Защита от DDoS атак

  • Автор темы Автор темы e1mer
  • Дата начала Дата начала

e1mer

Путник
Пользователь
Сообщения
20
Розыгрыши
0
Репутация
90
Реакции
3
Баллы
24
Моя услуга покроет потребность практически любого сервера MMORPG, т.к мы не будем вмешиваться в трафик, все гораздо проще.
Мы с тобой (потенциальный клиент), будем контролировать кол-во соединений, и как только нам начитают заливать трафик - мы закроем все порты (оставляя текущие соединения активными) и открываем необходимый порт только для тех - кто есть в белом списке, так же в параллель подкачиваем белый список, о формировании которого я расскажу ниже.

Что стоит знать?

  • Защита не "сдается в аренду" или по "подписке";
  • Плата единоразовая, а все ПО и настройки осуществляются на вашем сервере;
  • Все работает в связке nginx + firewalld + не много кода на с++\php;
  • Я работаю на мощностях провайдера OVH (так же можно настроить и на любом другом провайдере, но в таком ключе для вас остается открытый вопрос - во время попытки обрушения, не заблокирует ли ваш VPS провайдер?);
  • Весь процесс по патчингу ваших ресурсов я возьму на себя (php, c#, c++) и он входит в стоимость;
  • Я не занимаюсь редактированием уже скомпилированного кода;

Не много о формировании белого листа
Мы будем использовать все ваши ресурсы (веб-сайт, лаунчер, возможно игровой клиент (если есть исходный код), и все прочее, с чем игрок может взаимодействовать.
Вся ваша инфраструктура будет "в тени" собирать реальные IP адреса ваших игроков и формировать белый список пригодный для употребления необходимыми серверами с предустановленной защитой.

Стоимость $300 USDT, как я сказал выше, плата единоразовая, а в случае возникновения проблем - я всегда на связи.
Оплату принимаю только в USDT.

Для людей желающих увидеть результат ДО покупки - я осуществлю настройку собственного сервера с пробросом трафика на ваш, выдам IP адрес который вы сможете успешно атаковать.
Настройку ваших серверов "для теста" я не произвожу.

Дополнительный способ связи, telegramm: @e1mer
 
Не совсем понял зачем в цепочке "я<->OVH" вы. Обычный RateLimit на пакет авторизации и блок IP напрямую через вызов API в OVH VAC без всяких костылей решит проблему на корню. А рандомный флуд по портам VAC и сам блочит практически моментально.
 

Не совсем понял зачем в цепочке "я<->OVH" вы. Обычный RateLimit на пакет авторизации и блок IP напрямую через вызов API в OVH VAC без всяких костылей решит проблему на корню. А рандомный флуд по портам VAC и сам блочит практически моментально.
Ага, пояснительную бригаду тогда, зачем на этом форуме в этом же разделе есть несколько топиков о предоставлении этих же услуг?)

Да и прошу объяснить, как вы будете бороться с DDoS если вы например проксируете трафик с помощью cloudflare? Вы никогда не увидите реальный IP адрес сендера, вы увидите только IP адрес cloudflare. И я сейчас говорю о TCP трафике, не о HTTP.
 
Ага, пояснительную бригаду тогда, зачем на этом форуме в этом же разделе есть несколько топиков о предоставлении этих же услуг?)

Да и прошу объяснить, как вы будете бороться с DDoS если вы например проксируете трафик с помощью cloudflare? Вы никогда не увидите реальный IP адрес сендера, вы увидите только IP адрес cloudflare. И я сейчас говорю о TCP трафике, не о HTTP.
Можно придумать с сотню ситуаций когда то или иное решение не будет работать.
Вы писали про защиту гейма - я написал как это делают в нормальном мире.

В случае если вы абузите туннелирование CF, то у вас проблема больше в том, что ваш белый список пойдет по месту, когда атакующий начнет использовать WARP прокси и вы успешно перебаните всю подсеть CF.
Нужен реальный IP? Допишите в пакет авторизации на клиенте и дергайте WAF API когда лимиты превышены.
 
Можно придумать с сотню ситуаций когда то или иное решение не будет работать.
Вы писали про защиту гейма - я написал как это делают в нормальном мире.

В случае если вы абузите туннелирование CF, то у вас проблема больше в том, что ваш белый список пойдет по месту, когда атакующий начнет использовать WARP прокси и вы успешно перебаните всю подсеть CF.
Нужен реальный IP? Допишите в пакет авторизации на клиенте и дергайте WAF API когда лимиты превышены.
В случае с cloudflare я не использую вайт-листы. Я использую прокси-сервер (см. пост выше.).
1709903279957.webp
 
В случае с cloudflare я не использую вайт-листы. Я использую прокси-сервер (см. пост выше.).
Посмотреть вложение 73582
Так если вы не используете CF для детекта атак и работы с белыми списками, тогда зачем он вам вообще? Без платного Enterprise/Spectrum плана проксирование TCP траффика бесполезно даже для средних проектов, так как CF просто отключит ваш туннель при превышении лимита.

И как я уже писал выше: все это по-большей степени костыли и баловство. Единственное применение вижу только в том случае, когда конечный клиент не имеет доступа к исходникам сервера и в этом сервере не реализован рейт-лимит на создание соединения.

В КОНЕЧНОМ итоге все равно клиенту придется надеяться только на VAC в случае с OVH, потому что когда тебе зальют 200+Гбит - закрытие портов тебе уже ничем не поможет.
 
Последнее редактирование:
CF Spectrum бесполезное говно, уже тестировали года 3-4 назад)

Сейчас уже почти никто не использует метод "грубой силы", вливая 100500 гигабит пытаясь просто задавить канал.
Штормам вот относительно недавно влили почти 3Tbps и они без особых трудностей отбились.
Гораздо дешевле и проще атаковать на уровне игрового протокола. Нет необходимости полностью ронять серверную машину, достаточно создать проблемы для Login/Game сервера.
Просто небольшой пример на scryde

По теме:

ТС сейчас просто идет по граблям, по которым другие прошли уже много много лет назад.
Его идея с прокси-сервером, о которой он писал выше, в самый ответственный момент при реальной атаке преподнесет ему неприятные сюрпризы. Не он первый идет по этим граблям, и не он последний :)

Идею с вайтлистами, как я вижу, ТС принес из игры Perfect World, где это продается за 2к рублей в виде плагина для личного кабинета, где игрок проходит капчу и его IP добавляется в белый список. Другие же делают что-то типа port knocking'а, стучась, например, из апдейтера на определенный порт. В любом случае суть одна и та же - добавить игрока в белый список.

Только спойлер - это работает до тех порт, по сервер никому нафиг не уперся. Сервера из топ 5 с этой защитой постоянно отлетают на старте.
puppeteer + пара баксов на балансе 2captcha + немного мелочи на покупку socks proxy + немного свободного времени + прямые руки == заруиненный старт сервера.
Об OOG ботах и инжект пакетов через игровой клиент я даже говорить не буду :)
 
CF Spectrum бесполезное говно, уже тестировали года 3-4 назад)


Сейчас уже почти никто не использует метод "грубой силы", вливая 100500 гигабит пытаясь просто задавить канал.
Штормам вот относительно недавно влили почти 3Tbps и они без особых трудностей отбились.
Гораздо дешевле и проще атаковать на уровне игрового протокола. Нет необходимости полностью ронять серверную машину, достаточно создать проблемы для Login/Game сервера.
Просто небольшой пример на scryde

По теме:

ТС сейчас просто идет по граблям, по которым другие прошли уже много много лет назад.
Его идея с прокси-сервером, о которой он писал выше, в самый ответственный момент при реальной атаке преподнесет ему неприятные сюрпризы. Не он первый идет по этим граблям, и не он последний :)

Идею с вайтлистами, как я вижу, ТС принес из игры Perfect World, где это продается за 2к рублей в виде плагина для личного кабинета, где игрок проходит капчу и его IP добавляется в белый список. Другие же делают что-то типа port knocking'а, стучась, например, из апдейтера на определенный порт. В любом случае суть одна и та же - добавить игрока в белый список.

Только спойлер - это работает до тех порт, по сервер никому нафиг не уперся. Сервера из топ 5 с этой защитой постоянно отлетают на старте.
puppeteer + пара баксов на балансе 2captcha + немного мелочи на покупку socks proxy + немного свободного времени + прямые руки == заруиненный старт сервера.
Об OOG ботах и инжект пакетов через игровой клиент я даже говорить не буду :)
Cloudflare, к сожалению, вообще не умеет в фильтрацию чистого TCP траффика - из-за этого нет возможности тонко настроить правила фильтрации (даже на Enterprise тарифе). И на данный момент получается, что единственное для чего он пригоден это сугубо HTTP и то с рядом условностей которые вынуждают в некоторых случаях уходить в репликацию OVH+CDN.

И опять же таки - повторюсь, ЕДИНСТВЕННЫЙ действенный способ это решать проблему флуда и отсекать нелегит траффик непосредственно на уровне протокола логина\гейма. Если у вас сервер пытается выполнять рутину той же авторизации на каждый "валидный" входящий пакет - вам не поможет никакая защита, какая бы она продвинутая не была.
 
Cloudflare, к сожалению, вообще не умеет в фильтрацию чистого TCP траффика - из-за этого нет возможности тонко настроить правила фильтрации (даже на Enterprise тарифе). И на данный момент получается, что единственное для чего он пригоден это сугубо HTTP и то с рядом условностей которые вынуждают в некоторых случаях уходить в репликацию OVH+CDN.

И опять же таки - повторюсь, ЕДИНСТВЕННЫЙ действенный способ это решать проблему флуда и отсекать нелегит траффик непосредственно на уровне протокола логина\гейма. Если у вас сервер пытается выполнять рутину той же авторизации на каждый "валидный" входящий пакет - вам не поможет никакая защита, какая бы она продвинутая не была.
Разбиравшегося парня видно сразу. Про снижение пинга для всего мира мы просто опустим, это ведь мелочь для тебя.
То что ты не умеешь с этим работать, и бессилен в настройке не говорит о том что cloudflare бесполезен, просто промолчи в нужный момент - сохранишь авторитет.

Ты не учитываешь, что единственный действенный способ - это только для тебя.

А теперь к пруфам.

Вот короткий ролик, о том как очищается трафик и беспрепятственно можно войти на сервер, используя только обосранный вами выше прокси-сервер (в данном случае используется 2 штуки),1 на точке входа - где первично очищается трафик, второй уже на самом сервере Windows - куда необходимо слать в данном примере трафик, он же добивает остатки просочившиеся пакеты.

Подчеркну, что никакой блокировки IP адресов не происходит, весь алгоритм настроен на правильную очистку TCP под текущие задачи. На скорости 60 мегабит в секунду. Фейковых соединений не превышает 350, что даже для Windows очень хорошо, ведь в запасе мы имеем ещё более 50 тысяч свободных локальных портов.

Ах да, столько слов, столько слов,к слову, вайт-листы в данном случае не задействованы.


 

Видео
 
Чисто случайно увидел, что использует автор и протестировал на деле без апдейтера. Был удивлен, что схема то рабочая.
Из плюсов, если игроки уже вошли в игру их не дропнет. Из минусов новые игроки не смогут войти до тех пор пока не закончится атака или не отфильтрует защита. Но, можно схитрить и обмануть атакующую сторону и все будет работать.

p.s 300$ много, реальная цена 150$ из которых 100$ за сообразительность.
p.ss против пакетов защиту реализовали еще 2019, но серверу все равно было трудно.
 
Ну до этого нужно еще дожить. Многие "сeперзащитники" дают жидкого еще на этапе интеграции поделки в клиент игры, а потом придумывают всякие нелепые оправдания).

Если говорить по факту, то защиты рабочие, спасут от атак среднего и выше среднего уровня. Себестоимость этих самопалов до 200-300$, если прям хочется свое, а не брать у дяди в аренду. На паре форумов висят исходники поделок на продажу.

Чисто случайно увидел, что использует автор и протестировал на деле без апдейтера. Был удивлен, что схема то рабочая.
Из плюсов, если игроки уже вошли в игру их не дропнет. Из минусов новые игроки не смогут войти до тех пор пока не закончится атака или не отфильтрует защита. Но, можно схитрить и обмануть атакующую сторону и все будет работать.

p.s 300$ много, реальная цена 150$ из которых 100$ за сообразительность.

Так 200-300, или все же 150? Да и к тому же, цену себе я устанавливаю сам, есть деньги за которые клиент получит результат, а есть ЗА которые он хочет получить хоть что-то)).

А если без сарказма, то я написал все механизмы, при которых нужные IP адреса неизбежно попадут вайт-лист. Там не так все просто как может показаться с первого взгляда, есть тонкости о которых я попросту не расскажу.

p.ss против пакетов защиту реализовали еще 2019, но серверу все равно было трудно.
Да я не против, может и реализовали в 2019, есть рынок, на котором я постараюсь сделать это качественней, разве это сложность?
 
Разбиравшегося парня видно сразу. Про снижение пинга для всего мира мы просто опустим, это ведь мелочь для тебя.
То что ты не умеешь с этим работать, и бессилен в настройке не говорит о том что cloudflare бесполезен, просто промолчи в нужный момент - сохранишь авторитет.

Ты не учитываешь, что единственный действенный способ - это только для тебя.

А теперь к пруфам.

Вот короткий ролик, о том как очищается трафик и беспрепятственно можно войти на сервер, используя только обосранный вами выше прокси-сервер (в данном случае используется 2 штуки),1 на точке входа - где первично очищается трафик, второй уже на самом сервере Windows - куда необходимо слать в данном примере трафик, он же добивает остатки просочившиеся пакеты.

Подчеркну, что никакой блокировки IP адресов не происходит, весь алгоритм настроен на правильную очистку TCP под текущие задачи. На скорости 60 мегабит в секунду. Фейковых соединений не превышает 350, что даже для Windows очень хорошо, ведь в запасе мы имеем ещё более 50 тысяч свободных локальных портов.

Ах да, столько слов, столько слов,к слову, вайт-листы в данном случае не задействованы.


Уморил. Удачи, "авторитетный" ты наш :)
 
Назад
Сверху Снизу