DDoS-усточивый логин

[Twinker]

Открыть спойлер

'Некая схема'1) Дропаем все входящие пакеты на порты ГС и ЛС на сервере.
2) Вешаем веб-сервер (apache/nginx/lighthttp/webpy наконец) на XXXX порт
3) Делаем апдейтер, коннектящийся к этому порту
4) При поступлении GET/POST запроса определенной формы (каждый свой делает) - юзаем ssh2 lib на localhost и добавляем ACCEPT для $_SERVER['REMOTE_ADDR'].
5) ?????
6) PROFIT

//upd
А, ну xolseg подобное описал. Но тут более подробно и коротко

[ReaM]

Открыть спойлер

'Некая схема'1) Дропаем все входящие пакеты на порты ГС и ЛС на сервере.
2) Вешаем веб-сервер (apache/nginx/lighthttp/webpy наконец) на XXXX порт
3) Делаем апдейтер, коннектящийся к этому порту
4) При поступлении GET/POST запроса определенной формы (каждый свой делает) - юзаем ssh2 lib на localhost и добавляем ACCEPT для $_SERVER['REMOTE_ADDR'].
5) ?????
6) PROFIT

//upd
А, ну xolseg подобное описал. Но тут более подробно и коротко

Костыль мастер ))) эта система сама себя завалит быстрее чем упадет от ддоса=)

[n3k0nation]

Открыть спойлер

'Некая схема'1) Дропаем все входящие пакеты на порты ГС и ЛС на сервере.
2) Вешаем веб-сервер (apache/nginx/lighthttp/webpy наконец) на XXXX порт
3) Делаем апдейтер, коннектящийся к этому порту
4) При поступлении GET/POST запроса определенной формы (каждый свой делает) - юзаем ssh2 lib на localhost и добавляем ACCEPT для $_SERVER['REMOTE_ADDR'].
5) ?????
6) PROFIT

//upd
А, ну xolseg подобное описал. Но тут более подробно и коротко

[сарказм]
Не забудьте на такой сервер еще обрабатывать все запросы через пэхэпэ интерпретатор, ну еще для полного счастья можно навесить модуль руби например. А что? Пхп обрабатывает запросы, а руби сует правила в iptables.
[/сарказм]

[сарказм2]
Как у Вас там работает iptables при паре лямов записей? Не тормозит случайно?
[/сарказм2]

Легче взять облако, которое будет выполнять роль НАТа до наступления полного сун рукопожатия.

А если не городить таких изысканых костылей, которые подойдут только мастерам-бдсм, то взять прокси-сервер или прокси-облако (да-да, такие тоже бывают).
А еще есть крутая технология, называется fast flux dns, но стоит она... Кхм... Дороговато так скажем, дешевле у всяких штормов взять постоянное проксирование трафика.

[xolseg]

[сарказм]
Не забудьте на такой сервер еще обрабатывать все запросы через пэхэпэ интерпретатор, ну еще для полного счастья можно навесить модуль руби например. А что? Пхп обрабатывает запросы, а руби сует правила в iptables.
[/сарказм]

[сарказм2]
Как у Вас там работает iptables при паре лямов записей? Не тормозит случайно?
[/сарказм2]

Легче взять облако, которое будет выполнять роль НАТа до наступления полного сун рукопожатия.

А если не городить таких изысканых костылей, которые подойдут только мастерам-бдсм, то взять прокси-сервер или прокси-облако (да-да, такие тоже бывают).
А еще есть крутая технология, называется fast flux dns, но стоит она... Кхм... Дороговато так скажем, дешевле у всяких штормов взять постоянное проксирование трафика.

В локале тоже можно запустить и ни какой ддос не страшен /сарказм/

Ну у меня не столько знаний в java, что бы сказать, вот возьми эту библиотеку, добавь пару строк и твой лс будет закрыт от коннектов и будет с лимитом в 3 коннекта на 1 ип адрес.

По этому и предлагаю вариант с updater+iptables...
Потому как:
1. Человек логинится его заносит в белый список и он может подключится к серверу(логинится через апдейтер)
2. Человек заливающий трафик на сервер, не зависимо от java будет заливать трафик на сервер и похрен ему на всё

Но по моей схеме у меня возник вопрос, а если человек залогинился на сервере можно ли проинклудиться на этот процесс и заливать трафик через него? О_о

[n3k0nation]

В локале тоже можно запустить и ни какой ддос не страшен /сарказм/

Ну у меня не столько знаний в java, что бы сказать, вот возьми эту библиотеку, добавь пару строк и твой лс будет закрыт от коннектов и будет с лимитом в 3 коннекта на 1 ип адрес.

По этому и предлагаю вариант с updater+iptables...
Потому как:
1. Человек логинится его заносит в белый список и он может подключится к серверу(логинится через апдейтер)
2. Человек заливающий трафик на сервер, не зависимо от java будет заливать трафик на сервер и похрен ему на всё

Но по моей схеме у меня возник вопрос, а если человек залогинился на сервере можно ли проинклудиться на этот процесс и заливать трафик через него? О_о

Можно, только этого никто не делает (:
Ибо скрипт-кидди не могут, а другим людям нафиг не надо.

Ах да, во времена ИЛ l2jserver (и производных), в логин-сервере и не только в нем - была крутая дырка, через которую можно положить еще легче сервер. Как сейчас с этим обстоят дела - не знаю. Плюс, на сколько я знаю, эту дырку еще никто не использовал. Для закрытия дырки рекомендую провести хорошую ревизию кода в логин-сервере, а заодно и рефакторинг

[xolseg]

Можно, только этого никто не делает (:
Ибо скрипт-кидди не могут, а другим людям нафиг не надо.

Ах да, во времена ИЛ l2jserver (и производных), в логин-сервере и не только в нем - была крутая дырка, через которую можно положить еще легче сервер. Как сейчас с этим обстоят дела - не знаю. Плюс, на сколько я знаю, эту дырку еще никто не использовал. Для закрытия дырки рекомендую провести хорошую ревизию кода в логин-сервере, а заодно и рефакторинг

Ну судя по этому посту, можно выкинул ЛС и писать новый с нуля, с учетом опыта "падений и дыр" других версий лс. =\

[ShadowName]

Как я понимаю, на стороне клиента скрыть реальный ИП, не прибегая к облакам и проксированию - нереально.

А если сделать запись в файле хост на переадресацию? НУ типа
Server.ru 10.10.10.10 где Server.ru это адрес в файле ini а 10.10.10.10 это реальный ип сервера. При этом что покажет Netstat. Просто пока не могу проверить опытным путем.

И еще. как я понял вы хотите сделать чтоб сервер различал пакет от клиента и от бота? но что это даст если атака будет на истощение? Ведь может длится долго да и плюс вас провайдер может просто отключить при большой нагрузке по трафику. что даст в итоге упавший сервер. Думаю большей важностью будет вопрос полного отвода нежелательного трафика. Просто все пишут что ставть дорогое оборудование от циско и оно вас спасет. может я не так понял. Но ведь оборудование ставится на ваш сервер. И при истошении канала оно один фиг не поможет. Может я не правильно понимаю работу аппаратной зашиты от Ддоса

[Aristocrat]

Насколько мне позволяют рассуждать мои скудные знания, фильтрующая система ставиться перед вашим кхм.. каналом и очищает входящий траффик от паразитных вкраплений и отдает его на сервер уже в "чистом" виде.

Проблема в том, что проблема канала, как я уже сказал - не существенна. Цель в том, чтобы защитить ЛС и ГС от смерти.
Простой пример - при множестве коннектов к ЛС, тот просто пытается их все обработать и просто посылает все нафиг и уходит в себя, выдав на прощание OutOfMemory. Причем, выделение большего объема памяти, лишь отсрочивает наступление комы, но проблему не снимает. Решение - считать сессии и при достижении критического числа, дропать их нах. Да, валидные игроки не смогут зайти на сервер в период атаки, но случись она ночью, я не застану утром дохлый логин и кучу тем на форуме, об этом. ДДоС кончится - ЛС останется работать.

[ShadowName]

В сборке аксис. я видел настройку в ЛС о максимальных одновременных подключениях. Это вам не поможет?

[Zubastic]

Сейчас ддос не грузит сервер, а просто забивает канал.