Личную защита от ДДОС.

[Gamlet]

Схема такая:
Load Balancer (в данном случае - сайт, что не есть хорошо*) -> SRV X -> Real SRV.


* - "не есть хорошо", потому-что насколько я понял, у Вас PHP скрипт, который проходит while/for по списку IP и портов с помощью fsockopen и проверяет, есть ли ответ и сохраняет работающие ip+port'ы в файл/БД (по крону есс-но).
Клиент-же обращается к другому скрипту, который достает из файла/БД сервера и с помощью rand/mt_rand выдает рандомный из них.

Что лучше? VPS/DS с лоад-балансером по типу HAProxy, который выдерживает нормальное количество TCP запросов (по сравнению с HTTP сервером)

Работы на минут этак 15.

В течении часа выложу скрипты по типу ТС'овских

Если бы все было так просто тогда зачем незачем было бы разрабатывать эту систему

Проблемы по типу HAProxy.
1. Как забанить человека по hwid и перестать ему выдавать айпишки впсов если 2 впса на которых он играл уже лежат(ддосер)?
2. Как выдавать человек айпишку на которой он игра при этом не меняя их при каждом запросе?, т.е. челу если выдался айпи 127,0,0.100 то в следующий раз если он не лежит тоже этот же выдастся.
2. Тот же клаудфлер защита заточена под сайт а не под балансеры(что-то не на 80 порт), положить балансер тем самым ничего не стоит.
3. Как производить авторизацию на впсах через апдейтер? не пускать же всех подряд через впс(иначе будет ситуация что узнал айпи впса и заддосил сервер)
4. Плюшки по типу сколько чел на впсе, какие сейчас лежат тоже не будет.

Это первое что пришло в голову, думаю еще ограничения будут только по сайт. Поэтому обычный балансер не подходит. Да и выдача сайтом айпишек это наименьшее из работы, основная сила это софт на впс(максимальное быстродействие на неблокирующих сокета с разным возможностями). + айдетер который умеет работать в случае падения сайта, внедрять в л2.ини айпишки, и т.д..

И самое главное. Если хоть ОДИН из пунктов что я писал в 1 посте не выполняется. Защита не работает, т.е. есть возможность заддосить. К примеру выдаются просто случайный айпи и т.д..

[xolseg]

Если бы все было так просто тогда зачем незачем было бы разрабатывать эту систему

Проблемы по типу HAProxy.
1. Как забанить человека по hwid и перестать ему выдавать айпишки впсов если 2 впса на которых он играл уже лежат(ддосер)?
2. Как выдавать человек айпишку на которой он игра при этом не меняя их при каждом запросе?, т.е. челу если выдался айпи 127,0,0.100 то в следующий раз если он не лежит тоже этот же выдастся.
2. Тот же клаудфлер защита заточена под сайт а не под балансеры(что-то не на 80 порт), положить балансер тем самым ничего не стоит.
3. Как производить авторизацию на впсах через апдейтер? не пускать же всех подряд через впс(иначе будет ситуация что узнал айпи впса и заддосил сервер)
4. Плюшки по типу сколько чел на впсе, какие сейчас лежат тоже не будет.

Это первое что пришло в голову, думаю еще ограничения будут только по сайт. Поэтому обычный балансер не подходит. Да и выдача сайтом айпишек это наименьшее из работы, основная сила это софт на впс(максимальное быстродействие на неблокирующих сокета с разным возможностями). + айдетер который умеет работать в случае падения сайта, внедрять в л2.ини айпишки, и т.д..

И самое главное. Если хоть ОДИН из пунктов что я писал в 1 посте не выполняется. Защита не работает, т.е. есть возможность заддосить. К примеру выдаются просто случайный айпи и т.д..

Вы наверное не очень поняли, о чем вел разговор Twinker, он писал о принципе работы и как работает ваше "изобретение". Так что не стоит кидаться камнями налево-право.

Мы же устроили эту дискуссию, что бы понять, стоит ли игра свеч, ведь каждый хочет докопаться до истины. Возможно, это хорошая разработка, которую можно будет улучшить и сделать сервис, а возможно и нет, кто знает..

[Gamlet]

В чем проблема перехватывать запрос в виндах? Или вы будите насильно ставить драйвер, который будет работать на нулевом кольце?

Нет конечно, да вот только нужно знать что перехвачивать. Программа то не в открытом виде да и зашифрованная той же темидой. Дебажить ее нужно специально по заказу(что будет сделано не за 1 день) и что мешает изменить алгоритм на следующее открытие?
Потому и продается в одни руки. Для 1 сервера этого делать никто не будет.

Обрубать подключения на 1 ип - нет смысла, особенно сейчас, когда кругом все стоит за NAT'ом.
А в чем проблема автоматически проходить авторизацию на ВПС и ждать пока откроется туннель между клиентом и сервером? Ведь после можно убить сам сервер (не машину, а софт), его же пакетами. Берем какой-нибудь реквест по-тяжелее и желательно, где реально есть состояние гонки и все > dev/null

Ограничение исключительно на SYN пакеты стоит в сек. Кол подключений стоит вменяемого(скажем 50-100), ну не будет за натом играть 100 человек одновременно.

Да ладно, никаких сил не хватит. Тот же SSH-сервер поддерживает туннелирование трафика.

На любом ВПС можно поднять туннель. Достаточно снизить уровень криптографии туннеля, чтобы уменьшить ресурсоемкость операций


6к за темиду?

на 256 мгц не уедешь. И туннель кроме как видения реальных айпишек на стороне сервера и доп. гемороя в настройках больше ничего не дает.


В любом случае защита проверялась. Сервер работает, заддосить не могут. Когда тратишь 600 у.е. на 2 фильтра и лежишь или тратишь 400 у.е и есть гарантия что будешь работать так как защиту не обошли то есть разница.

В любом случае сделать функционал чтобы игроку выдавался постоянный(не меняющийся при следющем разе) айпишник(плавно загружая игроками все впсы а не всех на один) и количество получаемых айпишников не превышало 2 штуки а потом бан при этом защитить сервер от атак через впсы простыми средствами не организовать.

[n3k0nation]

Нет конечно, да вот только нужно знать что перехвачивать. Программа то не в открытом виде да и зашифрованная той же темидой. Дебажить ее нужно специально по заказу(что будет сделано не за 1 день) и что мешает изменить алгоритм на следующее открытие?
Потому и продается в одни руки. Для 1 сервера этого делать никто не будет.

А зачем что-то одно маскировать? Если мы знаем, что существует бан по хвид, то можно хукать вообще все реквесты на получение серийников, да и любого железа, а там уже рандомить поддельную инфу.

[Gamlet]

Вы наверное не очень поняли, о чем вел разговор Twinker, он писал о принципе работы и как работает ваше "изобретение". Так что не стоит кидаться камнями налево-право.

Мы же устроили эту дискуссию, что бы понять, стоит ли игра свеч, ведь каждый хочет докопаться до истины. Возможно, это хорошая разработка, которую можно будет улучшить и сделать сервис, а возможно и нет, кто знает..

Я понял о чем он говорил, просто я показал почему именно не получится сделать такое же обычными средствами. Беда в том что защита работает только в комплексе когда выполняются все условия, нельзя просто поставить балансер и понеслась.

Мы также думали о сервисе чтобы просто раздавать сие чудо в аренду. Но имеется проблему как было сказано выше в подмене hwid. Т.е. отдебажить можно любую программу, достаточно определенных денежных вливаний. Для 1 сервер дебажить программу никто не будет а вот если она в массах тогда уже могут появится желающие. Нужно вводить тогда особые механизмы анти подмена hwid и постоянно с этим бороться.
Но так как работаем в другом бизнесе уже то этим заниматься просто никто не хочет.

Добавлено через 2 минуты

А зачем что-то одно маскировать? Если мы знаем, что существует бан по хвид, то можно хукать вообще все реквесты на получение серийников, да и любого железа, а там уже рандомить поддельную инфу.

А если она не использует серийники а просто при первом старте берет где-то сгенерированный код сохраняет и потом просто берет его оттуда? Или это в комплексе, в любом случае это нужно тратится на дебаг программы. Для 1 сервера никто этого делать не будет а вот если программа в массах то наверно только драйвер в 0 ринге как-то облегчит ситуацию

[n3k0nation]

А если она не использует серийники а просто при первом старте берет где-то сгенерированный код сохраняет и потом просто берет его оттуда? Или это в комплексе, в любом случае это нужно тратится на дебаг программы. Для 1 сервера никто этого делать не будет а вот если программа в массах то наверно только драйвер в 0 ринге как-то облегчит ситуацию

Это уже какой-то сферический конь в вакууме получается

[Twinker]

Если бы все было так просто тогда зачем незачем было бы разрабатывать эту систему

Проблемы по типу HAProxy.
1. Как забанить человека по hwid и перестать ему выдавать айпишки впсов если 2 впса на которых он играл уже лежат(ддосер)?
2. Как выдавать человек айпишку на которой он игра при этом не меняя их при каждом запросе?, т.е. челу если выдался айпи 127,0,0.100 то в следующий раз если он не лежит тоже этот же выдастся.
2. Тот же клаудфлер защита заточена под сайт а не под балансеры(что-то не на 80 порт), положить балансер тем самым ничего не стоит.
3. Как производить авторизацию на впсах через апдейтер? не пускать же всех подряд через впс(иначе будет ситуация что узнал айпи впса и заддосил сервер)
4. Плюшки по типу сколько чел на впсе, какие сейчас лежат тоже не будет.

Это первое что пришло в голову, думаю еще ограничения будут только по сайт. Поэтому обычный балансер не подходит. Да и выдача сайтом айпишек это наименьшее из работы, основная сила это софт на впс(максимальное быстродействие на неблокирующих сокета с разным возможностями). + айдетер который умеет работать в случае падения сайта, внедрять в л2.ини айпишки, и т.д..

И самое главное. Если хоть ОДИН из пунктов что я писал в 1 посте не выполняется. Защита не работает, т.е. есть возможность заддосить. К примеру выдаются просто случайный айпи и т.д..

1) Не понял сути вопроса. Вы о чем? Не умеете банить? VPS Же играют роль прокси-сервера (он с помощью, например, xInetD перебрасывает на реальный IP), на который обращается HAProxy. Если забанить на реальном сервере, доступа то он ведь не получит.
Как переставать выдавать IP? Никак. Даже Вы это не сможете сделать, не так ли? В Вашей клиентской части ("апдейтере") наверное обычный скрипт, который посылает POST/GET запрос на сервер по типу "hwid=XXXX, ..., ...". Перехватить - проще простого. А потом просто через браузер зайти. (Даже установленные уникальные REFERER'ы, USER-AGENT'ы не помогут. Все через обычный снифер будет поймано. Шифровка? Возможно поможет, но вряд ли. В таких случаях - проще положить сайт)

2) Костыли

2#2) Хм.. узнать реальный IP сервера за клоудфлейром очень и очень просто. пингануть random_symbols.domain.tld/mail.domain.tld/cpanel.domain.tld (это один из способов)

3) Эмм... а у Вас как? о_О. Там какой-то магический способ авторизации сделан? Это как проект от LameGuard на 1 апреля? (инновационная защита, использующая 25 кадр)

4) А Вы через PHP каким образом получаете информацию?) Может не "сколько чел", а "сколько подключений"?

Кстати, давайте посчитаем.
У нас есть 30 серверов по 300 рублей [дешевые самые] (каждый из которых положит школьник со спрута/janidos'а или другого софта).

30 * 300 р. = 9000 р. + покупаем у Вас скрипт за 4 000 рублей. Что выходит? 13 т.р. Не проще ли взять проксирование и не беспокоиться, что несколько школьников просто уложат все VDS? Вы как дудосера определите? Вот получил человек IP впски, уложил. Затем получил другой и т.д. Смысла не вижу, слишком все просто. А если еще дополнительно брать "защищенный" сервер, как описываете Вы - то вообще бешеная сумма выходит, а результат не очень

[Gamlet]

1) Не понял сути вопроса. Вы о чем? Не умеете банить? VPS Же играют роль прокси-сервера (он с помощью, например, xInetD перебрасывает на реальный IP), на который обращается HAProxy. Если забанить на реальном сервере, доступа то он ведь не получит.

Трафик должен блочится на стороне впс а не на стороне сервера. Иначе син флуд и игровой сервер лежит. Впсы перенаправляют трафик на реальный айпи только если сайт сказал что этому айпи можно зайти на этот впс(ну и еще там в одном случае). На игровой сервер должен приходить исключительно чистый трафик или чуууутьчууть мусора.

Как переставать выдавать IP? Никак. Даже Вы это не сможете сделать, не так ли? В Вашей клиентской части ("апдейтере") наверное обычный скрипт, который посылает POST/GET запрос на сервер по типу "hwid=XXXX, ..., ...". Перехватить - проще простого. А потом просто через браузер зайти. (Даже установленные уникальные REFERER'ы, USER-AGENT'ы не помогут. Все через обычный снифер будет поймано. Шифровка? Возможно поможет, но вряд ли. В таких случаях - проще положить сайт)

Дык оно и шифруется. Так что мы можем перестать выдавать айпи. И это и было как раз сделано для того чтобы небыло возможности получить с 1 машинки все айпишки впсов.

2) Костыли

Согласен , но работает

3) Хм.. узнать реальный IP сервера за клоудфлейром очень и очень просто. пингануть random_symbols.domain.tld/mail.domain.tld/cpanel.domain.tld (это один из способов)

Ну, это детский способ не так там все просто.

4) А Вы через PHP каким образом получаете информацию?) Может не "сколько чел", а "сколько подключений"?

Да, правильно. Сколько подключений.

Добавлено через 7 минут

30 * 300 р. = 9000 р. + покупаем у Вас скрипт за 4 000 рублей. Что выходит? 13 т.р. Не проще ли взять проксирование и не беспокоиться, что несколько школьников просто уложат все VDS? Вы как дудосера определите? Вот получил человек IP впски, уложил. Затем получил другой и т.д. Смысла не вижу, слишком все просто. А если еще дополнительно брать "защищенный" сервер, как описываете Вы - то вообще бешеная сумма выходит, а результат не очень

Наверно мне уже нету смысла дальше отвечать
Я описывал выше что неможет пару человек заддосить все впсы и получить все айпишки.
Защита для крупные серверов, сумма для защиты совсем не заоблачная а как раз такая если брать 2 фильтра. Берешь 2 фильтра и лежишь или строешь сложную защиту но работаешь, выбор для тех кто открывает сервера. На данный момент просто не существует защиты которая бы защищала и не лежала и это прекрасно известно.

[Twinker]

Трафик должен блочится на стороне впс а не на стороне сервера. Иначе син флуд и игровой сервер лежит. Впсы перенаправляют трафик на реальный айпи только если сайт сказал что этому айпи можно зайти на этот впс(ну и еще там в одном случае). На игровой сервер должен приходить исключительно чистый трафик или чуууутьчууть мусора.

Дык оно и шифруется. Так что мы можем перестать выдавать айпи. И это и было как раз сделано для того чтобы небыло возможности получить с 1 машинки все айпишки впсов.


Согласен , но работает


Ну, это детский способ не так там все просто.


Да, правильно. Сколько подключений.

Добавлено через 7 минут


Наверно мне уже нету смысла дальше отвечать
Я описывал выше что неможет пару человек заддосить все впсы и получить все айпишки.
Защита для крупные серверов, сумма для защиты совсем не заоблачная а как раз такая если брать 2 фильтра. Берешь 2 фильтра и лежишь или строешь сложную защиту но работаешь, выбор для тех кто открывает сервера. На данный момент просто не существует защиты которая бы защищала и не лежала и это прекрасно известно.

Эмм, почему же "нету смысла дальше отвечать"?
--------
Как раз может, очень даже!

Смотрите. Человек подключился и зашел в игру, в сниффере узнал IP VPS, заддосил, подождал 1 минуту, пока там обновится статус серверов, получил новый IP, зашел в игру, посмотрел в синффере, заддосил и так все фильтры.

Эх, если бы все было так просто, как Вы это описываете. Вы никак не определите, что этот человек - ддосер, а другой - игрок. Он же не со своего IP будет атаковать (если не школьник со спрутом какой-нибудь).

Про скрипт забыл, допишу в течении полу часа и выложу.

[Gamlet]

Эмм, почему же "нету смысла дальше отвечать"?
--------
Как раз может, очень даже!

Смотрите. Человек подключился и зашел в игру, в сниффере узнал IP VPS, заддосил, подождал 1 минуту, пока там обновится статус серверов, получил новый IP, зашел в игру, посмотрел в синффере, заддосил и так все фильтры.

Эх, если бы все было так просто, как Вы это описываете. Вы никак не определите, что этот человек - ддосер, а другой - игрок. Он же не со своего IP будет атаковать (если не школьник со спрутом какой-нибудь).

Про скрипт забыл, допишу в течении полу часа и выложу.

Узнал айпи, заддосил, узнал потом второй айпи с фильтром, кое как заддосил, и вот пока лежат 2 сервера(впс и с фильтром) он узнает третий(если какой-то просыпается то выдается старый айпи) айпи(при этом этот айпи выдается ему рендомный уже, чтобы все игроки что были тоже на предыдущих 2 айпи имели меньший шанс попасть на этот впс с ддосером). Он ддосит и этот впс и получает банан по hwid. Больше ему не выдаются айпишки. Снять банан он сможет только изменив свой hwid что сделать нетак то и просто(отправляется hwid зашифрованный).