Платформа Lineage 2 архитектурно разделена на два основных компонента:
логин-сервер и
игровой сервер. Это разделение позволяет организовать сетевую защиту более эффективно, поскольку логин-сервер имеет крайне простой и легковесный протокол связи, что даёт возможность очень агрессивно фильтровать трафик на начальном этапе, минимизируя нагрузку на игровую часть.
Я опишу
один из многих способов, как правильно настроить систему защиты на основе:
- Проксирования,
- Вайтлиста авторизованных клиентов,
- Использования заголовков HAProxy для реального IP-адреса клиента,чтобы максимально затруднить проведение DDoS-атак.
Важное дополнение: требования к пропускной способности каналов
Для эффективной работы описанной схемы защиты необходимо обеспечить
достаточно широкую полосу пропускания на уровне прокси-серверов.
- По состоянию на 2023й год минимально рекомендуется иметь 2 Гбит/с и выше пропускной способности на каждый прокси-сервер.
- При средней DDoS-атаке трафик легко может превысить 1–1.5 Гбит/с, и если канал окажется узким, произойдёт сатурация(переполнение канала), из-за чего:
- Прокси-сервер будет занят отфильтровыванием мусорного трафика на 100%,
- Легитимные подключения клиентов не смогут пробиться даже до фильтра.
- Следует учитывать, что даже самая строгая фильтрация не спасёт, если сетевой канал полностью забит мусором.
Хорошая фильтрация + высокая пропускная способность обязательно должны идти вместе для реальной защиты от DDoS.
Так же, необходимо помнить, что Вас скорее всего не атакуют 24 на 7, и такая конфигурация - дорогая в обслуживании из-за широкого канала. По-этому, выгодно делить ее на несколько серверов или даже проектов (конечно же, оставляя логин сервер у себя под контролем для большей безопасности. Для него не так критичны проблемы с ддосом из-за агрессивной настройки защиты).
