77888768 2 Опубликовано 28 апреля, 2013 Ipшники,которые ддосят серверв можно посмотреть в списке подкоючённых адресов к порту сервера, а именно можно увидеть список ip, которые играют на сервере и среди них будут ipшники, с которых идёт ддос. А что если написать скрипт, который будет проверять есть ли этот ip в бд, принадлежит ли он какому-либо игроку. Если ip в бд не найден, то он блокируется фаерволом. Как думаете спасёт ли это от ддоса? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Teams 30 Опубликовано 28 апреля, 2013 Допустим. У 90% игроков динам ип Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
taste 501 Опубликовано 28 апреля, 2013 а если будут забивать канал, что ты будешь делать? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
77888768 2 Опубликовано 28 апреля, 2013 Допустим. У 90% игроков динам ип А мы будем проверять по последнему подключившемуся ip, если у игрока сменится ип, то и в бд это будет заметно Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
77888768 2 Опубликовано 28 апреля, 2013 а если будут забивать канал, что ты будешь делать? Подробнее об этом пожалуйста, каким образом будут забивать канал? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Mass 56 Опубликовано 28 апреля, 2013 Подробнее об этом пожалуйста, каким образом будут забивать канал? Пример: у тебя есть ведро воды,в котором дырка с палец. Если воду постепенно вливать в это ведро - все ок. Если с помпы начать заполнять ведро - она будет переполняться и вода через отверстие в ведре,пропускаться будет,но шанс того что это будет игрок - очень мала. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
77888768 2 Опубликовано 28 апреля, 2013 (изменено) Пример: у тебя есть ведро воды,в котором дырка с палец. Если воду постепенно вливать в это ведро - все ок. Если с помпы начать заполнять ведро - она будет переполняться и вода через отверстие в ведре,пропускаться будет,но шанс того что это будет игрок - очень мала. Но ведь выполнится проверка - Каждый ip, который подключен к серверу сверится с бд(с колонкой последние подключенные ip) и если этого ip в бд нет, то значит это не игрок и он будет заблокирован фаерволом (для данного ip будут закрыты все порты) и так будет проверяться каждый ip. В итоге должны остаться только игроки, а все остальные, кто грузил канал больше не достучатся до сервера. Изменено 28 апреля, 2013 пользователем 77888768 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
ArRTGoN 53 Опубликовано 28 апреля, 2013 Пример: у тебя есть ведро воды,в котором дырка с палец. Если воду постепенно вливать в это ведро - все ок. Если с помпы начать заполнять ведро - она будет переполняться и вода через отверстие в ведре,пропускаться будет,но шанс того что это будет игрок - очень мала. Если - подменять канал ? И для игроков создавать отдельный только для IP из базы. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Mass 56 Опубликовано 28 апреля, 2013 Входим в игру. Пишем netstat. Палим реальный IP игрового сервера ===> фейл подмены канала. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Mass 56 Опубликовано 28 апреля, 2013 Против лома, нет приема Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Twinker 487 Опубликовано 28 апреля, 2013 Да? В списке подключенных к порту сразу написано, кто ддосит, а кто игрок? Что за чепуха? Если на Вас повалится 2к ботов по 1-2 подключения, что делать будете? Будет куча разных IP и не пойми кто бот, а кто игрок. Да к этому времени уже ресурсы сервера будут израсходованы. А если польется UDP? Канал будет забит ненужным трафиком и все. 100мбит забить это сейчас просто. Антиддос на программном уровне создать невозможно. Только против слабых атак. Когда-же Вы это поймете? Покупайте железку и радуйтесь. Если - подменять канал ? И для игроков создавать отдельный только для IP из базы. Подменять канал? Бред. Нельзя. Как Вы это хотите сделать? Как перенаправление? Если твой IP не из списка, то иди туда? Нееет, не получится. Пакет все равно пойдет на основной канал, а потом на второй. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
OnaHa 46 Опубликовано 28 апреля, 2013 Ты не понимаешь, тебя будут ддосить 100к IP адресов, это 100к подключений к БД - в этом случае БД просто умрет Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
77888768 2 Опубликовано 28 апреля, 2013 (изменено) Ты не понимаешь, тебя будут ддосить 100к IP адресов, это 100к подключений к БД - в этом случае БД просто умрет Разве при ддосе нагрузка ещё будет идти и на бд? Делаем цикл, сверяем каждый из 100к ipшников с бд, блокируем несовпавшие ip адреса. На данную операцию уйдёт 15-20 минут. Изменено 28 апреля, 2013 пользователем 77888768 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Twinker 487 Опубликовано 28 апреля, 2013 Разве при ддосе нагрузка ещё будет идти и на бд? Делаем цикл, сверяем каждый из 100к ipшников с бд, блокируем несовпавшие ip адреса. На данную операцию уйдёт 15-20 минут. Что? Чтооооо? Чтооооооооооооооооо? Мой мозг сломан! Вы что несете? Какой цикл? С какими IP Вы сверять будете? При ддосе в 2-3к ботов, в секунду может идти до 50к запросов, Ваши "циклы" убьют ОС и заставят сервер задуматься на долго. Поможет только хард ресет. Все, что Вы тут написали - бред. Вам следует хотя бы прочесть статьи о TCP/IP. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Mass 56 Опубликовано 28 апреля, 2013 Разве при ддосе нагрузка ещё будет идти и на бд? Делаем цикл, сверяем каждый из 100к ipшников с бд, блокируем несовпавшие ip адреса. На данную операцию уйдёт 15-20 минут. Ок....экскурс по сетевой маршрутизации: Internet --- > DC ---> Switch ---> Server [ethernet] ---> Server [iptables] ---> Server (game) То есть в итоге, мы то можем заблокировать подключения от определенного IP,но они все равно будут доходить до свича в ДЦ. И + у езернетовской карты тоже есть ограниченное количество сокетов,которое в определенный момент исчерпает себя.. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
77888768 2 Опубликовано 28 апреля, 2013 Ок....экскурс по сетевой маршрутизации: Internet --- > DC ---> Switch ---> Server [ethernet] ---> Server [iptables] ---> Server (game) То есть в итоге, мы то можем заблокировать подключения от определенного IP,но они все равно будут доходить до свича в ДЦ. И + у езернетовской карты тоже есть ограниченное количество сокетов,которое в определенный момент исчерпает себя.. Тут с вами согласен, а какой принцип у железок для антиддоса? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Mass 56 Опубликовано 28 апреля, 2013 Аналогичен. Если канал к серверу 100 мбит, то хоть защита будет на 30 Гбит ( NetScape 5400) толка от нее будет ровно до 100 мбит (ширины канала) Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Twinker 487 Опубликовано 28 апреля, 2013 Тут с вами согласен, а какой принцип у железок для антиддоса? Объясню очень просто: Мощная сетевая карта + собственная ОС + Анализатор трафика (отдельная часть железки) + Память (для MAC, Правил, обработки пакетов) Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Twinker 487 Опубликовано 28 апреля, 2013 (изменено) Аналогичен. Если канал к серверу 100 мбит, то хоть защита будет на 30 Гбит ( NetScape 5400) толка от нее будет ровно до 100 мбит (ширины канала) Что Вы несете? Бред чистой воды! До сервера будет доходить легитимный трафик. То есть уже очищенный. Грязный трафик будет на фильтре оставаться и отбрасываться. Вам тоже стоит почитать статьи... Ах да, правильно - Juniper NetScreen 5400 Изменено 28 апреля, 2013 пользователем Twinker 1 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
ArRTGoN 53 Опубликовано 28 апреля, 2013 Такой вопрос, а можно ли держать подключение только с теми айпи адресами которые уже определились( то есть зашли в игру), для всех остальных закрыть доступ, к примеру если зашло в игру настоящий 500-1000, остальным всем включая ботов( и тот трафик на 100Mb+) просто не давать возможности подключится. И еще такой вопрос, есть ли другой способ определения игрока - не используя IP Адрес, а используя HWID, или HWID определяется через IP. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Mass 56 Опубликовано 28 апреля, 2013 (изменено) Что Вы несете? Бред чистой воды! До сервера будет доходить легитимный трафик. То есть уже очищенный. Грязный трафик будет на фильтре оставаться и отбрасываться. Вам тоже стоит почитать статьи... Это не бред. Спросите у любого нокера в ДЦ,он Вам скажет точно такую же информацию, и она вполне логина и имеет смысл. До самого сервера - да. Но до того,как он дойдет до сервера,есть еще сетевое оборудование ДЦ, есть еще скорость пиринга между провайдерами,еще магистраль провайдера и т.д Или к Вашему фильтрующему оборудованию сразу подключена магистраль MSK или UA-IX? сомневаюсь... То есть, до того,как трафик дойдет до фильтрующего оборудования, он должен пройти елементарные сетевые инстанции. Которые если не имеют широкополосного подключения, то просто просядут/станут недоступными. То есть, если ширина канала 100 мбит, а атака 3-5 гбит, то трафик увидит только Ваше фильтрующее оборудовании, но не сервер. Иной вариант когда идет не забив канала,а нагрузка пакетами, тогда да, защита должна вытянуть. Изменено 28 апреля, 2013 пользователем Mass Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Twinker 487 Опубликовано 28 апреля, 2013 Это не бред. Спросите у любого нокера в ДЦ,он Вам скажет точно такую же информацию, и она вполне логина и имеет смысл. До самого сервера - да. Но до того,как он дойдет до сервера,есть еще сетевое оборудование ДЦ, есть еще скорость пиринга между провайдерами,еще магистраль провайдера и т.д То есть, до того,как трафик дойдет до фильтрующего оборудования, он должен пройти елементарные сетевые инстанции. Которые если не имеют широкополосного подключения, то просто просядут/станут недоступными. То есть, если ширина канала 100 мбит, а атака 3-5 гбит, то трафик увидит только Ваше фильтрующее оборудовании, но не сервер. Иной вариант когда идет не забив канала,а нагрузка пакетами, тогда да, защита должна вытянуть. Бред и еще раз бред! DDoS атака например в 5gbps > Internet > Juniper SRX (или другой фильтр) > Switch > Сервер. На третьем шаге (фильтр) более 95% трафика будет отброшено. Легитимный трафик пойдет на свич, а тот уже передаст его серверу. Сами-то подумайте. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Twinker 487 Опубликовано 28 апреля, 2013 (изменено) Такой вопрос, а можно ли держать подключение только с теми айпи адресами которые уже определились( то есть зашли в игру), для всех остальных закрыть доступ, к примеру если зашло в игру настоящий 500-1000, остальным всем включая ботов( и тот трафик на 100Mb+) просто не давать возможности подключится. И еще такой вопрос, есть ли другой способ определения игрока - не используя IP Адрес, а используя HWID, или HWID определяется через IP. Можно и спасет от некоторых атак (Нужно выставить запрет к обработке новых соединений. Только ESTABLISHED. Остальные отбрасывать) Но от сильных атак все-же не спасет. Другого способа определения нету. Протокол - TCP/IP. Передается только IP адрес источника запроса. Изменено 28 апреля, 2013 пользователем Twinker Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Twinker 487 Опубликовано 28 апреля, 2013 (изменено) Вот например сегодня ддосили мой хостинг, залили 4GB трафика, сервер работал. http://screenshot.ru...34_83c046de.png При атаке по DNS, сервер лагал. При обычном UDP-флуде с нескольких "машин", он работал стабильно. Один разок даже слег, но совсем ненадолго. Пару минут от силы. Пришлось арендовать железку для частичной обработки трафика. Изменено 28 апреля, 2013 пользователем Twinker Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Mass 56 Опубликовано 28 апреля, 2013 Бред и еще раз бред! DDoS атака например в 5gbps > Internet > Juniper SRX (или другой фильтр) > Switch > Сервер. На третьем шаге (фильтр) более 95% трафика будет отброшено. Легитимный трафик пойдет на свич, а тот уже передаст его серверу. Сами-то подумайте. А по Вашему трафик, это просто "пустота" и он не как не отражается на канале, даже если на 3м шаге его отбросить? Все дело в том, что если установить модуль защиты после свича ДЦ, который лимитирует канал до 100 мбит к примеру, то эта защита будет не о чем. Для того что бы поставить его перед свичем распределитель трафика, нужно больше усилий, и возможности такого решения в самом ЦОД. Но опять же. 100 мбит канал, даже если откинуть трафик который паразитный,он кроме того что не будет доходить до сервера,не изменит нагрузки на канал ( то есть ответы по несколько байтов будут, а это уже нагрузка). Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
