Защита сервера от брута.

[Ozzy]

Поправил название темы. По теме - Hint все верно говорит. Защиту от брута можно легко и самому наваять, но защиту для сервера все равно брать скорее всего придется, ибо феня чем то напоминает дуршлаг количеством дыр.

[Galaxy]

Ответ на данный вопрос, вы найдете или в своей голове, или в прайсе хостинг компаний по предоставлению услуг защиты от DDoS и эксплоит-скриптов.

[Ozzy]

Цитата:

Сообщение от Galaxy

Ответ на данный вопрос, вы найдете или в своей голове, или в прайсе хостинг компаний по предоставлению услуг защиты от DDoS и эксплоит-скриптов.

А причем тут хостинг и жареные гвозди?

[Galaxy]

Цитата:

Сообщение от Ozzy

А причем тут хостинг и жареные гвозди?

Я высказал свою точку зрения.
Не считаю что данные вопросы стоит оговаривать здесь.

[Ro_0TT]

Цитата:

Сообщение от Galaxy

Я высказал свою точку зрения.
Не считаю что данные вопросы стоит оговаривать здесь.

Вы на лево пошли. Речь идет о бруте, который никак не связан с ДДОСОМ и теми же методами от этого не защитится.

По сабжу:
Либо защита: Клиент - Сервер.

Либо обманка:
Обманка - позволять заходить на выбор персонажа, можно даже персов там сделать каких-нибудь рандомных + шифрация трафика = куча "фейковых находок брутером", перебирать которые естественной врядли кто захочет.

Обманка + LameGuard:
Позволит доходить до выбора сервера, даже если пасс/логин не верный (не всегда). Тот же результат, что и у второго варианта.

Продвинутая защита чисто на уровне сервера - не возможна, имхо.

[Galaxy]

Цитата:

Сообщение от Ro0TT

Вы на лево пошли. Речь идет о бруте, который никак не связан с ДДОСОМ и теми же методами от этого не защитится.

По сабжу:
Либо защита: Клиент - Сервер.
Либо обманка + LameGuard:
Обманка - позволять заходить на выбор персонажа, можно даже персов там сделать каких-нибудь рандомных + шифрация трафика = куча "фейковых находок брутером", перебирать которые естественной врядли кто захочет.

Прошу прощения, послу ванных процедур, прочел то что я написал и улыбнулся.
Не хватка сна дает о себе знать.
Еще раз прошу прощения.

Самое старое помнится:

Цитата:

java/com/l2jserver/loginserver/clientpackets/RequestAuthLogin.java Найти : case INVALID_PASSWORD: client.close(LoginFailReason.REASON_USER_OR_PASS_W RONG); break; Изменить на: case INVALID_PASSWORD: client.setSessionKey(lc.assignSessionKeyToClient(_ user, client)); client.sendPacket(new LoginOk(getClient().getSessionKey())); break;

Но и это только действует на логин сервер.

[TARAN]

Цитата:

Сообщение от Ro0TT

Продвинутая защита чисто на уровне сервера - не возможна, имхо.

Возможна, я такую смог написать, определяет брут прога или клиент=)

[Blast]

Как я вижу лучшую защиту от брута:
При регистрации игрок вводит его мыло, на мыло приходит письмо с активацией, после активации приходит второе письмо с логином и паролем. Логин и пароль 8-10 символов с цифрами.
Захочет поменять пароль - он опять рандомный приходит на мыло.
Вероятность брута стремиться к нулю, с задачей справились.

[mazillka]

Цитата:

Сообщение от Blast

Как я вижу лучшую защиту от брута:
При регистрации игрок вводит его мыло, на мыло приходит письмо с активацией, после активации приходит второе письмо с логином и паролем. Логин и пароль 8-10 символов с цифрами.
Захочет поменять пароль - он опять рандомный приходит на мыло.
Вероятность брута стремиться к нулю, с задачей справились.

но такой способ будет не юзерфрендли

[Blast]

Цитата:

Сообщение от mazillka

но такой способ будет не юзерфрендли

Помниться мне, когда играл в ла2, точнее когда начинал - на каком-то сервере была именно такая система. Логин и пароль запомнить особого труда не составит, через неделю будет на автомате, и эти пароли игроки запоминают на пару лет и используют их дальше, и их подобрать куда сложнее чем "yzitxrf"

Да и память надо держать в тонусе