Hemen hemen her blokzinciri geliştiricisi , bitcoin node kurar ver kullanılır.Gerek bireysel , gerekse iş sebebiyle lunix tabanlı kullanılan node'lerde bir süredir garip flooderlar gözlemledik.
Bazen geliştirdiğimiz yazılımlarda , bir hata olup olmadığını anlamak amacıyla ağ trafiğini takip ederiz.Değişik zamanlarda gözümüze yeni kurulan ve eski tarihli sürekli işlem yapılan nodelere sürekli TCP üzerinden sürüm çağrısı , linux ve windows tabanlı nodelerde kısa ömürlü bağlantı için kullanılan ( 1024 - 65535 ) bağlantı noktaları'na yapılan tuhaf flooder işlemleri mevcut , biz ilk başta bunun standart bir blok çıkışında kullanılan işlemler olduğunu gayet normal olduğunu zanettik.
Bu işlemleri detaylı olarak inceledik 7 ayda nodelerimizi 150.000'den fazla bağlantı açıldı.Bağlantı taleplerinin node'nin çıkış blok yüksekliğinden %10-%15 daha fazla olduğunu , yani standart bir blok çıkış işlemi olmadığı tespit edildi , üstelik bazen 1 transfer işlemi için %45 fazla blok yüksekliğini bile kullanabiliyor.
Belki kullandığımız veri merkezi ile alakalı olabilir diye düşündük ve nodeleri aws , azure , ovh , alibabacloud ve değişik sağlayacılarda tekrar tekrar denedik ancak aynı sonucu ulaştık.
Bağlantı talepleri 800 aynı ipv4/ipv6 aralığında gelip gidiyor.Bağlantı iP'lerin çoğu Fork Networking ve Castle VPN'ye kayıtlı gözüküyor ancak bu iP Aralarıkları incelendiğinde hepsinin AS54098 LionLink arafından ilan edildiğide gözüküyor.
Bu garip varlık ilk önce TCP Bağlantısı ile version kontrol mesajı göndererek daha sonra 120 Farklı /Satoshi:0.14.8/ vb. kullanıcı aracı kullanarak yeni yapılan işlemleri , versionu ve ip bilgilerini kaydetmek için kullanılıyor ayrıca verack sorgusuda gönderiyor.
iP Bloklarını blocklist'e aldığımızda bağlantı istekleri kayboldu.
Biz ilk başta bu işlemlerin herhangi bir Blokzinciri Analiz şirketi tarafından yapıldığını düşündük ancak bağlantıda bulunan 800 ip'yi incelediğimizde iplerin bir çoğunun daha önceden kara liste'de bulunduğunu , daha sonra servis sağlayıcıları tarafından kara listeden çıkartıldığını gözlemedik , ayrıca 800 ip'yi detaylı olarak incelediğimizde hemen hemen her bitcoin node'ye aynı işlemi yaptığını hatta monero ağındada aynı bağlantıların yapıldığını gözlemledik.
Yani işin türkçesi birileri kasıtlı olarak bitcoin nodelerimizin zilini değişik zamanlarda çalıyor.Ev'de bulunan herkezin sesini dinliyor ve kaydediyor.Bu kayıt işleminde oluşacak veri nereden baksanız onbinler tb veri elde edilir bu işte blokzinciri analiz şirketlerini çokça aşar.
Ayrıca bu durumu sadece biz değil diğer bitcoin geliştiricileride 2021 yılında gözlemlemiş , bir süre kesildikten sonra tekrar başlamış
https://github.com/bitcoin-core/gui/pull/298 konu bitcoin core geliştrici ekibi tarafından çözüldü olarak kapatılmış ancak v24 , v25'de nasıl çözüldüğüne ilişkin bir ibare yok ve halen devam ediyor , ayrıca bir abd'de bir ip'yi kara listeden çıkarmak kolay iş değil iana tarafından çıkartılması gerekiyor servis sağlayıcı block listleri buradan çekiyor , kara liste'de olmasa dahi bu kadar sorgu isteğinden sonra servis sağlayacıları tarafından kara listeye alınmamasıda ayrı bir konu.
Engellemeniz gereken ip bloğu ;
https://bgp.he.net/AS54098#_prefixesDetaylı makale yazacağız , bilgilerin nereye gittiğini araştırıyoruz ancak dikkatli olun , ip adreslerini node sunucularınızdan bloklayın.
