Рейтинг темы:
  • 0 Голос(ов) - 0 в среднем
  • 1
  • 2
  • 3
  • 4
  • 5
Личную защита от ДДОС.
#21
Twinker Написал:Схема такая:
Load Balancer (в данном случае - сайт, что не есть хорошо*) -> SRV X -> Real SRV.


* - "не есть хорошо", потому-что насколько я понял, у Вас PHP скрипт, который проходит while/for по списку IP и портов с помощью fsockopen и проверяет, есть ли ответ и сохраняет работающие ip+port'ы в файл/БД (по крону есс-но).
Клиент-же обращается к другому скрипту, который достает из файла/БД сервера и с помощью rand/mt_rand выдает рандомный из них.

Что лучше? VPS/DS с лоад-балансером по типу HAProxy, который выдерживает нормальное количество TCP запросов (по сравнению с HTTP сервером)

Работы на минут этак 15.

В течении часа выложу скрипты по типу ТС'овских Smile
Если бы все было так просто тогда зачем незачем было бы разрабатывать эту систему Wink

Проблемы по типу HAProxy.
1. Как забанить человека по hwid и перестать ему выдавать айпишки впсов если 2 впса на которых он играл уже лежат(ддосер)?
2. Как выдавать человек айпишку на которой он игра при этом не меняя их при каждом запросе?, т.е. челу если выдался айпи 127,0,0.100 то в следующий раз если он не лежит тоже этот же выдастся.
2. Тот же клаудфлер защита заточена под сайт а не под балансеры(что-то не на 80 порт), положить балансер тем самым ничего не стоит.
3. Как производить авторизацию на впсах через апдейтер? не пускать же всех подряд через впс(иначе будет ситуация что узнал айпи впса и заддосил сервер)
4. Плюшки по типу сколько чел на впсе, какие сейчас лежат тоже не будет.

Это первое что пришло в голову, думаю еще ограничения будут только по сайт. Поэтому обычный балансер не подходит. Да и выдача сайтом айпишек это наименьшее из работы, основная сила это софт на впс(максимальное быстродействие на неблокирующих сокета с разным возможностями). + айдетер который умеет работать в случае падения сайта, внедрять в л2.ини айпишки, и т.д..

И самое главное. Если хоть ОДИН из пунктов что я писал в 1 посте не выполняется. Защита не работает, т.е. есть возможность заддосить. К примеру выдаются просто случайный айпи и т.д..
Ответ
#22
Gamlet Написал:Если бы все было так просто тогда зачем незачем было бы разрабатывать эту систему Wink

Проблемы по типу HAProxy.
1. Как забанить человека по hwid и перестать ему выдавать айпишки впсов если 2 впса на которых он играл уже лежат(ддосер)?
2. Как выдавать человек айпишку на которой он игра при этом не меняя их при каждом запросе?, т.е. челу если выдался айпи 127,0,0.100 то в следующий раз если он не лежит тоже этот же выдастся.
2. Тот же клаудфлер защита заточена под сайт а не под балансеры(что-то не на 80 порт), положить балансер тем самым ничего не стоит.
3. Как производить авторизацию на впсах через апдейтер? не пускать же всех подряд через впс(иначе будет ситуация что узнал айпи впса и заддосил сервер)
4. Плюшки по типу сколько чел на впсе, какие сейчас лежат тоже не будет.

Это первое что пришло в голову, думаю еще ограничения будут только по сайт. Поэтому обычный балансер не подходит. Да и выдача сайтом айпишек это наименьшее из работы, основная сила это софт на впс(максимальное быстродействие на неблокирующих сокета с разным возможностями). + айдетер который умеет работать в случае падения сайта, внедрять в л2.ини айпишки, и т.д..

И самое главное. Если хоть ОДИН из пунктов что я писал в 1 посте не выполняется. Защита не работает, т.е. есть возможность заддосить. К примеру выдаются просто случайный айпи и т.д..
Вы наверное не очень поняли, о чем вел разговор Twinker, он писал о принципе работы и как работает ваше "изобретение". Так что не стоит кидаться камнями налево-право.

Мы же устроили эту дискуссию, что бы понять, стоит ли игра свеч, ведь каждый хочет докопаться до истины. Возможно, это хорошая разработка, которую можно будет улучшить и сделать сервис, а возможно и нет, кто знает..
1
Ответ
#23
Pointer*Rage Написал:В чем проблема перехватывать запрос в виндах? Или вы будите насильно ставить драйвер, который будет работать на нулевом кольце? Wink
Нет конечно, да вот только нужно знать что перехвачивать. Программа то не в открытом виде да и зашифрованная той же темидой. Дебажить ее нужно специально по заказу(что будет сделано не за 1 день) и что мешает изменить алгоритм на следующее открытие?
Потому и продается в одни руки. Для 1 сервера этого делать никто не будет.


Pointer*Rage Написал:Обрубать подключения на 1 ип - нет смысла, особенно сейчас, когда кругом все стоит за NAT'ом.
А в чем проблема автоматически проходить авторизацию на ВПС и ждать пока откроется туннель между клиентом и сервером? Ведь после можно убить сам сервер (не машину, а софт), его же пакетами. Берем какой-нибудь реквест по-тяжелее и желательно, где реально есть состояние гонки и все > dev/null
Ограничение исключительно на SYN пакеты стоит в сек. Кол подключений стоит вменяемого(скажем 50-100), ну не будет за натом играть 100 человек одновременно.

Pointer*Rage Написал:Да ладно, никаких сил не хватит. Тот же SSH-сервер поддерживает туннелирование трафика.

На любом ВПС можно поднять туннель. Достаточно снизить уровень криптографии туннеля, чтобы уменьшить ресурсоемкость операций Wink


6к за темиду?
на 256 мгц не уедешь. И туннель кроме как видения реальных айпишек на стороне сервера и доп. гемороя в настройках больше ничего не дает.


В любом случае защита проверялась. Сервер работает, заддосить не могут. Когда тратишь 600 у.е. на 2 фильтра и лежишь или тратишь 400 у.е и есть гарантия что будешь работать так как защиту не обошли то есть разница.

В любом случае сделать функционал чтобы игроку выдавался постоянный(не меняющийся при следющем разе) айпишник(плавно загружая игроками все впсы а не всех на один) и количество получаемых айпишников не превышало 2 штуки а потом бан при этом защитить сервер от атак через впсы простыми средствами не организовать.
Ответ
#24
Gamlet Написал:Нет конечно, да вот только нужно знать что перехвачивать. Программа то не в открытом виде да и зашифрованная той же темидой. Дебажить ее нужно специально по заказу(что будет сделано не за 1 день) и что мешает изменить алгоритм на следующее открытие?
Потому и продается в одни руки. Для 1 сервера этого делать никто не будет.

А зачем что-то одно маскировать? Если мы знаем, что существует бан по хвид, то можно хукать вообще все реквесты на получение серийников, да и любого железа, а там уже рандомить поддельную инфу.
m0nster.art - clear client patches, linkz to utils & code.
Гадаю по капче.
Ответ
#25
xolseg Написал:Вы наверное не очень поняли, о чем вел разговор Twinker, он писал о принципе работы и как работает ваше "изобретение". Так что не стоит кидаться камнями налево-право.

Мы же устроили эту дискуссию, что бы понять, стоит ли игра свеч, ведь каждый хочет докопаться до истины. Возможно, это хорошая разработка, которую можно будет улучшить и сделать сервис, а возможно и нет, кто знает..

Я понял о чем он говорил, просто я показал почему именно не получится сделать такое же обычными средствами. Беда в том что защита работает только в комплексе когда выполняются все условия, нельзя просто поставить балансер и понеслась.

Мы также думали о сервисе чтобы просто раздавать сие чудо в аренду. Но имеется проблему как было сказано выше в подмене hwid. Т.е. отдебажить можно любую программу, достаточно определенных денежных вливаний. Для 1 сервер дебажить программу никто не будет а вот если она в массах тогда уже могут появится желающие. Нужно вводить тогда особые механизмы анти подмена hwid и постоянно с этим бороться.
Но так как работаем в другом бизнесе уже то этим заниматься просто никто не хочет.

Добавлено через 2 минуты
Pointer*Rage Написал:А зачем что-то одно маскировать? Если мы знаем, что существует бан по хвид, то можно хукать вообще все реквесты на получение серийников, да и любого железа, а там уже рандомить поддельную инфу.

А если она не использует серийники а просто при первом старте берет где-то сгенерированный код сохраняет и потом просто берет его оттуда? Или это в комплексе, в любом случае это нужно тратится на дебаг программы. Для 1 сервера никто этого делать не будет а вот если программа в массах то наверно только драйвер в 0 ринге как-то облегчит ситуацию
Ответ
#26
Gamlet Написал:А если она не использует серийники а просто при первом старте берет где-то сгенерированный код сохраняет и потом просто берет его оттуда? Или это в комплексе, в любом случае это нужно тратится на дебаг программы. Для 1 сервера никто этого делать не будет а вот если программа в массах то наверно только драйвер в 0 ринге как-то облегчит ситуацию

Это уже какой-то сферический конь в вакууме получается Smile
m0nster.art - clear client patches, linkz to utils & code.
Гадаю по капче.
Ответ
#27
Gamlet Написал:Если бы все было так просто тогда зачем незачем было бы разрабатывать эту систему Wink

Проблемы по типу HAProxy.
1. Как забанить человека по hwid и перестать ему выдавать айпишки впсов если 2 впса на которых он играл уже лежат(ддосер)?
2. Как выдавать человек айпишку на которой он игра при этом не меняя их при каждом запросе?, т.е. челу если выдался айпи 127,0,0.100 то в следующий раз если он не лежит тоже этот же выдастся.
2. Тот же клаудфлер защита заточена под сайт а не под балансеры(что-то не на 80 порт), положить балансер тем самым ничего не стоит.
3. Как производить авторизацию на впсах через апдейтер? не пускать же всех подряд через впс(иначе будет ситуация что узнал айпи впса и заддосил сервер)
4. Плюшки по типу сколько чел на впсе, какие сейчас лежат тоже не будет.

Это первое что пришло в голову, думаю еще ограничения будут только по сайт. Поэтому обычный балансер не подходит. Да и выдача сайтом айпишек это наименьшее из работы, основная сила это софт на впс(максимальное быстродействие на неблокирующих сокета с разным возможностями). + айдетер который умеет работать в случае падения сайта, внедрять в л2.ини айпишки, и т.д..

И самое главное. Если хоть ОДИН из пунктов что я писал в 1 посте не выполняется. Защита не работает, т.е. есть возможность заддосить. К примеру выдаются просто случайный айпи и т.д..
1) Не понял сути вопроса. Вы о чем? Smile Не умеете банить? VPS Же играют роль прокси-сервера (он с помощью, например, xInetD перебрасывает на реальный IP), на который обращается HAProxy. Если забанить на реальном сервере, доступа то он ведь не получит.
Как переставать выдавать IP? Никак. Даже Вы это не сможете сделать, не так ли? Smile В Вашей клиентской части ("апдейтере") наверное обычный скрипт, который посылает POST/GET запрос на сервер по типу "hwid=XXXX, ..., ...". Перехватить - проще простого. А потом просто через браузер зайти. (Даже установленные уникальные REFERER'ы, USER-AGENT'ы не помогут. Все через обычный снифер будет поймано. Шифровка? Возможно поможет, но вряд ли. В таких случаях - проще положить сайт)

2) Костыли

2#2) Хм.. узнать реальный IP сервера за клоудфлейром очень и очень просто. пингануть random_symbols.domain.tld/mail.domain.tld/cpanel.domain.tld (это один из способов)

3) Эмм... а у Вас как? о_О. Там какой-то магический способ авторизации сделан? Это как проект от LameGuard на 1 апреля? (инновационная защита, использующая 25 кадр)

4) А Вы через PHP каким образом получаете информацию?) Может не "сколько чел", а "сколько подключений"?

Кстати, давайте посчитаем.
У нас есть 30 серверов по 300 рублей [дешевые самые] (каждый из которых положит школьник со спрута/janidos'а или другого софта).

30 * 300 р. = 9000 р. + покупаем у Вас скрипт за 4 000 рублей. Что выходит? 13 т.р. Не проще ли взять проксирование и не беспокоиться, что несколько школьников просто уложат все VDS? Вы как дудосера определите? Вот получил человек IP впски, уложил. Затем получил другой и т.д. Смысла не вижу, слишком все просто. А если еще дополнительно брать "защищенный" сервер, как описываете Вы - то вообще бешеная сумма выходит, а результат не очень Smile
Ответ
#28
Twinker Написал:1) Не понял сути вопроса. Вы о чем? Smile Не умеете банить? VPS Же играют роль прокси-сервера (он с помощью, например, xInetD перебрасывает на реальный IP), на который обращается HAProxy. Если забанить на реальном сервере, доступа то он ведь не получит.
Трафик должен блочится на стороне впс а не на стороне сервера. Иначе син флуд и игровой сервер лежит. Впсы перенаправляют трафик на реальный айпи только если сайт сказал что этому айпи можно зайти на этот впс(ну и еще там в одном случае). На игровой сервер должен приходить исключительно чистый трафик или чуууутьчууть мусора.
Twinker Написал:Как переставать выдавать IP? Никак. Даже Вы это не сможете сделать, не так ли? Smile В Вашей клиентской части ("апдейтере") наверное обычный скрипт, который посылает POST/GET запрос на сервер по типу "hwid=XXXX, ..., ...". Перехватить - проще простого. А потом просто через браузер зайти. (Даже установленные уникальные REFERER'ы, USER-AGENT'ы не помогут. Все через обычный снифер будет поймано. Шифровка? Возможно поможет, но вряд ли. В таких случаях - проще положить сайт)
Дык оно и шифруется. Так что мы можем перестать выдавать айпи. И это и было как раз сделано для того чтобы небыло возможности получить с 1 машинки все айпишки впсов.

Twinker Написал:2) Костыли
Согласен , но работает Wink

Twinker Написал:3) Хм.. узнать реальный IP сервера за клоудфлейром очень и очень просто. пингануть random_symbols.domain.tld/mail.domain.tld/cpanel.domain.tld (это один из способов)
Ну, это детский способ Wink не так там все просто.

Twinker Написал:4) А Вы через PHP каким образом получаете информацию?) Может не "сколько чел", а "сколько подключений"?
Да, правильно. Сколько подключений.

Добавлено через 7 минут
Twinker Написал:30 * 300 р. = 9000 р. + покупаем у Вас скрипт за 4 000 рублей. Что выходит? 13 т.р. Не проще ли взять проксирование и не беспокоиться, что несколько школьников просто уложат все VDS? Вы как дудосера определите? Вот получил человек IP впски, уложил. Затем получил другой и т.д. Смысла не вижу, слишком все просто. А если еще дополнительно брать "защищенный" сервер, как описываете Вы - то вообще бешеная сумма выходит, а результат не очень Smile

Наверно мне уже нету смысла дальше отвечать Smile
Я описывал выше что неможет пару человек заддосить все впсы и получить все айпишки.
Защита для крупные серверов, сумма для защиты совсем не заоблачная а как раз такая если брать 2 фильтра. Берешь 2 фильтра и лежишь или строешь сложную защиту но работаешь, выбор для тех кто открывает сервера. На данный момент просто не существует защиты которая бы защищала и не лежала и это прекрасно известно.
Ответ
#29
Gamlet Написал:Трафик должен блочится на стороне впс а не на стороне сервера. Иначе син флуд и игровой сервер лежит. Впсы перенаправляют трафик на реальный айпи только если сайт сказал что этому айпи можно зайти на этот впс(ну и еще там в одном случае). На игровой сервер должен приходить исключительно чистый трафик или чуууутьчууть мусора.

Дык оно и шифруется. Так что мы можем перестать выдавать айпи. И это и было как раз сделано для того чтобы небыло возможности получить с 1 машинки все айпишки впсов.


Согласен , но работает Wink


Ну, это детский способ Wink не так там все просто.


Да, правильно. Сколько подключений.

Добавлено через 7 минут


Наверно мне уже нету смысла дальше отвечать Smile
Я описывал выше что неможет пару человек заддосить все впсы и получить все айпишки.
Защита для крупные серверов, сумма для защиты совсем не заоблачная а как раз такая если брать 2 фильтра. Берешь 2 фильтра и лежишь или строешь сложную защиту но работаешь, выбор для тех кто открывает сервера. На данный момент просто не существует защиты которая бы защищала и не лежала и это прекрасно известно.

Эмм, почему же "нету смысла дальше отвечать"?
--------
Как раз может, очень даже!

Смотрите. Человек подключился и зашел в игру, в сниффере узнал IP VPS, заддосил, подождал 1 минуту, пока там обновится статус серверов, получил новый IP, зашел в игру, посмотрел в синффере, заддосил и так все фильтры.

Эх, если бы все было так просто, как Вы это описываете. Вы никак не определите, что этот человек - ддосер, а другой - игрок. Он же не со своего IP будет атаковать (если не школьник со спрутом какой-нибудь).

Про скрипт забыл, допишу в течении полу часа и выложу.
Ответ
#30
Twinker Написал:Эмм, почему же "нету смысла дальше отвечать"?
--------
Как раз может, очень даже!

Смотрите. Человек подключился и зашел в игру, в сниффере узнал IP VPS, заддосил, подождал 1 минуту, пока там обновится статус серверов, получил новый IP, зашел в игру, посмотрел в синффере, заддосил и так все фильтры.

Эх, если бы все было так просто, как Вы это описываете. Вы никак не определите, что этот человек - ддосер, а другой - игрок. Он же не со своего IP будет атаковать (если не школьник со спрутом какой-нибудь).

Про скрипт забыл, допишу в течении полу часа и выложу.
Узнал айпи, заддосил, узнал потом второй айпи с фильтром, кое как заддосил, и вот пока лежат 2 сервера(впс и с фильтром) он узнает третий(если какой-то просыпается то выдается старый айпи) айпи(при этом этот айпи выдается ему рендомный уже, чтобы все игроки что были тоже на предыдущих 2 айпи имели меньший шанс попасть на этот впс с ддосером). Он ддосит и этот впс и получает банан по hwid. Больше ему не выдаются айпишки. Снять банан он сможет только изменив свой hwid что сделать нетак то и просто(отправляется hwid зашифрованный).
Ответ


Возможно похожие темы ...
Тема Автор Ответы Просмотры Последний пост
  Easy Game Protection - защита от DDoS и не только EasyGameProtection 0 1,421 02-09-2022, 10:00 AM
Последний пост: EasyGameProtection
  SmartGuard - Защита для сервера Lineage 2 Akumu 87 72,968 05-14-2019, 12:45 PM
Последний пост: Anikey
  SRVGAME.RU Хостинг игровых серверов в Москве, защита от DDoS на базе ArborTMS. SRV 3 3,415 04-25-2018, 08:02 AM
Последний пост: SRV
  SafeAuth - Защита от подбора паролей к аккаунтам Akumu 12 5,904 10-20-2017, 10:40 PM
Последний пост: Akumu
  StormWall - защита от DDoS-атак StormWall 28 5,663 12-21-2016, 02:11 PM
Последний пост: StormWall
  Абузоустойчивый анти-ддос хостинг trusted 20 4,973 12-15-2016, 06:30 PM
Последний пост: trusted
  Защита для RF Online 2.2.3.2 Акция twoog 0 2,404 08-15-2016, 07:36 PM
Последний пост: twoog
  Хостинг с надежной Защитой от ДДоС orogastus 8 2,553 03-26-2016, 01:19 AM
Последний пост: Alligat0r
  Защита от DDDos (нужен совет по выбору) FosFer 19 4,983 12-01-2015, 12:12 AM
Последний пост: Different
  VDS - Анти ддос Grek1993 0 1,501 10-13-2015, 07:34 AM
Последний пост: Grek1993

Перейти к форуму:


Пользователи, просматривающие эту тему: 1 Гость(ей)