damnatio memoriae

[pokki]

Hallo Allerseits,
ich bin noch relativ neu im Thema Bitcoin und habe eine Frage zu einer Beobachtung die ich im debug.log meines Nodes (Satoshi 14.1) gemacht habe. Der Node verbindet sich in jüngster Zeit oft mit Clients die sich als "Damnatio Memoriae" identifizieren. Auffällig dabei ist, das gleich mehrere Verbindungen unter der selben IP mit unterschiedlichen Ports erfolgen. Könnte das ein sicherheitsrelevanter Angriff auf das Bitcoin Netzwerk sein?

Bearbeitet 7. Juni 2017 von pokki

[Christoph Bergmann]

Hast du einen Screenshot?

 

(da man sich hier für Bilder freischalten muss, kannst du ihn ja bei Imgur hochladen und verlinken)

[pokki]

Voila:

 

> cat debug.log | grep damnatio > damn.txt

... bissl zu lang um's hier zu posten, daher per Link: http://pokki.de/damn.txt

 

... hope that helps

[Christoph Bergmann]

Hm, auf https://bitnodes.21.co/ habe ich keine der IP Adressen gefunden. Eventuell nimmst du einen, der derzeit live ist, und schaust mal, ob du ihn dort findest?

[pokki]

I have hacked 127.0.0.1 ;-) Die Verbindungsversuche erfolgen immer zu meiner eigenen (externen) IP.
Welchen Grund sollte ein Node haben sich mit sich selber zu verbinden?
Allerdings habe ich auch eine etwas experimentelle Konfiguration: Ich habe zwei Nodes am laufen. Einer in einer VM unter Win7 (Port 8323), einer auf einem Raspi unter Debian (Port 8333).
Jeder der Nodes hat in der Config den jeweils anderen Node als addnode eingetragen. Da die VM auch mal unterwegs über VPN läuft auch über die externe IP (Dyndns/Myfritz).

Jetzt habe ich den Effekt, dass jeder der Nodes sich mit sich selbst (als damnatio-memoriae) verbindet, sowohl über IPv4, als auch über IPv6. Die Verbindung zu jeweils anderen Node erfolgt als Satoshi 0.14.1.
Wäre es möglich, dass da ein Fehler in Satoshi 0.14.1 ist, der zwar die Selbstverbindung erkennt, aber nicht verhindert?

Ein weiterer rätselhafter Aspekt ist, dass der Raspi Node eine zweite Verbindung zum Win7 Node aufbaut, auf einem Port der in keiner der bitcoin.conf auftaucht (40161): 
Kann ich den Effekt unterbinden in dem ich peers.dat lösche und auf die externe Verbindung der Nodes verzichte?

Bearbeitet 8. Juni 2017 von pokki

[Christoph Bergmann]

Aha, das wusste ich auch noch nicht. Ist ja an sich nicht schlimm, oder?

 

peers.dat löschen wäre mal eine Idee. Gibt auch noch Befehle in der bitcoin.conf wie

 

discover=1
dnsseed=1
listen=1

 

Mit denen du den Node aktiver nach Peers suchen lässt ...

[pokki]

..peers.dat löschen bei beiden Nodes hat nur kurzfristig Erfolg gebracht. Nach kurzer Zeit stellt sich wieder der selbe Effekt ein.
Die o.g. Optionen führen ja dazu, dass tendenziell mehr Peers gefunden werden, unterdrücken jedoch keine Verbindungen.
Die Banlist scheint auch keine Alternative, da ja zumindest EINE Verbindung erwünscht ist.
Bleiben folgende Fragen: Warum verbindet sich Satoshi 0.14.1 MEHRFACH auf unterschiedlichen Ports zur selben IP?
Warum erfolgen Verbindungen auf Ports die nicht explizit freigegeben sind, also z.B. auf 40161 statt auf 8333, 8323, zumal UPnP im Router nicht aktiv ist?

[Christoph Bergmann]

Passiert dasselbe, wenn du downgradest, also auf 0.14 oder so?

 

Was mir noch einfällt:

 

Mit "maxconnections=X" kannst du die Anzahl maximaler Verbindungen begrenzen. Eventuell hilft das ...

 

Benutzt du ein spezielles Netzwerk, besondere Proxy-Einstellungen oder so?

[joho]

Ich habe die gleichen Meldungen für meinen fullnode.  Es sieht nach einem Crawler aus, der testet welche Bitcoinnodes existieren.  Die Verbindung wird nach dem Austausch der Versionsnummer sofort geschlossen.  Auch die blockheight (350000) sieht hart einprogrammiert aus.  

 

IP Adresse des Crawlers ist 45.63.23.79,  ipv6: 2001:19f0:5:a56:5400:ff:fe6d:3999  (debug.log zeigt aber dämlicherweise nur die eigene IP-Adresse an)