Перейти к содержанию
Авторизация  
La2Bash

Как Вам Такой Метод Защиты От Ddos?

Рекомендуемые сообщения

Уважаемые юзеры, сидел размышлял над новыми видами защиты от DDoS.

1.Защита ГС и защита ЛС, вот в чём вопрос.

Ну чтож, приступим к рассуждению.

На многих сборках уже реализована хорошая защита - открытие порта тем, кто прошёл авторизацию на логин сервере. Но это исключительно для порта гейм сервера.

А как же быть с логин сервером? Как защитить его от падения?

Предлагаю следующее - ищем аренду VDS где предлагают аппаратную защиту от DDoS и запиливаем туда ЛС, затем делаем привязку его к ГС.

Как вам такое? Получится что то вроде фильтра, оставить лишь 1 порт открытым на входящие подключения - логин сервер и всё.

Но минус в том, что зафлудить могут так, что трафик который вы купили - кончится. И на этом всё, машина падает и никто зайти не может. Там уже возможен хороший пинок под зад хостером вас...

 

2.Защита с помощью метода выше, но попробуем применить его к ЛС.

Открываем порт тем, кто запустил клиент. Но возникает вопрос - как узнать, кто запустил клиент? Реализация через DLL, например отправка пакета серверу OpenPort, но он же не пройдет, ибо ранее порт открыт он не был и пакет врежется в закрытую дверь... Похоже что вариант не катит, обидно. Задумка неплохая.

 

3.Диапазоны адресов - хорошая защита от DDoS.

Добавляем в блеклист диапазоны стран которые на ваш сервер не зайдут. Тем самым, мы можем свести на нет почти любой ботнет каким бы большим он не был. Но кто знает, возможно ведущие проекты именно тем и пользуются - запуск l2.exe (после патча) = you my bot,hahaha. А почему бы и нет? Проект с общим онлайном 5-6к = ботнет готов. Я вижу лишь один плюс - не будут ддосить хабами DC++.

Минус один и он очень большой. Когда я практиковал данный метод защиты и создав наконец то блеклист из 120+ стран (коды стран пришлось искать и писать вручную) - на это у меня ушло 3-4 часа чтобы составить нормальный блеклист (оставив только страны с которых будут ко мне заходить - ru, ua, kz и пр). Думаю ну всё, ща запущу и всё ок будет. Не тут тобыло, около 5-6 дней он ещё получал диапазоны с сервера и добавлял их, и то постоянно зависал т.к. дисконектило иногда и весь процесс приходилось повторять. В общем пришлось сделать блеклист стран поменьше. Защиты при старте - небыло (может её никто и не проводил, я незнаю. Да и проект особо успешным назвать было нельзя, экономика была настолько замудрена что её никто не смог понять + прогадал с защитой от хлапекса).

 

4.Бредовая, но довольно неплохая задумка.

В общем если кто то играл в лол - знает что такое очередь когда их ддосят. Предлагаю реализовать тоже самое. В чём прикол?

Пишем .sh скрипт который будет в кроне и будет считывать ип адреса которые подключены, если их > чем опр. кол-во - включаем ALARM.

ALARM - защита в режиме true. Все подключившиеся адреса ставит в очередь и заставляет ждать 2-3 минуты чтобы подключится. Если DDoS отбить не удастся, то хотя бы мы сможем его рассеять и снизить эффективность на макс. уровень.

 

Предлагаю обсудить, ждём так же ваших идей :)

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

не обсуждай тут эту тему... тут сидят злые мелкие ддосеры каторым делать нехх...не в коем случаи не намекай им об этомЁ!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а если будут бить не напрямую а забивать канал*?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а если будут бить не напрямую а забивать канал*?

Тоже вопрос.... в интернете много далеко успешных сервисов которые предлагают нам воспользоваться ихней защитой от DDoS. Как вы думаете, они действительно могут помочь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тоже вопрос.... в интернете много далеко успешных сервисов которые предлагают нам воспользоваться ихней защитой от DDoS. Как вы думаете, они действительно могут помочь?

аппаратная защита+широкий канал

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

аппаратная защита+широкий канал

Вот мне интересно, что за методика защиты стоит на aceworld?

Разумеется не в целях рекламы - тырк. Это и есть аппаратная защита + широкий канал? Погуглив про облачный хостинг нашел только - это

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Аппаратной защитой можно назвать даже маршрутизатор за 30$.

У выше данного сервера на сколько я понял просто стоит перед сервером тот же маршрутизатор\киско\фриско и пр. с резервными каналами к серверу и в случае досса одного - просто отключают его.

 

Во всяком случае это как и с простудой, нужно не укреплять иммунитет и надеяться что все пройдет само, а лечиться, т.е. избавляться от самого досса софтом.

Иптаблес, ипсет, фейл ту бан, гео баны и пр.-пр. софт коего не мало.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Уважаемые юзеры, сидел размышлял над новыми видами защиты от DDoS.

1.Защита ГС и защита ЛС, вот в чём вопрос.

Ну чтож, приступим к рассуждению.

На многих сборках уже реализована хорошая защита - открытие порта тем, кто прошёл авторизацию на логин сервере. Но это исключительно для порта гейм сервера.

А как же быть с логин сервером? Как защитить его от падения?

Предлагаю следующее - ищем аренду VDS где предлагают аппаратную защиту от DDoS и запиливаем туда ЛС, затем делаем привязку его к ГС.

Как вам такое? Получится что то вроде фильтра, оставить лишь 1 порт открытым на входящие подключения - логин сервер и всё.

Но минус в том, что зафлудить могут так, что трафик который вы купили - кончится. И на этом всё, машина падает и никто зайти не может. Там уже возможен хороший пинок под зад хостером вас...

 

2.Защита с помощью метода выше, но попробуем применить его к ЛС.

Открываем порт тем, кто запустил клиент. Но возникает вопрос - как узнать, кто запустил клиент? Реализация через DLL, например отправка пакета серверу OpenPort, но он же не пройдет, ибо ранее порт открыт он не был и пакет врежется в закрытую дверь... Похоже что вариант не катит, обидно. Задумка неплохая.

 

3.Диапазоны адресов - хорошая защита от DDoS.

Добавляем в блеклист диапазоны стран которые на ваш сервер не зайдут. Тем самым, мы можем свести на нет почти любой ботнет каким бы большим он не был. Но кто знает, возможно ведущие проекты именно тем и пользуются - запуск l2.exe (после патча) = you my bot,hahaha. А почему бы и нет? Проект с общим онлайном 5-6к = ботнет готов. Я вижу лишь один плюс - не будут ддосить хабами DC++.

Минус один и он очень большой. Когда я практиковал данный метод защиты и создав наконец то блеклист из 120+ стран (коды стран пришлось искать и писать вручную) - на это у меня ушло 3-4 часа чтобы составить нормальный блеклист (оставив только страны с которых будут ко мне заходить - ru, ua, kz и пр). Думаю ну всё, ща запущу и всё ок будет. Не тут тобыло, около 5-6 дней он ещё получал диапазоны с сервера и добавлял их, и то постоянно зависал т.к. дисконектило иногда и весь процесс приходилось повторять. В общем пришлось сделать блеклист стран поменьше. Защиты при старте - небыло (может её никто и не проводил, я незнаю. Да и проект особо успешным назвать было нельзя, экономика была настолько замудрена что её никто не смог понять + прогадал с защитой от хлапекса).

 

4.Бредовая, но довольно неплохая задумка.

В общем если кто то играл в лол - знает что такое очередь когда их ддосят. Предлагаю реализовать тоже самое. В чём прикол?

Пишем .sh скрипт который будет в кроне и будет считывать ип адреса которые подключены, если их > чем опр. кол-во - включаем ALARM.

ALARM - защита в режиме true. Все подключившиеся адреса ставит в очередь и заставляет ждать 2-3 минуты чтобы подключится. Если DDoS отбить не удастся, то хотя бы мы сможем его рассеять и снизить эффективность на макс. уровень.

 

Предлагаю обсудить, ждём так же ваших идей :)

 

Я проделывал 2 способ который ты описал.

Взял клиент часть защиты Airin(SPS.) удалил весь лишний хлам и оставил только авторизацию на веб сервере. Скомпилил. Закриптовал. Добавил DLL в автообновление. Залил веб часть на VDS хостинг(На хосте стоял веб сервер Apache-NGINX). По стандарту порты гейма и логина были закрыты. Хост через SSH связан с серверной машиной.

Как работал данный велосипед:

 

Игрок запускал клиент. DLL проходила проверку на сайте. Сайт принимал от DLL IP адрес игрока, потом создавал сессию под этот IP, и отправлял на серверную машину команду, которая открывала порт ЛСа для полученного IP. Таким образом игрок заходил. Как только клиент выключался, сессия на сайте закрывалась и на сервере закрывался порт для IP этого игрока.

Таким образом на серверной машине были закрыты все порты, кроме БД, но и он был ограничен только для доступа с сайта.

Соответственно без моего патча никто зайти не мог.

 

Получилось всё достаточно интересно, но какую нагрузку выдержит данный велосипед без оптимизации, неизвестно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот мне интересно, что за методика защиты стоит на aceworld?

Разумеется не в целях рекламы - тырк. Это и есть аппаратная защита + широкий канал? Погуглив про облачный хостинг нашел только - это

вот их методика

pro-m.org (не реклама)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот мне интересно, что за методика защиты стоит на aceworld?

Разумеется не в целях рекламы - тырк. Это и есть аппаратная защита + широкий канал? Погуглив про облачный хостинг нашел только - это

облако тоже надо защищать

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну на самом деле если проект действительно стоит свечь - никаких денег не жалко. pro-m.org добавил в закладки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

если есть деньги, размещай сайт и сервер либо у ddos-guard.net либо pro-m.org (оба не реклама)

забудешь о проблемах и падениях гарантировано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хахахаха глупая и нелепая теория - всё это развод, это те люди которые занимаются ддосом так беспалевно вымагают бабки и в итоге не ддосят ;D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

если есть деньги, размещай сайт и сервер либо у ddos-guard.net либо pro-m.org (оба не реклама)

забудешь о проблемах и падениях гарантировано.

 

 

Вот я лично была недовольна услугами pro-m. За несколько месяцев,пока стояла их защита,натерпелась всего чего только не придумаешь.

 

Отмазка одна. "Очень сильная атака".

Ну какая атака могла быть на сервер,на котором играло 400-600 человек. При чем я покупала защиту с производительностью фильтра 15 Гбит/c.

 

Вообщем постоянно с ними были проблемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот я лично была недовольна услугами pro-m. За несколько месяцев,пока стояла их защита,натерпелась всего чего только не придумаешь.

 

Отмазка одна. "Очень сильная атака".

Ну какая атака могла быть на сервер,на котором играло 400-600 человек. При чем я покупала защиту с производительностью фильтра 15 Гбит/c.

 

Вообщем постоянно с ними были проблемы.

Ддосят "соседей" а вам достается.

Вы можете потребовать лог ддоса и сравнить ИПши с листа с тем кто был у вас на сервере.

Правда вас или проигнорируют, или нелепую отмазку найдут и пустят на тормоза.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Как по мне это бред.. на уровне сервера.

 

Лучше всего взять себе железку Juniper или Cisco

и настроить как облагоразумится и не страдать тем горьким Ан*лом который вы себе напридумывали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Лучше всего взять себе железку Juniper или Cisco

Такой простенький ...

а цену знаешь ?)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

аренды ?) знаю free на некоротых ресурсах)

 

ну а если брать по отдельности аренда Cisco ASA 250$ в месяц Juniper MX-80 300$

цены с двух разных дц.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

аренды ?) знаю free на некоротых ресурсах)

 

ну а если брать по отдельности аренда Cisco ASA 250$ в месяц Juniper MX-80 300$

цены с двух разных дц.

Скажи free если не секрет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация  

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×
×
  • Создать...