Проблема с .onion сайтом

[512]

Здравствуйте уважаемые.
Возникла проблема с тор сайтом, точнее это просто хтмл страница на апаче.
В течение года +- всё открывалось без проблем.В худшем случае раз в три месяца приходилось systemctl restart tor.
На данный момент сайт отзывается в течение 10-60 минут а потом наглухо ложится и приходится рестарт демона делать.
В логах единственное что подозрительное было potential compression bomb, но как говорят на тор форуме это приколы самой сети и никакой опасности не несёт + сайт падает куда чаще чем появляется подобное уведомление в логе.
С демоном всё в порядке , отображается стабильная работа. Примечательно что в логе апача продолжается движ от ботов\парсеров хотя в это же время я банально не могу постучать туда курлом не говоря об открытии через браузер.
Проблема точно в торе , так как после systemctl restart tor всё поднимается и отзывается.
Возможно кто-то сталкивался с подобной проблемой, поделитесь опытом.

 

[tenac1ous]

Пришли отфильтрованные от личной инфы логи сервисов тор и Apache, (tar --exclude='*/hidden_service/private_key' -czf hs_logs_$(date +%F).tar.gz *)
Также скрой полное имя домена.

Оптимально это:

tor_journal.log (journalctl -u tor) + tor debug/notice
systemctl status tor -l
apache access.log
apache error.log

 

[512]

Пришли отфильтрованные от личной инфы логи сервисов тор и Apache, (tar --exclude='*/hidden_service/private_key' -czf hs_logs_$(date +%F).tar.gz *)
Также скрой полное имя домена.

Оптимально это:

tor_journal.log (journalctl -u tor) + tor debug/notice
systemctl status tor -l
apache access.log
apache error.log

 

[tenac1ous]

Скорее всего Apache у тебя в контейнере (172.17.0.2), а Tor контактирует через bridge (172.17.0.1). Когда Tor теряет доступ к контейнеру (пакеты не проходят / iptables лочит) — .onion не отвечает, хотя Apache всё ещё логирует локальные обращения. Проверь логи докера и docker0 интерфейс. попробуй временно пробросить HiddenServicePort на локалхост и прокинь прокси из хоста к контейнеру, чтобы убрать docker bridge из цепочки и проверить стабильность работы.

Для crawling ботов уменьши KeepAliveTimeout, включи mod_evasive/mod_qos/rate-limit и добавь mod_status для live-мониторинга.

По логам также видно постоянные перезапуски, не знаю ты лично все делал или нет но если нет то временно убери автоматические рестарты/cron-job и включи persistent logging.
Учти что Tor или Apache могут достигать лимита дескрипторов. Просмотри ulimit -n и file-max и времено их увеличь и чекни как отрабатывает.

 

[512]

Проблема оказалась в том что какой-то ..... обзавёлся суперскоростной нодой, и насыпал по 2гб трафика в секунду
На проксе не видно по объёму так как в неё уже долетало 20-30мб (предсмертный всхлип тор сервиса который он смог пропустить)

 

[512]

BandwidthRate 10 MB
BandwidthBurst 12 MB
вот это не сильно помогает (не сильно в смысле вообще)

 

[ShadowMan]

Я боролся с помощью антибота и резал в nginx подозрительные запросы.

 

[512]

К сожалению тут не множественные стрёмные запросы , а один вполне легитимный на скачивание файла , каждый раз с новым фингепринтом но скорость скачивания этого файла 2 гигабита в пике

 

[tenac1ous]

ты можешь ограничить пропускную способность скорости отдачи в nginx, либо добавь какую то базовую авторизацию.

 

[ShadowMan]

Собственно, не самая страшная проблема.

 

[512]

Проблема оказалась немного шире =)
circuit flooding ко всему добавился
вот такой конфиг не помогает (
HiddenServiceNumIntroductionPoints 10
HiddenServiceMaxStreamsCloseCircuit 1
CircuitBuildTimeout 60
CircuitIdleTimeout 30
CircuitStreamTimeout 20
MaxCircuitDirtiness 120
NewCircuitPeriod 30
CircuitPadding 1
NumEntryGuards 3
NumDirectoryGuards 3
GuardLifetime 30 days
ConnLimit 100
MaxClientCircuitsPending 32
BandwidthRate 1 MBytes
BandwidthBurst 2 MBytes

 

[ShadowMan]

по моим экспериментам, антиддос тора - до женского полового органа