DDoS-усточивый логин

[KilRoy]

Цитата:

Сообщение от Twinker

Значит у Вас немного другое понимание порт-кнокинга. Хотя, может быть у меня оно другое, а у Вас нормальное.

Просто не нужно судить стандартными решениями На них далеко не уедешь

[Литион]

Может поможет:

Свернуть ↑ iptables
$IPT -I INPUT -i eth0 -p tcp --dport 2106 -m connlimit --connlimit-above 5 -j DROP
$IPT -A INPUT -p tcp -m tcp --dport 2106 -m state --state NEW -m hashlimit --hashlimit 1/hour --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name GS --hashlimit-htable-expire 60000 -j ACCEPT

Свернуть ↑Развернуть ↓

[ShadowName]

Цитата:

Сообщение от Aristocrat

Совершенно верно. Так и получается. ГС закрыт, ЛС под ударом.
ЛГ вроде чуть по другому работает, но по факту тоже не помогает. Коннекты до ЛС все равно есть.

А от заполнения интернет канала на котором весит ГС это поможет?

[xolseg]

Цитата:

Сообщение от Литион

Может поможет:

Свернуть ↑ iptables
$IPT -I INPUT -i eth0 -p tcp --dport 2106 -m connlimit --connlimit-above 5 -j DROP
$IPT -A INPUT -p tcp -m tcp --dport 2106 -m state --state NEW -m hashlimit --hashlimit 1/hour --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name GS --hashlimit-htable-expire 60000 -j ACCEPT

Свернуть ↑Развернуть ↓

Вам лишь бы что написать? ТС ясно же указал, что хочет добиться проверки подключений к ЛС средствами ЛС(т.е. java кодом, а не иптаблесом).

ТС, а чего именно вы хотите добиться? Можно подробнее?

Размышления вслух.:

Свернуть ↑ Лично я бы предложил вариант с апдейтером с полями login+password, для чего это нужно?
После подбора ввода логина и пароля, ип адрес вносится в белый лист и после этого ему открыт доступ к порту логин сервера, что то типа
getConnection("jdbc:mysql://url/db_name?" + "user=" + login+ "&password="+pass);
Ну это просто размышления, так как нагрузка пойдет на вебсервис или другой сервис на котором будет находится updater и софт для проверки данных, упадет сайт или машины, ни кто не сможет подключится, но тут тоже есть вариант, снять пару дешевых машин и сделать карусель или 1 машину и защищать и её тоже.

Ну это только размышления вслух не более того.

Свернуть ↑Развернуть ↓

[n3k0nation]

Цитата:

Сообщение от Aristocrat

Ну вот к примеру затычка в SelectorTread, метод acceptConnection

Код:
//Тестовая затычка
if (_connections.size() > 500) {
for (MMOConnection<T> mMOConnection : _connections) {
closeConnectionImpl(mMOConnection);
}
return;
}
Самое просто, что пришло в голову.

Для этих целей есть такая вещь, как backlog, она задается в настройке открытия серверного сокета.
Для решения Вашей проблемы лучше всего настроить таймауты (что бы сунк коннекты меньше висели) на маленькое время, плюс к этому следить насколько часто приходят сунк запросы от одного клиента. Если они идут переодично в течении некоторого времени, то блокируем минут на 5.
Даже, если игрок и умудрился попасть в список временного бана по синку, а это достаточно трудно, то ничего страшного не случиться, а место для новых коннектов будет.

Интересная статья на буржуйском, по поводу расширения беклога и вообще, что это такое: тык-тык.

[Aristocrat]

На практике, получается, что тот самый denial of service получается, если мы вообще пытаемся хоть как-то обработать входящий траф(правила, блеклист etc.)

Даже прогон iptables на несколько тысяч правил - это ощутимая нагрузка на систему.

Задача стоит в том, чтобы не дать сгуфиться логину и гейму, если вдруг на них пойдет "неправильный траффик" любой формы. Флудом на истощение канала, в условиях текущей задачи, можно принебречь. Пусть даже не будет возможности провести валидный коннект - главное живой ЛС и ГС на момент прекращения атаки.

[n3k0nation]

Цитата:

Сообщение от Aristocrat

На практике, получается, что тот самый denial of service получается, если мы вообще пытаемся хоть как-то обработать входящий траф(правила, блеклист etc.)

Даже прогон iptables на несколько тысяч правил - это ощутимая нагрузка на систему.

Задача стоит в том, чтобы не дать сгуфиться логину и гейму, если вдруг на них пойдет "неправильный траффик" любой формы. Флудом на истощение канала, в условиях текущей задачи, можно принебречь.

Тогда в данном случае только хардкор решение: настройка глобального баклога на системе и таймаутов, плюс их переопределение при открытии серверного сокета уже в самом приложении. При этом стоит так же настроить максимальное количество дескрипторов в системе.

[xolseg]

Вопрос немного не по теме, но как работает логин вообще?

[Erwin]

Меня больше интересует в процессе ДДуоса - затрагивается, ли Клиентская часть(Там ведь описан метод обмена данными).
Как узнается Айпи(кроме .ini), и можно ли этот левый код исправит на стороне клиента(который высвечивает айпи через тот же Netstat при коннекте клиента с сервером)чтобы сложнее было вычислить Айпи сервера.

[Aristocrat]

Как я понимаю, на стороне клиента скрыть реальный ИП, не прибегая к облакам и проксированию - нереально.