Перейти к содержанию
Авторизация  
xINVIZIBLx

Принцип Построения "antiddos" Программным Методом.

Рекомендуемые сообщения

Ниже, весь написанный текст это только мои мысли.

 

Все наверно знают, что такое Ddos.

И когда идет Ddos на ваш сервер многие не знают, что делать.

Так вот сидевши вечером, делать было нечего.

Копаясь в Login Servere L2jFrozen наткнулся на это.

Скрытый текст
# =============================================================

# Anti Ddos protection.

# This system works with iptables

# =============================================================

# iptables -A INPUT -p tcp --dport 7777 -j DROP

# IMPORTANT: Put True for server security.

# IMPORTANT: Active only with LINUX OS.

EnableDdosProSystem = False

# String deny_comms

# IMPORTANT: If you don't know what is it, leave as default

Deny_noallow_ip_ddos = /sbin/iptables -I INPUT 13 -p tcp --dport 7777 -s $IP -j ACCEPT

# Active full log on Login Server console about Ddos protection

Fulllog_mode_print = false

Я давно знал об этом и пользовался им, но в тот вечер ко мне пришла ИДЕЯ.

Тоесть пользуясь этим конфигом мы оставляем порт открытым, что не решает проблемму в корень.

Я начал развивать тему дальше с Anti Ddos protection.

Картинка с помощью которой изложу суть.

Скрытый текст
image.png

1. Все порты у нас закрыты, кроме для нашего IP

2. Игрок запускает клиент.

3. Клиент обращаеться к Сайту с ключом.

4. Сайт проверяет ключ.

5. Верно добовляем в TXT файл или Mysql таблицу.

6. Сервер обращается к сайту для получения IP клиента.

7. Сервер делает команду Deny_noallow_ip_ddos.

Преимущества данной системы порты открываются для "правельных IP", а не все время висят открытими.

Больше чем уверен Ddos Будет невозможен - это тоже самое, что пытаться пройти через дверной проем с закрытой дверью.

PS возмозжно неполно донес суть самой ситемы, но вы не пинайте, вопросы задавайте.

Изменено пользователем xINVIZIBLx

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вся загвоздка в написании DLL`ки. Почти такой принцып в защите Core. Там идет обращения к сайту.

Неполучилось уложиться в одно сообщение.

Эта система только будет работать на Linux OS, так там IpTables.

Изменено пользователем xINVIZIBLx

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

lame guard уже это давно придумали.

да и не они придумали то по сути)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ниже, весь написанный текст это только мои мысли.

 

Все наверно знают, что такое Ddos.

И когда идет Ddos на ваш сервер многие не знают, что делать.

Так вот сидевши вечером, делать было нечего.

Копаясь в Login Servere L2jFrozen наткнулся на это.

Скрытый текст
# =============================================================

# Anti Ddos protection.

# This system works with iptables

# =============================================================

# iptables -A INPUT -p tcp --dport 7777 -j DROP

# IMPORTANT: Put True for server security.

# IMPORTANT: Active only with LINUX OS.

EnableDdosProSystem = False

# String deny_comms

# IMPORTANT: If you don't know what is it, leave as default

Deny_noallow_ip_ddos = /sbin/iptables -I INPUT 13 -p tcp --dport 7777 -s $IP -j ACCEPT

# Active full log on Login Server console about Ddos protection

Fulllog_mode_print = false

Я давно знал об этом и пользовался им, но в тот вечер ко мне пришла ИДЕЯ.

Тоесть пользуясь этим конфигом мы оставляем порт открытым, что не решает проблемму в корень.

Я начал развивать тему дальше с Anti Ddos protection.

Картинка с помощью которой изложу суть.

Скрытый текст
image.png

1. Все порты у нас закрыты, кроме для нашего IP

2. Игрок запускает клиент.

3. Клиент обращаеться к Сайту с ключом.

4. Сайт проверяет ключ.

5. Верно добовляем в TXT файл или Mysql таблицу.

6. Сервер обращается к сайту для получения IP клиента.

7. Сервер делает команду Deny_noallow_ip_ddos.

Преимущества данной системы порты открываются для "правельных IP", а не все время висят открытими.

Больше чем уверен Ddos Будет невозможен - это тоже самое, что пытаться пройти через дверной проем с закрытой дверью.

PS возмозжно неполно донес суть самой ситемы, но вы не пинайте, вопросы задавайте.

 

Если так подумать, то данная защита может реально спасать от атаки. Но при падении сайта, на сервер не зайти.

А по поводу скрипта. Можно организовать SSH между сервером и web сервером. Скрипт на вебе будет проверять IP, ключ и возможно протокол. Если его всё устраивает то он добавляет новое правило в IP Table

 

P.S тоже мои мысли)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кстати тут есть ещё один плюс. Если ключ клиент части не будет совпадать, то человек не зайдёт на сервер.

Хотя нет.... Зайдёт

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А есть ещё одна проблема...

 

Забъют канал и всё.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если так подумать, то данная защита может реально спасать от атаки. Но при падении сайта, на сервер не зайти.

А по поводу скрипта. Можно организовать SSH между сервером и web сервером. Скрипт на вебе будет проверять IP, ключ и возможно протокол. Если его всё устраивает то он добавляет новое правило в IP Table

 

P.S тоже мои мысли)

Отлично я так и думал, можно вообще бесплатный хостинг взять с поддержкой PHP. И фиг кто его узнает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А есть ещё одна проблема...

 

Забъют канал и всё.

Как? Если порты будут открываться только "нужным людям".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если сделать проверку через сайт, то делать явно не через главный сайт сервера, взять сделать поддомен или вообще левый домен и сделать на нем проверку...

А еще можно сделать несколько таких сайтов, чтобы к примеру, один упал, зато другой держит все...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Занялся реализацией.

Следите за темой, может быть что-нибудь да получится.

Изменено пользователем xINVIZIBLx

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ЗА такие вещи готов платить!!! Намутите что то-))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Такую вещь почти намутил) Только надо проверить и поправить кое-что

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Как? Если порты будут открываться только "нужным людям".

Объясню: Вам в дверь ломится 100 бандитов и 1 нормальный человек. Вот он не пройдёт пока ломятся 100 бандитов. Просто ему не пройти до двери. Ваша защита - дверь

А коридор - канал)

 

Ну короче мораль: Сейчас надо защиту ставить на уровне ДЦ. Либо брать канал 1гбит/с+ и прибавить вашу защиту, тогда, будет нормально. Но если у вас канал будет 100 мегов, и будет ддос в 150 мегов, просто забъют канал. К серверу не подайдут, но доступа к вашему серверу у людей не будет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Объясню: Вам в дверь ломится 100 бандитов и 1 нормальный человек. Вот он не пройдёт пока ломятся 100 бандитов. Просто ему не пройти до двери. Ваша защита - дверь

А коридор - канал)

 

Ну короче мораль: Сейчас надо защиту ставить на уровне ДЦ. Либо брать канал 1гбит/с+ и прибавить вашу защиту, тогда, будет нормально. Но если у вас канал будет 100 мегов, и будет ддос в 150 мегов, просто забъют канал. К серверу не подайдут, но доступа к вашему серверу у людей не будет

Ну это же лучше чем ничего. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

.

Изменено пользователем Voled

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

С ходу небольшая модернизация идеи.

Зачем вэб на это напрягать?

 

Писать сразу уж Аутентикейт-Сервер, поднимать его на произвольном порту. и отвечать только на правильные запросы.

Если клиент прошел - открывать iptable для Лса, а если авторизация в ЛС прошла - открывать iptable для Гса.

 

По поводу клиентской части - PE-редактором приаттачивать либу.

Либа при запуске саспендит все потоки приложения, кроме ствоего.

Создает новый поток с сокетом, который коннектитная на Аутентикейт, сообщает ему параметры железа.

Аутентикейт отвечает, что всё в порядке и доступ открыл.

Либа убивает свой воторой поток, размораживает потоки клиента и детачится.

 

Всё просто.

А если ещё хукать этой же либой расшифрованный клиентом трафик - и перешифровывать его - будет вообще сказка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

эх наивные..... я с помощью линухи могу запретить лишние пакеты и все вся дос уйдет в жопу! на работе были попытки все без успешные!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

"Я магу управлять сервирам усилиям мысли!"

 

Голословных "авторов" мало кто слушает. Примеры настройки?

 

PS: Одно только Ваше слово "линуха" уже направляет Вас в сторону разряда "ламеры"...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

С ходу небольшая модернизация идеи.

Зачем вэб на это напрягать?

 

Писать сразу уж Аутентикейт-Сервер, поднимать его на произвольном порту. и отвечать только на правильные запросы.

Если клиент прошел - открывать iptable для Лса, а если авторизация в ЛС прошла - открывать iptable для Гса.

 

По поводу клиентской части - PE-редактором приаттачивать либу.

Либа при запуске саспендит все потоки приложения, кроме ствоего.

Создает новый поток с сокетом, который коннектитная на Аутентикейт, сообщает ему параметры железа.

Аутентикейт отвечает, что всё в порядке и доступ открыл.

Либа убивает свой воторой поток, размораживает потоки клиента и детачится.

 

Всё просто.

А если ещё хукать этой же либой расшифрованный клиентом трафик - и перешифровывать его - будет вообще сказка.

 

Излогай мысль русским языком а не написанием английских слов русскими буквами! да и кстати лишний софт типа терминейтед сервер грузит сеть и делает задержку во время подключния! А если 100 подключений в итоге обработка на входе снизитьс до 70% ! Для такого нужно на входе иметь кист сервер!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

"Я магу управлять сервирам усилиям мысли!"

 

Голословных "авторов" мало кто слушает. Примеры настройки?

 

PS: Одно только Ваше слово "линуха" уже направляет Вас в сторону разряда "ламеры"...

 

линуха это слово паразит у меня) а то что я ламер это обидно( я работаю с этим оборудоанием уже 10 лет и опыта достаточно! Да и кстати скрипты пишите сами... это тоже самое что позвонить в наса и попросить у них команды на доступ к ПУТ

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Короче о чем мы говорим)))) посмотрите гид по дата центрам где расположены игровые сервера WOW и L2 и будет понятно все что ваши выдумки это только насмешки над защитой..... Да и в прочем пряморукость защитит от малолетних сучат с дос программами из шары или самописки!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Опять же: слова выражаете малосвязанные.

Линки, хотя бы, приведите... Говорить о том, что всё длается просто и элементарно - проще простого.

Я вот Вам тоже могу сказать, что мультиконтроллер и мост перепаять на ноуте или xBox - проще простого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация  

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×
×
  • Создать...