<div dir="ltr"><div></div><div></div><div>Hi nusenu</div><div><br></div><div>I'm considering not setting OutboundBindAddress on the dotsrc exit relays (<a href="https://metrics.torproject.org/rs.html#search/dotsrc">https://metrics.torproject.org/rs.html#search/dotsrc</a>). Wouldn't it be better if all outgoing connections came from the same IP (i.e do not set OutboundBindAddress), for the sake of making correlation analysis harder? Say you observe an exit connection to <a href="http://example.com:443">example.com:443</a>. If all the dotsrc relays used 185.129.61.1 as src IP, you couldn't tell which of our relays made the connection.<br></div><div><br></div><div><br></div><div>On a related note, wrt ongoing ddos, here's something that might be useful to exit relay operators:<br></div><div>What we observed, was tens of thousands open exit connections to a few IP (at one point our server had more than 500.000 open connections to those hosts!). To check if you see the same, here's a one liner to show you the endpoints with the largest number of connections from your server:<br></div><div># ss -tn | tr -s ' ' | cut -d' ' -f 5 | sort | uniq -c | sort -nr | head</div><div><br></div><div>One way to solve this, is to do some firewall foo, but I really don't like connection tracking (unnecessary CPU cycles). An alternative solution that works great for us, is to lower the net.ipv4.ip_local_port_range from the default of about 30.000 ports. E.g:</div><div># sysctl -w net.ipv4.ip_local_port_range="64000 65535"</div><div>This limits the number of connections you can have to a specific dst tuple (IP, Port) to 1.535 connections (and thanks to Tor now setting IP_BIND_ADDRESS_NO_PORT, reaching this limit won't affect any other connections as the same port can be used as src for many different dst IPs).<br></div><div><br></div><div>- Anders<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Feb 11, 2023 at 12:12 PM nusenu <<a href="mailto:nusenu-lists@riseup.net">nusenu-lists@riseup.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">>> multi-instance tor relay<br>
> Can you please describe what that is? <br>
<br>
The subject uses the more correct term 'multi-instance tor server'.<br>
<br>
A single OS running more than one tor relay instance.<br>
<br>
In the context of this email, more specifically running more than 2 tor relays.<br>
<br>
kind regards,<br>
nusenu<br>
<br>
-- <br>
<a href="https://nusenu.github.io" rel="noreferrer" target="_blank">https://nusenu.github.io</a><br>
_______________________________________________<br>
tor-relays mailing list<br>
<a href="mailto:tor-relays@lists.torproject.org" target="_blank">tor-relays@lists.torproject.org</a><br>
<a href="https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays" rel="noreferrer" target="_blank">https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays</a><br>
</blockquote></div>