Принцип Построения "antiddos" Программным Методом.

[xINVIZIBLx 67]

Ниже, весь написанный текст это только мои мысли.

 

Все наверно знают, что такое Ddos.

И когда идет Ddos на ваш сервер многие не знают, что делать.

Так вот сидевши вечером, делать было нечего.

Копаясь в Login Servere L2jFrozen наткнулся на это.

Скрытый текст

# =============================================================

# Anti Ddos protection.

# This system works with iptables

# =============================================================

# iptables -A INPUT -p tcp --dport 7777 -j DROP

# IMPORTANT: Put True for server security.

# IMPORTANT: Active only with LINUX OS.

EnableDdosProSystem = False

# String deny_comms

# IMPORTANT: If you don't know what is it, leave as default

Deny_noallow_ip_ddos = /sbin/iptables -I INPUT 13 -p tcp --dport 7777 -s $IP -j ACCEPT

# Active full log on Login Server console about Ddos protection

Fulllog_mode_print = false

Я давно знал об этом и пользовался им, но в тот вечер ко мне пришла ИДЕЯ.

Тоесть пользуясь этим конфигом мы оставляем порт открытым, что не решает проблемму в корень.

Я начал развивать тему дальше с Anti Ddos protection.

Картинка с помощью которой изложу суть.

Скрытый текст

1. Все порты у нас закрыты, кроме для нашего IP

2. Игрок запускает клиент.

3. Клиент обращаеться к Сайту с ключом.

4. Сайт проверяет ключ.

5. Верно добовляем в TXT файл или Mysql таблицу.

6. Сервер обращается к сайту для получения IP клиента.

7. Сервер делает команду Deny_noallow_ip_ddos.

Преимущества данной системы порты открываются для "правельных IP", а не все время висят открытими.

Больше чем уверен Ddos Будет невозможен - это тоже самое, что пытаться пройти через дверной проем с закрытой дверью.

PS возмозжно неполно донес суть самой ситемы, но вы не пинайте, вопросы задавайте.

Изменено 25 июля, 2012 пользователем xINVIZIBLx

[xINVIZIBLx 67]

Вся загвоздка в написании DLL`ки. Почти такой принцып в защите Core. Там идет обращения к сайту.

Неполучилось уложиться в одно сообщение.

Эта система только будет работать на Linux OS, так там IpTables.

Изменено 25 июля, 2012 пользователем xINVIZIBLx

[Blastoma 5]

lame guard уже это давно придумали.

да и не они придумали то по сути)

[MaxiMuM 11]

Ниже, весь написанный текст это только мои мысли.

 

Все наверно знают, что такое Ddos.

И когда идет Ddos на ваш сервер многие не знают, что делать.

Так вот сидевши вечером, делать было нечего.

Копаясь в Login Servere L2jFrozen наткнулся на это.

Скрытый текст

# =============================================================

# Anti Ddos protection.

# This system works with iptables

# =============================================================

# iptables -A INPUT -p tcp --dport 7777 -j DROP

# IMPORTANT: Put True for server security.

# IMPORTANT: Active only with LINUX OS.

EnableDdosProSystem = False

# String deny_comms

# IMPORTANT: If you don't know what is it, leave as default

Deny_noallow_ip_ddos = /sbin/iptables -I INPUT 13 -p tcp --dport 7777 -s $IP -j ACCEPT

# Active full log on Login Server console about Ddos protection

Fulllog_mode_print = false

Я давно знал об этом и пользовался им, но в тот вечер ко мне пришла ИДЕЯ.

Тоесть пользуясь этим конфигом мы оставляем порт открытым, что не решает проблемму в корень.

Я начал развивать тему дальше с Anti Ddos protection.

Картинка с помощью которой изложу суть.

Скрытый текст

1. Все порты у нас закрыты, кроме для нашего IP

2. Игрок запускает клиент.

3. Клиент обращаеться к Сайту с ключом.

4. Сайт проверяет ключ.

5. Верно добовляем в TXT файл или Mysql таблицу.

6. Сервер обращается к сайту для получения IP клиента.

7. Сервер делает команду Deny_noallow_ip_ddos.

Преимущества данной системы порты открываются для "правельных IP", а не все время висят открытими.

Больше чем уверен Ddos Будет невозможен - это тоже самое, что пытаться пройти через дверной проем с закрытой дверью.

PS возмозжно неполно донес суть самой ситемы, но вы не пинайте, вопросы задавайте.

 

Если так подумать, то данная защита может реально спасать от атаки. Но при падении сайта, на сервер не зайти.

А по поводу скрипта. Можно организовать SSH между сервером и web сервером. Скрипт на вебе будет проверять IP, ключ и возможно протокол. Если его всё устраивает то он добавляет новое правило в IP Table

 

P.S тоже мои мысли)

[MaxiMuM 11]

Кстати тут есть ещё один плюс. Если ключ клиент части не будет совпадать, то человек не зайдёт на сервер.

Хотя нет.... Зайдёт

[Blastoma 5]

А есть ещё одна проблема...

 

Забъют канал и всё.

[xINVIZIBLx 67]

Если так подумать, то данная защита может реально спасать от атаки. Но при падении сайта, на сервер не зайти.

А по поводу скрипта. Можно организовать SSH между сервером и web сервером. Скрипт на вебе будет проверять IP, ключ и возможно протокол. Если его всё устраивает то он добавляет новое правило в IP Table

 

P.S тоже мои мысли)

Отлично я так и думал, можно вообще бесплатный хостинг взять с поддержкой PHP. И фиг кто его узнает.

[xINVIZIBLx 67]

А есть ещё одна проблема...

 

Забъют канал и всё.

Как? Если порты будут открываться только "нужным людям".

[LilDad 39]

Если сделать проверку через сайт, то делать явно не через главный сайт сервера, взять сделать поддомен или вообще левый домен и сделать на нем проверку...

А еще можно сделать несколько таких сайтов, чтобы к примеру, один упал, зато другой держит все...

[xINVIZIBLx 67]

Занялся реализацией.

Следите за темой, может быть что-нибудь да получится.

Изменено 28 июля, 2012 пользователем xINVIZIBLx

[RuleZ 10]

ЗА такие вещи готов платить!!! Намутите что то-))))

[MaxiMuM 11]

Такую вещь почти намутил) Только надо проверить и поправить кое-что

[Blastoma 5]

Как? Если порты будут открываться только "нужным людям".

Объясню: Вам в дверь ломится 100 бандитов и 1 нормальный человек. Вот он не пройдёт пока ломятся 100 бандитов. Просто ему не пройти до двери. Ваша защита - дверь

А коридор - канал)

 

Ну короче мораль: Сейчас надо защиту ставить на уровне ДЦ. Либо брать канал 1гбит/с+ и прибавить вашу защиту, тогда, будет нормально. Но если у вас канал будет 100 мегов, и будет ддос в 150 мегов, просто забъют канал. К серверу не подайдут, но доступа к вашему серверу у людей не будет

[xINVIZIBLx 67]

Объясню: Вам в дверь ломится 100 бандитов и 1 нормальный человек. Вот он не пройдёт пока ломятся 100 бандитов. Просто ему не пройти до двери. Ваша защита - дверь

А коридор - канал)

 

Ну короче мораль: Сейчас надо защиту ставить на уровне ДЦ. Либо брать канал 1гбит/с+ и прибавить вашу защиту, тогда, будет нормально. Но если у вас канал будет 100 мегов, и будет ддос в 150 мегов, просто забъют канал. К серверу не подайдут, но доступа к вашему серверу у людей не будет

Ну это же лучше чем ничего.

[Voled 183]

.

Изменено 19 августа, 2012 пользователем Voled

[driad 42]

взять хост с циско и все.автор удачи.ждем результат.

[Relvl 26]

С ходу небольшая модернизация идеи.

Зачем вэб на это напрягать?

 

Писать сразу уж Аутентикейт-Сервер, поднимать его на произвольном порту. и отвечать только на правильные запросы.

Если клиент прошел - открывать iptable для Лса, а если авторизация в ЛС прошла - открывать iptable для Гса.

 

По поводу клиентской части - PE-редактором приаттачивать либу.

Либа при запуске саспендит все потоки приложения, кроме ствоего.

Создает новый поток с сокетом, который коннектитная на Аутентикейт, сообщает ему параметры железа.

Аутентикейт отвечает, что всё в порядке и доступ открыл.

Либа убивает свой воторой поток, размораживает потоки клиента и детачится.

 

Всё просто.

А если ещё хукать этой же либой расшифрованный клиентом трафик - и перешифровывать его - будет вообще сказка.

[djston 8]

эх наивные..... я с помощью линухи могу запретить лишние пакеты и все вся дос уйдет в жопу! на работе были попытки все без успешные!

[Relvl 26]

"Я магу управлять сервирам усилиям мысли!"

 

Голословных "авторов" мало кто слушает. Примеры настройки?

 

PS: Одно только Ваше слово "линуха" уже направляет Вас в сторону разряда "ламеры"...

[djston 8]

С ходу небольшая модернизация идеи.

Зачем вэб на это напрягать?

 

Писать сразу уж Аутентикейт-Сервер, поднимать его на произвольном порту. и отвечать только на правильные запросы.

Если клиент прошел - открывать iptable для Лса, а если авторизация в ЛС прошла - открывать iptable для Гса.

 

По поводу клиентской части - PE-редактором приаттачивать либу.

Либа при запуске саспендит все потоки приложения, кроме ствоего.

Создает новый поток с сокетом, который коннектитная на Аутентикейт, сообщает ему параметры железа.

Аутентикейт отвечает, что всё в порядке и доступ открыл.

Либа убивает свой воторой поток, размораживает потоки клиента и детачится.

 

Всё просто.

А если ещё хукать этой же либой расшифрованный клиентом трафик - и перешифровывать его - будет вообще сказка.

 

Излогай мысль русским языком а не написанием английских слов русскими буквами! да и кстати лишний софт типа терминейтед сервер грузит сеть и делает задержку во время подключния! А если 100 подключений в итоге обработка на входе снизитьс до 70% ! Для такого нужно на входе иметь кист сервер!

[djston 8]

"Я магу управлять сервирам усилиям мысли!"

 

Голословных "авторов" мало кто слушает. Примеры настройки?

 

PS: Одно только Ваше слово "линуха" уже направляет Вас в сторону разряда "ламеры"...

 

линуха это слово паразит у меня) а то что я ламер это обидно( я работаю с этим оборудоанием уже 10 лет и опыта достаточно! Да и кстати скрипты пишите сами... это тоже самое что позвонить в наса и попросить у них команды на доступ к ПУТ

[djston 8]

Короче о чем мы говорим)))) посмотрите гид по дата центрам где расположены игровые сервера WOW и L2 и будет понятно все что ваши выдумки это только насмешки над защитой..... Да и в прочем пряморукость защитит от малолетних сучат с дос программами из шары или самописки!

[Relvl 26]

Опять же: слова выражаете малосвязанные.

Линки, хотя бы, приведите... Говорить о том, что всё длается просто и элементарно - проще простого.

Я вот Вам тоже могу сказать, что мультиконтроллер и мост перепаять на ноуте или xBox - проще простого.