Jump to content
Asterios

DDoS и вариант решения этой проблемы.


Rrr4rm

Recommended Posts

Многие помнят проблемы с DDoS на прошлом фениксе и ожидают проблемы такого плана на старте нового x7.
У меня есть довольно разумное предложение для администрации:
На время старта и при появлении признаков DDoS атаки на сервера активировать "белый список IP", которые будут перенаправляться сразу на сервер (отдельный канал), в то время как остальные - в общий поток.
Возможность добавления IP сделать через вкладку "Регистрация" или вообще внутриигровой командой.

Технически реализовать данную процедуру не столь сложно, а до старта осталось еще достаточно времени, чтобы подавляющее большинство пользователей успели добавить себя.

Link to comment
Share on other sites

Что если с "белых IP" тоже будут DDoSить (многие сидять на серых адресах за NATом провайдера)?

Предл бред.

Link to comment
Share on other sites

1. Данное предложение - не панацея и не идеальная защита, но оно даст большему количеству игроков не ощущать проблем.

2. Есть разница, иметь десятки тысяч подключений и не знать, где пользователь, а где элемент ботнета и парой тысяч ip, тип и объем трафика которых можно мониторить стандартными инструментами администрирования и отправлять из белого в черный список тех, кто вызывает подозрения. Если это живой игрок - на форуме уже есть ссылка для удаления себя из блока. Введут капчу и продолжат играть.

Link to comment
Share on other sites

Что-то подобное уже предлагалось. За 2-3 сервера такой список можно сделать автоматически на основании поведенческих факторов игроков, вопрос в промежутке времени за который собирать адреса, как их обновлять и сервисе который будет собирать эти ip адреса внутри серверов или какие нить сторонние сервисы. 

 

Ну сайт положить тоже проблем особо нет.

Link to comment
Share on other sites

Несколько лет назад была на сайте опция внести свой IP.

Только вот почему все игроки думают, что они не ДДоСят? Думаю у многих стоят апдейтеры фогейма и прочих фришек. 

Link to comment
Share on other sites

Интересно автор знает что такое NAT? Белые списки ip адресов белых людей в белых рясах... Открою тайну 70% Юзверьских домашних машин это ботнеты в слипе. Единственное, что можно предпринять это усложнить авторизацию и то это не спасет ситуацию.

Link to comment
Share on other sites

В 01.09.2017 в 09:22, iSens сказал:

Интересно автор знает что такое NAT? Белые списки ip адресов белых людей в белых рясах... Открою тайну 70% Юзверьских домашних машин это ботнеты в слипе. Единственное, что можно предпринять это усложнить авторизацию и то это не спасет ситуацию.

Да, автор знает о NAT, маршрутизации и не забывает о качестве и состоянии ПО у 99% зверьков.
А вот тут можешь немного ознакомиться с тематикой и Ты:
http://citforum.ru/nets/services/services02.shtml

 

 

В 31.08.2017 в 11:11, StеrWоzа сказал:

Несколько лет назад была на сайте опция внести свой IP.

Только вот почему все игроки думают, что они не ДДоСят? Думаю у многих стоят апдейтеры фогейма и прочих фришек. 


А вот тут уже интересно - почему решили отказаться от такой опции. Хоть и не уверен, что расскажут.
Да, игрок может быть частью ботнета и участвовать в атаке, не подозревая об этом. Но, как я уже и писал, найти подключения с подозрительным трафиком из 2-3к куда проще, нежели из 10-20к. А для повторного включения в белый список можно сделать геометрическую прогрессию по задержке времени: с 20-30 секунд до часа. 


Общий смысл не в том, чтобы полностью защититься от атаки (это не возможно, кроме как отключив оборудование), а в том, чтобы минимизировать число пользователей, испытывающих проблемы.

Link to comment
Share on other sites

4 минуты назад, Rrr4rm сказал:

Да, автор знает о NAT, маршрутизации и не забывает о качестве и состоянии ПО у 99% зверьков.
А вот тут можешь немного ознакомиться с тематикой и Ты:
http://citforum.ru/nets/services/services02.shtml

 

 


А вот тут уже интересно - почему решили отказаться от такой опции. Хоть и не уверен, что расскажут.
Да, игрок может быть частью ботнета и участвовать в атаке, не подозревая об этом. Но, как я уже и писал, найти подключения с подозрительным трафиком из 2-3к куда проще, нежели из 10-20к. А для повторного включения в белый список можно сделать геометрическую прогрессию по задержке времени: с 20-30 секунд до часа. 


Общий смысл не в том, чтобы полностью защититься от атаки (это не возможно, кроме как отключив оборудование), а в том, чтобы минимизировать число пользователей, испытывающих проблемы.

что за ересь ты несешь? каким образом ты будешь выдавать белый сертификат? какие гарантии твое честное слово?? у 40 % нет статики в рунете 1 ip  y 100500 эникеев.



10 минут назад, Rrr4rm сказал:

 

 

11 минуту назад, Rrr4rm сказал:

Да, автор знает о NAT, маршрутизации и не забывает о качестве и состоянии ПО у 99% зверьков.
А вот тут можешь немного ознакомиться с тематикой и Ты:
http://citforum.ru/nets/services/services02.shtml

 

 


А вот тут уже интересно - почему решили отказаться от такой опции. Хоть и не уверен, что расскажут.
Да, игрок может быть частью ботнета и участвовать в атаке, не подозревая об этом. Но, как я уже и писал, найти подключения с подозрительным трафиком из 2-3к куда проще, нежели из 10-20к. А для повторного включения в белый список можно сделать геометрическую прогрессию по задержке времени: с 20-30 секунд до часа. 


Общий смысл не в том, чтобы полностью защититься от атаки (это не возможно, кроме как отключив оборудование), а в том, чтобы минимизировать число пользователей, испытывающих проблемы.

Спамят UDP и ТСP мусором, и если ты такой паездатый иженер по безопасности, то я бы тебя даже картриджи заправлять не взял к себе в отдел.

Link to comment
Share on other sites

1 час назад, iSens сказал:

что за ересь ты несешь? каким образом ты будешь выдавать белый сертификат? какие гарантии твое честное слово?? у 40 % нет статики в рунете 1 ip  y 100500 эникеев.


 

 

 

Спамят UDP и ТСP мусором, и если ты такой паездатый иженер по безопасности, то я бы тебя даже картриджи заправлять не взял к себе в отдел.

спам udp и tcp мусором решается на стороне провайдера на уровне ограничения pps на портах свичей. но в 99% случаев им это нафик не впало ибо лень и надо ставить управляемые вместо soho решений за 50 баксов.

Edited by Extortioner
Link to comment
Share on other sites

11 минуту назад, Extortioner сказал:

спам udp и tcp мусором решается на стороне провайдера на уровне ограничения pps на портах свичей. но в 99% случаев им это нафик не впало ибо лень и надо ставить управляемые вместо soho решений за 50 баксов.

Если манера спама меняется постоянно и является запросом клиента asterios, то ограничение пакетов в секунду усугубит ситуацию с лагами даже если ставить сиську или микротик входящий трафик на 1,2,10 портов это убьет полностью работоспособность если их не 800 скажем. У тебя грубо говоря... будем откровенны на все сервера до 5 к клиентов с постоянным трафиком, а ты хочешь пакеты резать? 

Edited by iSens
Link to comment
Share on other sites

Сорри если не в тему, заметил кое что странное в поведении клиента и прочитав это:

38 минут назад, iSens сказал:

манера спама меняется постоянно и является запросом клиента asterios

решил вставить свои 5 копеек (вдруг да поможет хоть чем то), значит качаюсь я в 3 окна и все персы бегают по разным локам (делают квесты на 1 профу и кач одно) и вот что странно, разговаривая с нпс окном-1 в то время как окно-2 вообще за городом (нпс рядом нету) у окна-2 открывались пустые окна (как будто он "разговаривает" с нпс, но окошки пустые без текста) такое было 2-3 раза, причём синхронно с разговорами на других окнах (самомроизвольно не открывались ни разу), так же замечены были попытки неактивных окошек "повторять" действия активного (убегали куда то, активировали что то пару раз) то есть, как бы окно-1 отправляет данные а получают несколько или что то в этом роде. может быть нас (ну а вдруг) и не дудосют вовсе, а виновата ошибка в коде клиента?

 

зы. я имею ввиду что возможно сам клиент порождает поток "мусора" (возможно он его порождает только при 2-3 окнах) и при огромном количестве игроков получается некий дудос.

Edited by xEvaSaintx
Link to comment
Share on other sites

3 минуты назад, xEvaSaintx сказал:

Сорри если не в тему, заметил кое что странное в поведении клиента и прочитав это:

решил вставить свои 5 копеек (вдруг да поможет хоть чем то), значит качаюсь я в 3 окна и все персы бегают по разным локам (делают квесты на 1 профу и кач одно) и вот что странно, разговаривая с нпс окном-1 в то время как окно-2 вообще за городом (нпс рядом нету) у окна-2 открывались пустые окна (как будто он "разговаривает" с нпс, но окошки пустые без текста) такое было 2-3 раза, причём синхронно с разговорами на других окнах (самомроизвольно не открывались ни разу), так же замечены были попытки неактивных окошек "повторять" действия активного (убегали куда то, активировали что то пару раз) то есть, как бы окно-1 отправляет данные а получают несколько или что то в этом роде. может быть нас (ну а вдруг) и не дудосют вовсе, а виновата ошибка в коде клиента?

На других серверах такого нет. Ошибка в окнах, вернее в пакетах которые получает клиент. Чтобы избежать подобного можно каждое "окно" открывать с аналогичной папки клиента игры замечу, что если данные папки расположены на разных "жестких дисках" это поднимет фпс.

Link to comment
Share on other sites

Сильнейшие сервисы по защиты от ддоса роняют ддосом, ну тут автор просто гениальные идеи выдает, и как тысячи человек  раньше не подумали о такой опции.

Снимаю шляпу! Браво! 

Link to comment
Share on other sites

"белые" списки это конечно хорошо, но перестало быть актуальным лет 8 назад. Нет, они конечно могут пригодиться в некоторых случаях, и только при определенных типах атак, и можно даже пытаться блокировать часть трафика через iptables, но в основном это похоже на попытку вычерпать воду ложкой из лодки, с дырой радиусом в метр.

 

Даже если на сервере мощные процессоры, и 10 гбит сетевуха с таким же каналом, при полной блокировке через iptables всех ip адресов кроме своего, вы не сможете не то что играть, а даже зайти на ssh. Да какой там ssh, даже пинги ходить не будут :)

Link to comment
Share on other sites

В 02.09.2017 в 15:21, iSens сказал:

Если манера спама меняется постоянно и является запросом клиента asterios, то ограничение пакетов в секунду усугубит ситуацию с лагами даже если ставить сиську или микротик входящий трафик на 1,2,10 портов это убьет полностью работоспособность если их не 800 скажем. У тебя грубо говоря... будем откровенны на все сервера до 5 к клиентов с постоянным трафиком, а ты хочешь пакеты резать? 

никак это не усугубит ситуацию для абонента, если у него комп не рассадник вирусов. ставится ограничение на PPS в пределах 500-700 для генерируемого абонентом траффика и все эти домашние горе дудосеры начинают огорчаться. даже 500 много будет для 99% пользователей, т.к. в среднем даже при игре в онлайн игры, параллельно сидя в говорилке и смотря что-то в инете на Tx стороне PPS врядле даже за 300 завалится без кучи активных торрент раздач.



и да - надеюсь это упоминание микротика не для дц было? :blink:

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...