    Здесь они прямо говорят, что исключительно для «недемократических» стран. А насчет «демократических» стран, точнее страны, они ничего не говорят.
                                                                0
                                                                Статистика работа плюсового i2pd (2.36.0 на Freebsd):
                                                                Main page

                                                                Uptime: 36 min, 2 seconds
                                                                Network status: OK
                                                                Tunnel creation success rate: 39%
                                                                Received: 163.10 MiB (127.39 KiB/s)
                                                                Sent: 137.65 MiB (119.99 KiB/s)
                                                                Transit: 137.74 MiB (119.85 KiB/s)
                                                                Data path: /var/db/i2pd
                                                                Hidden content. Press on text to see.
                                                                Routers: 3678 Floodfills: 1479 LeaseSets: 0
                                                                Client Tunnels: 26 Transit Tunnels: 738
                                                                  0

                                                                  У меня есть кейс неудачного использования Тора. Чтобы не просто пользоваться сетью, а как-то поддержать её, запустил Мидл ноду дома на Распберри. Спустя некотрое время засветился в официальном списке нод. После чего Сбербанк запретил мне доступ в моб приложение и Mi Home стал дропать пакеты(у меня выбран китайский сервер). Долго не разбираясь, останавил ноду и поменял ip.

                                                                    0
                                                                    Долго не разбираясь, останавил ноду и поменял ip

                                                                    Поменял какой IP?
                                                                    Провайдер тебе выдал белый IP, а потом ты попросил провайдера назначить тебе другой IP?

                                                                      0

                                                                      Да, Вы всё верно поняли.
                                                                      Интересно, поможет ли IPv6? Будут блочить адрес ноды или весь префикс?

                                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                    Самое читаемое