Как Вам Такой Метод Защиты От Ddos?

[La2Bash 87]

Уважаемые юзеры, сидел размышлял над новыми видами защиты от DDoS.

1.Защита ГС и защита ЛС, вот в чём вопрос.

Ну чтож, приступим к рассуждению.

На многих сборках уже реализована хорошая защита - открытие порта тем, кто прошёл авторизацию на логин сервере. Но это исключительно для порта гейм сервера.

А как же быть с логин сервером? Как защитить его от падения?

Предлагаю следующее - ищем аренду VDS где предлагают аппаратную защиту от DDoS и запиливаем туда ЛС, затем делаем привязку его к ГС.

Как вам такое? Получится что то вроде фильтра, оставить лишь 1 порт открытым на входящие подключения - логин сервер и всё.

Но минус в том, что зафлудить могут так, что трафик который вы купили - кончится. И на этом всё, машина падает и никто зайти не может. Там уже возможен хороший пинок под зад хостером вас...

 

2.Защита с помощью метода выше, но попробуем применить его к ЛС.

Открываем порт тем, кто запустил клиент. Но возникает вопрос - как узнать, кто запустил клиент? Реализация через DLL, например отправка пакета серверу OpenPort, но он же не пройдет, ибо ранее порт открыт он не был и пакет врежется в закрытую дверь... Похоже что вариант не катит, обидно. Задумка неплохая.

 

3.Диапазоны адресов - хорошая защита от DDoS.

Добавляем в блеклист диапазоны стран которые на ваш сервер не зайдут. Тем самым, мы можем свести на нет почти любой ботнет каким бы большим он не был. Но кто знает, возможно ведущие проекты именно тем и пользуются - запуск l2.exe (после патча) = you my bot,hahaha. А почему бы и нет? Проект с общим онлайном 5-6к = ботнет готов. Я вижу лишь один плюс - не будут ддосить хабами DC++.

Минус один и он очень большой. Когда я практиковал данный метод защиты и создав наконец то блеклист из 120+ стран (коды стран пришлось искать и писать вручную) - на это у меня ушло 3-4 часа чтобы составить нормальный блеклист (оставив только страны с которых будут ко мне заходить - ru, ua, kz и пр). Думаю ну всё, ща запущу и всё ок будет. Не тут тобыло, около 5-6 дней он ещё получал диапазоны с сервера и добавлял их, и то постоянно зависал т.к. дисконектило иногда и весь процесс приходилось повторять. В общем пришлось сделать блеклист стран поменьше. Защиты при старте - небыло (может её никто и не проводил, я незнаю. Да и проект особо успешным назвать было нельзя, экономика была настолько замудрена что её никто не смог понять + прогадал с защитой от хлапекса).

 

4.Бредовая, но довольно неплохая задумка.

В общем если кто то играл в лол - знает что такое очередь когда их ддосят. Предлагаю реализовать тоже самое. В чём прикол?

Пишем .sh скрипт который будет в кроне и будет считывать ип адреса которые подключены, если их > чем опр. кол-во - включаем ALARM.

ALARM - защита в режиме true. Все подключившиеся адреса ставит в очередь и заставляет ждать 2-3 минуты чтобы подключится. Если DDoS отбить не удастся, то хотя бы мы сможем его рассеять и снизить эффективность на макс. уровень.

 

Предлагаю обсудить, ждём так же ваших идей

[4IPS 181]

ой бл* читать лень, розкажи покороче

[La2Bash 87]

Короче никак, уж извините.

[qwertyaqs 6]

не обсуждай тут эту тему... тут сидят злые мелкие ддосеры каторым делать нехх...не в коем случаи не намекай им об этомЁ!!!

[taste 501]

а если будут бить не напрямую а забивать канал*?

[La2Bash 87]

Вэлморт? Он нас слышит?

[La2Bash 87]

а если будут бить не напрямую а забивать канал*?

Тоже вопрос.... в интернете много далеко успешных сервисов которые предлагают нам воспользоваться ихней защитой от DDoS. Как вы думаете, они действительно могут помочь?

[taste 501]

Тоже вопрос.... в интернете много далеко успешных сервисов которые предлагают нам воспользоваться ихней защитой от DDoS. Как вы думаете, они действительно могут помочь?

аппаратная защита+широкий канал

[qwertyaqs 6]

не надо обманывать себя(

[La2Bash 87]

аппаратная защита+широкий канал

Вот мне интересно, что за методика защиты стоит на aceworld?

Разумеется не в целях рекламы - тырк. Это и есть аппаратная защита + широкий канал? Погуглив про облачный хостинг нашел только - это

[Адам 35]

Аппаратной защитой можно назвать даже маршрутизатор за 30$.

У выше данного сервера на сколько я понял просто стоит перед сервером тот же маршрутизатор\киско\фриско и пр. с резервными каналами к серверу и в случае досса одного - просто отключают его.

 

Во всяком случае это как и с простудой, нужно не укреплять иммунитет и надеяться что все пройдет само, а лечиться, т.е. избавляться от самого досса софтом.

Иптаблес, ипсет, фейл ту бан, гео баны и пр.-пр. софт коего не мало.

[MaxiMuM 11]

Уважаемые юзеры, сидел размышлял над новыми видами защиты от DDoS.

1.Защита ГС и защита ЛС, вот в чём вопрос.

Ну чтож, приступим к рассуждению.

На многих сборках уже реализована хорошая защита - открытие порта тем, кто прошёл авторизацию на логин сервере. Но это исключительно для порта гейм сервера.

А как же быть с логин сервером? Как защитить его от падения?

Предлагаю следующее - ищем аренду VDS где предлагают аппаратную защиту от DDoS и запиливаем туда ЛС, затем делаем привязку его к ГС.

Как вам такое? Получится что то вроде фильтра, оставить лишь 1 порт открытым на входящие подключения - логин сервер и всё.

Но минус в том, что зафлудить могут так, что трафик который вы купили - кончится. И на этом всё, машина падает и никто зайти не может. Там уже возможен хороший пинок под зад хостером вас...

 

2.Защита с помощью метода выше, но попробуем применить его к ЛС.

Открываем порт тем, кто запустил клиент. Но возникает вопрос - как узнать, кто запустил клиент? Реализация через DLL, например отправка пакета серверу OpenPort, но он же не пройдет, ибо ранее порт открыт он не был и пакет врежется в закрытую дверь... Похоже что вариант не катит, обидно. Задумка неплохая.

 

3.Диапазоны адресов - хорошая защита от DDoS.

Добавляем в блеклист диапазоны стран которые на ваш сервер не зайдут. Тем самым, мы можем свести на нет почти любой ботнет каким бы большим он не был. Но кто знает, возможно ведущие проекты именно тем и пользуются - запуск l2.exe (после патча) = you my bot,hahaha. А почему бы и нет? Проект с общим онлайном 5-6к = ботнет готов. Я вижу лишь один плюс - не будут ддосить хабами DC++.

Минус один и он очень большой. Когда я практиковал данный метод защиты и создав наконец то блеклист из 120+ стран (коды стран пришлось искать и писать вручную) - на это у меня ушло 3-4 часа чтобы составить нормальный блеклист (оставив только страны с которых будут ко мне заходить - ru, ua, kz и пр). Думаю ну всё, ща запущу и всё ок будет. Не тут тобыло, около 5-6 дней он ещё получал диапазоны с сервера и добавлял их, и то постоянно зависал т.к. дисконектило иногда и весь процесс приходилось повторять. В общем пришлось сделать блеклист стран поменьше. Защиты при старте - небыло (может её никто и не проводил, я незнаю. Да и проект особо успешным назвать было нельзя, экономика была настолько замудрена что её никто не смог понять + прогадал с защитой от хлапекса).

 

4.Бредовая, но довольно неплохая задумка.

В общем если кто то играл в лол - знает что такое очередь когда их ддосят. Предлагаю реализовать тоже самое. В чём прикол?

Пишем .sh скрипт который будет в кроне и будет считывать ип адреса которые подключены, если их > чем опр. кол-во - включаем ALARM.

ALARM - защита в режиме true. Все подключившиеся адреса ставит в очередь и заставляет ждать 2-3 минуты чтобы подключится. Если DDoS отбить не удастся, то хотя бы мы сможем его рассеять и снизить эффективность на макс. уровень.

 

Предлагаю обсудить, ждём так же ваших идей

 

Я проделывал 2 способ который ты описал.

Взял клиент часть защиты Airin(SPS.) удалил весь лишний хлам и оставил только авторизацию на веб сервере. Скомпилил. Закриптовал. Добавил DLL в автообновление. Залил веб часть на VDS хостинг(На хосте стоял веб сервер Apache-NGINX). По стандарту порты гейма и логина были закрыты. Хост через SSH связан с серверной машиной.

Как работал данный велосипед:

 

Игрок запускал клиент. DLL проходила проверку на сайте. Сайт принимал от DLL IP адрес игрока, потом создавал сессию под этот IP, и отправлял на серверную машину команду, которая открывала порт ЛСа для полученного IP. Таким образом игрок заходил. Как только клиент выключался, сессия на сайте закрывалась и на сервере закрывался порт для IP этого игрока.

Таким образом на серверной машине были закрыты все порты, кроме БД, но и он был ограничен только для доступа с сайта.

Соответственно без моего патча никто зайти не мог.

 

Получилось всё достаточно интересно, но какую нагрузку выдержит данный велосипед без оптимизации, неизвестно.

[~V*I*®*U*S~ 18]

Вот мне интересно, что за методика защиты стоит на aceworld?

Разумеется не в целях рекламы - тырк. Это и есть аппаратная защита + широкий канал? Погуглив про облачный хостинг нашел только - это

вот их методика

pro-m.org (не реклама)

[taste 501]

Вот мне интересно, что за методика защиты стоит на aceworld?

Разумеется не в целях рекламы - тырк. Это и есть аппаратная защита + широкий канал? Погуглив про облачный хостинг нашел только - это

облако тоже надо защищать

[La2Bash 87]

Ну на самом деле если проект действительно стоит свечь - никаких денег не жалко. pro-m.org добавил в закладки.

[~V*I*®*U*S~ 18]

если есть деньги, размещай сайт и сервер либо у ddos-guard.net либо pro-m.org (оба не реклама)

забудешь о проблемах и падениях гарантировано.

[La2Bash 87]

Хахахаха глупая и нелепая теория - всё это развод, это те люди которые занимаются ддосом так беспалевно вымагают бабки и в итоге не ддосят ;D

[Кристина 14]

если есть деньги, размещай сайт и сервер либо у ddos-guard.net либо pro-m.org (оба не реклама)

забудешь о проблемах и падениях гарантировано.

 

 

Вот я лично была недовольна услугами pro-m. За несколько месяцев,пока стояла их защита,натерпелась всего чего только не придумаешь.

 

Отмазка одна. "Очень сильная атака".

Ну какая атака могла быть на сервер,на котором играло 400-600 человек. При чем я покупала защиту с производительностью фильтра 15 Гбит/c.

 

Вообщем постоянно с ними были проблемы.

[Адам 35]

Вот я лично была недовольна услугами pro-m. За несколько месяцев,пока стояла их защита,натерпелась всего чего только не придумаешь.

 

Отмазка одна. "Очень сильная атака".

Ну какая атака могла быть на сервер,на котором играло 400-600 человек. При чем я покупала защиту с производительностью фильтра 15 Гбит/c.

 

Вообщем постоянно с ними были проблемы.

Ддосят "соседей" а вам достается.

Вы можете потребовать лог ддоса и сравнить ИПши с листа с тем кто был у вас на сервере.

Правда вас или проигнорируют, или нелепую отмазку найдут и пустят на тормоза.

[Sindrom 107]

Как по мне это бред.. на уровне сервера.

 

Лучше всего взять себе железку Juniper или Cisco

и настроить как облагоразумится и не страдать тем горьким Ан*лом который вы себе напридумывали.

[Maximusic 0]

Лучше всего взять себе железку Juniper или Cisco

Такой простенький ...

а цену знаешь ?)

[Sindrom 107]

аренды ?) знаю free на некоротых ресурсах)

 

ну а если брать по отдельности аренда Cisco ASA 250$ в месяц Juniper MX-80 300$

цены с двух разных дц.

[ChestelRFielD-_- 113]

аренды ?) знаю free на некоротых ресурсах)

 

ну а если брать по отдельности аренда Cisco ASA 250$ в месяц Juniper MX-80 300$

цены с двух разных дц.

Скажи free если не секрет