Перейти к содержанию
Авторизация  
77888768

Создание Антиддоса

Рекомендуемые сообщения

Ipшники,которые ддосят серверв можно посмотреть в списке подкоючённых адресов к порту сервера, а именно можно увидеть список ip, которые играют на сервере и среди них будут ipшники, с которых идёт ддос. А что если написать скрипт, который будет проверять есть ли этот ip в бд, принадлежит ли он какому-либо игроку. Если ip в бд не найден, то он блокируется фаерволом. Как думаете спасёт ли это от ддоса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Допустим.

У 90% игроков динам ип

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а если будут забивать канал, что ты будешь делать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Допустим.

У 90% игроков динам ип

А мы будем проверять по последнему подключившемуся ip, если у игрока сменится ип, то и в бд это будет заметно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а если будут забивать канал, что ты будешь делать?

Подробнее об этом пожалуйста, каким образом будут забивать канал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Подробнее об этом пожалуйста, каким образом будут забивать канал?

Пример:

у тебя есть ведро воды,в котором дырка с палец. Если воду постепенно вливать в это ведро - все ок.

Если с помпы начать заполнять ведро - она будет переполняться и вода через отверстие в ведре,пропускаться будет,но шанс того что это будет игрок - очень мала.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пример:

у тебя есть ведро воды,в котором дырка с палец. Если воду постепенно вливать в это ведро - все ок.

Если с помпы начать заполнять ведро - она будет переполняться и вода через отверстие в ведре,пропускаться будет,но шанс того что это будет игрок - очень мала.

 

Но ведь выполнится проверка - Каждый ip, который подключен к серверу сверится с бд(с колонкой последние подключенные ip) и если этого ip в бд нет, то значит это не игрок и он будет заблокирован фаерволом (для данного ip будут закрыты все порты) и так будет проверяться каждый ip. В итоге должны остаться только игроки, а все остальные, кто грузил канал больше не достучатся до сервера.

Изменено пользователем 77888768

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пример:

у тебя есть ведро воды,в котором дырка с палец. Если воду постепенно вливать в это ведро - все ок.

Если с помпы начать заполнять ведро - она будет переполняться и вода через отверстие в ведре,пропускаться будет,но шанс того что это будет игрок - очень мала.

Если - подменять канал ? И для игроков создавать отдельный только для IP из базы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Входим в игру. Пишем netstat. Палим реальный IP игрового сервера ===> фейл подмены канала.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Против лома, нет приема :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да? В списке подключенных к порту сразу написано, кто ддосит, а кто игрок? Что за чепуха? Если на Вас повалится 2к ботов по 1-2 подключения, что делать будете? Будет куча разных IP и не пойми кто бот, а кто игрок. Да к этому времени уже ресурсы сервера будут израсходованы.

 

А если польется UDP? Канал будет забит ненужным трафиком и все. 100мбит забить это сейчас просто. Антиддос на программном уровне создать невозможно. Только против слабых атак. Когда-же Вы это поймете? Покупайте железку и радуйтесь.

 

Если - подменять канал ? И для игроков создавать отдельный только для IP из базы.

Подменять канал? Бред. Нельзя. Как Вы это хотите сделать? Как перенаправление? Если твой IP не из списка, то иди туда? Нееет, не получится. Пакет все равно пойдет на основной канал, а потом на второй.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ты не понимаешь, тебя будут ддосить 100к IP адресов, это 100к подключений к БД - в этом случае БД просто умрет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ты не понимаешь, тебя будут ддосить 100к IP адресов, это 100к подключений к БД - в этом случае БД просто умрет

 

Разве при ддосе нагрузка ещё будет идти и на бд?

Делаем цикл, сверяем каждый из 100к ipшников с бд, блокируем несовпавшие ip адреса. На данную операцию уйдёт 15-20 минут.

Изменено пользователем 77888768

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Разве при ддосе нагрузка ещё будет идти и на бд?

Делаем цикл, сверяем каждый из 100к ipшников с бд, блокируем несовпавшие ip адреса. На данную операцию уйдёт 15-20 минут.

Что? Чтооооо? Чтооооооооооооооооо?

Мой мозг сломан!

 

Вы что несете? Какой цикл? С какими IP Вы сверять будете? При ддосе в 2-3к ботов, в секунду может идти до 50к запросов, Ваши "циклы" убьют ОС и заставят сервер задуматься на долго. Поможет только хард ресет. Все, что Вы тут написали - бред. Вам следует хотя бы прочесть статьи о TCP/IP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Разве при ддосе нагрузка ещё будет идти и на бд?

Делаем цикл, сверяем каждый из 100к ipшников с бд, блокируем несовпавшие ip адреса. На данную операцию уйдёт 15-20 минут.

Ок....экскурс по сетевой маршрутизации:

 

Internet --- > DC ---> Switch ---> Server [ethernet] ---> Server [iptables] ---> Server (game)

То есть в итоге, мы то можем заблокировать подключения от определенного IP,но они все равно будут доходить до свича в ДЦ. И + у езернетовской карты тоже есть ограниченное количество сокетов,которое в определенный момент исчерпает себя..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ок....экскурс по сетевой маршрутизации:

 

Internet --- > DC ---> Switch ---> Server [ethernet] ---> Server [iptables] ---> Server (game)

То есть в итоге, мы то можем заблокировать подключения от определенного IP,но они все равно будут доходить до свича в ДЦ. И + у езернетовской карты тоже есть ограниченное количество сокетов,которое в определенный момент исчерпает себя..

 

Тут с вами согласен, а какой принцип у железок для антиддоса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Аналогичен. Если канал к серверу 100 мбит, то хоть защита будет на 30 Гбит ( NetScape 5400) толка от нее будет ровно до 100 мбит (ширины канала)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тут с вами согласен, а какой принцип у железок для антиддоса?

Объясню очень просто:

Мощная сетевая карта + собственная ОС + Анализатор трафика (отдельная часть железки) + Память (для MAC, Правил, обработки пакетов)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Аналогичен. Если канал к серверу 100 мбит, то хоть защита будет на 30 Гбит ( NetScape 5400) толка от нее будет ровно до 100 мбит (ширины канала)

Что Вы несете? Бред чистой воды!

До сервера будет доходить легитимный трафик. То есть уже очищенный. Грязный трафик будет на фильтре оставаться и отбрасываться. Вам тоже стоит почитать статьи...

 

Ах да, правильно - Juniper NetScreen 5400

Изменено пользователем Twinker
  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Такой вопрос, а можно ли держать подключение только с теми айпи адресами которые уже определились( то есть зашли в игру), для всех остальных закрыть доступ, к примеру если зашло в игру настоящий 500-1000, остальным всем включая ботов( и тот трафик на 100Mb+) просто не давать возможности подключится.

 

И еще такой вопрос, есть ли другой способ определения игрока - не используя IP Адрес, а используя HWID, или HWID определяется через IP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Что Вы несете? Бред чистой воды!

До сервера будет доходить легитимный трафик. То есть уже очищенный. Грязный трафик будет на фильтре оставаться и отбрасываться. Вам тоже стоит почитать статьи...

Это не бред. Спросите у любого нокера в ДЦ,он Вам скажет точно такую же информацию, и она вполне логина и имеет смысл.

До самого сервера - да.

Но до того,как он дойдет до сервера,есть еще сетевое оборудование ДЦ, есть еще скорость пиринга между провайдерами,еще магистраль провайдера и т.д

Или к Вашему фильтрующему оборудованию сразу подключена магистраль MSK или UA-IX? сомневаюсь...

 

То есть, до того,как трафик дойдет до фильтрующего оборудования, он должен пройти елементарные сетевые инстанции. Которые если не имеют широкополосного подключения, то просто просядут/станут недоступными.

То есть, если ширина канала 100 мбит, а атака 3-5 гбит, то трафик увидит только Ваше фильтрующее оборудовании, но не сервер.

Иной вариант когда идет не забив канала,а нагрузка пакетами, тогда да, защита должна вытянуть.

Изменено пользователем Mass

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Это не бред. Спросите у любого нокера в ДЦ,он Вам скажет точно такую же информацию, и она вполне логина и имеет смысл.

До самого сервера - да.

Но до того,как он дойдет до сервера,есть еще сетевое оборудование ДЦ, есть еще скорость пиринга между провайдерами,еще магистраль провайдера и т.д

 

То есть, до того,как трафик дойдет до фильтрующего оборудования, он должен пройти елементарные сетевые инстанции. Которые если не имеют широкополосного подключения, то просто просядут/станут недоступными.

То есть, если ширина канала 100 мбит, а атака 3-5 гбит, то трафик увидит только Ваше фильтрующее оборудовании, но не сервер.

Иной вариант когда идет не забив канала,а нагрузка пакетами, тогда да, защита должна вытянуть.

Бред и еще раз бред!

 

DDoS атака например в 5gbps > Internet > Juniper SRX (или другой фильтр) > Switch > Сервер.

 

На третьем шаге (фильтр) более 95% трафика будет отброшено. Легитимный трафик пойдет на свич, а тот уже передаст его серверу. Сами-то подумайте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Такой вопрос, а можно ли держать подключение только с теми айпи адресами которые уже определились( то есть зашли в игру), для всех остальных закрыть доступ, к примеру если зашло в игру настоящий 500-1000, остальным всем включая ботов( и тот трафик на 100Mb+) просто не давать возможности подключится.

 

И еще такой вопрос, есть ли другой способ определения игрока - не используя IP Адрес, а используя HWID, или HWID определяется через IP.

Можно и спасет от некоторых атак (Нужно выставить запрет к обработке новых соединений. Только ESTABLISHED. Остальные отбрасывать)

Но от сильных атак все-же не спасет.

 

Другого способа определения нету. Протокол - TCP/IP. Передается только IP адрес источника запроса.

Изменено пользователем Twinker

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот например сегодня ддосили мой хостинг, залили 4GB трафика, сервер работал. http://screenshot.ru...34_83c046de.png При атаке по DNS, сервер лагал. При обычном UDP-флуде с нескольких "машин", он работал стабильно. Один разок даже слег, но совсем ненадолго. Пару минут от силы. Пришлось арендовать железку для частичной обработки трафика.

Изменено пользователем Twinker

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Бред и еще раз бред!

 

DDoS атака например в 5gbps > Internet > Juniper SRX (или другой фильтр) > Switch > Сервер.

 

На третьем шаге (фильтр) более 95% трафика будет отброшено. Легитимный трафик пойдет на свич, а тот уже передаст его серверу. Сами-то подумайте.

А по Вашему трафик, это просто "пустота" и он не как не отражается на канале, даже если на 3м шаге его отбросить?

Все дело в том, что если установить модуль защиты после свича ДЦ, который лимитирует канал до 100 мбит к примеру, то эта защита будет не о чем. Для того что бы поставить его перед свичем распределитель трафика, нужно больше усилий, и возможности такого решения в самом ЦОД.

Но опять же. 100 мбит канал, даже если откинуть трафик который паразитный,он кроме того что не будет доходить до сервера,не изменит нагрузки на канал ( то есть ответы по несколько байтов будут, а это уже нагрузка).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация  

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×
×
  • Создать...