Защита Прячем IP сервера

  • Автор темы Автор темы Neo`
  • Дата начала Дата начала
Оверпостинг
LightShock написал(а):
Из опыта игрока, который любит патчи. Лучше выбрать АА или смарт. Стрикс - моя любимая защита. Ее легче всего обойти :)
Нажмите, чтобы раскрыть...
А "АА" это что?

MrThirtyOddSix написал(а):
Мне интересно какая может быть реализация защиты от DDOS'a с помощью прокси? Ведь прокси возмет на себя удар и все, через такую прокси теперь никто играть не может. То есть игровой сервер будет работать, только вот нужно будет поднимать другую прокси через еще один IP. Ну еще снова и опять.

Кстати, если использовать прямой перевод пакетов, как например при использовании IPtables, не случится ли тот же самый DDOS? Вроде все пакеты DDOS должны направляться на открытый порт, и таким образом будут пересылаться на сами игровые серверы. Что в принципе будет опасно для производительности серверов, так как они всеравно должны принимать хоть какой-то пакетный траффик.


Насчет передачи реальных IP адресов при использовании прокси. Это как возможно?
Нажмите, чтобы раскрыть...
Во-первых прокси нужно делать несколько и после прохода авторизации - в окне логина будет позазываться "несколько" серверов (это будут разные прокси которые ведут на один и тот же сервер"
Во-вторых - на уровне прокси становится значительно легче перейти в режим "строгой защиты" (например включается автоматическое ограничение на кол-во подключений с 1 IP
В-третьих - можно организовать логику в стиле: "когда утилизация превосходит % - прокси дропает все пакеты"
Все эти меры направлены не на обход "отказа" сервера в обслуживании, а на защиту площадки где крутится сервер от этого трафика (да, сервер будет работать, да, пользователи не смогут на него попасть, но хостинг не выгонит с формулировкой: "извините, вас ддосят, нам такие клиенты не нужны", а это значит "привет перепривязка всего софта за денежку" и прочие радости.
 

Neo` написал(а):
AdvExt не "вяжется на домен", он вяжется на HWID
Нажмите, чтобы раскрыть...
тогда не вижу проблемы, прячешь ip адрес реального сервера с помощью реверс прокси, для авторизации используешь домен, пробрасываешь через реверс прокси доступ, в случае ддоса меняешь саму реверс проксю
 
root@localhost:~# написал(а):
тогда не вижу проблемы, прячешь ip адрес реального сервера с помощью реверс прокси, для авторизации используешь домен, пробрасываешь через реверс прокси доступ, в случае ддоса меняешь саму реверс проксю
Нажмите, чтобы раскрыть...
именно так, в этом и есть вся задумка
 
root@localhost:~# написал(а):
тогда не вижу проблемы, прячешь ip адрес реального сервера с помощью реверс прокси, для авторизации используешь домен, пробрасываешь через реверс прокси доступ, в случае ддоса меняешь саму реверс проксю
Нажмите, чтобы раскрыть...
так тут в 3ем посте, нас уверяли что это все х"ня. :)
кто мы такие что бы спорить ))
 
Neo` написал(а):
А "АА" это что?
Нажмите, чтобы раскрыть...
ActiveAnticheat
upd: я одного не пойму, зачем изобретать велосипед, если есть хорошие хостеры с собственным фаерволлом, которые будут защищать вашу проксю как минимум на базовом уровне?
 
LightShock написал(а):
ActiveAnticheat
upd: я одного не пойму, зачем изобретать велосипед, если есть хорошие хостеры с собственным фаерволлом, которые будут защищать вашу проксю как минимум на базовом уровне?
Нажмите, чтобы раскрыть...
Порекомендуете хороших хостеров?
 
👑THE KING👑 написал(а):
так тут в 3ем посте, нас уверяли что это все х"ня. :)
кто мы такие что бы спорить ))
Нажмите, чтобы раскрыть...
Я и до сих пор так считаю. Обычная прокси отфильтрует TCP syn/fin/ack аттаку. Но будет передавать обычные пакеты на ура. Притом нужно понимать как защита вообще работает против DDOS'a (ставять не одну а много таких прокси, за load balancer, и заменяют как нужно, а тут всего одна прокси...) а не просто надеятся что все будет пучком. Реверс прокси, домейны... атака будет на IP и порт. Когда она идет, то как только поставиш прокси обратно (свежую, отполированную) то ее обратно кинут. Да, игровые сервера не пострадают но на них и никто играть не будет, так как все игроки не смогут подключиться. А если прокси заново переставить то и те кто уже играет должны отключиться... И что теперь?

Есть у провайдеров фильтрование трафика, называется Anti-DDOS. Вот это и нужно использовать вместо простой прокси. А если охота все самому то тут одной прокси не обойдешся (load balancer и тд.).
 
MrThirtyOddSix написал(а):
Я и до сих пор так считаю. Обычная прокси отфильтрует TCP syn/fin/ack аттаку. Но будет передавать обычные пакеты на ура. Притом нужно понимать как защита вообще работает против DDOS'a (ставять не одну а много таких прокси, за load balancer, и заменяют как нужно, а тут всего одна прокси...) а не просто надеятся что все будет пучком. Реверс прокси, домейны... атака будет на IP и порт. Когда она идет, то как только поставиш прокси обратно (свежую, отполированную) то ее обратно кинут. Да, игровые сервера не пострадают но на них и никто играть не будет, так как все игроки не смогут подключиться. А если прокси заново переставить то и те кто уже играет должны отключиться... И что теперь?

Есть у провайдеров фильтрование трафика, называется Anti-DDOS. Вот это и нужно использовать вместо простой прокси. А если охота все самому то тут одной прокси не обойдешся (load balancer и тд.).
Нажмите, чтобы раскрыть...
Название темы об этом (какие там и куда пакеты будут передавать)?
Прямо же написанно - Прячем IP сервера
Причем тут то что вы там считаете, по поводу того что поможет это от флуда или нет???
Но раз так пошло - от флуда у тех же Адвекстов есть флудгвард, есть и другие решения (не у Адвекстов).
 
👑THE KING👑 написал(а):
Название темы об этом (какие там и куда пакеты будут передавать)?
Прямо же написанно - Прячем IP сервера
Причем тут то что вы там считаете, по поводу того что поможет это от флуда или нет???
Но раз так пошло - от флуда у тех же Адвекстов есть флудгвард, есть и другие решения (не у Адвекстов).
Нажмите, чтобы раскрыть...
Молодец. При чем ваше здесь мнение? Вы почитали всю тему? Нет? Тема переросла в защиту.
Кстати, как я и ответил раньше, без вашего мнения, просто так нe будет возможно спрятать IP сервера.
 
Понимание сетевой архитектуры 0. Никак ты не спрячешь IP, единственный вариант скрыть IP это вообще не открывать порты и ни кому не сообщать его.
"Прячут" за туннелями, соответственно разрешают доступ только для адреса туннеля и перекрывается возможность стучать из мира к твоей машине.
Опять же - это спасет если машина, которая перенаправляет трафик через себя, сконфигурирована, чтобы отражать атаки и фильтровать в твоем случаи TCP трафик. Если же нет - то ровно так же уронят или туннель или твою машину через туннель.
 
Deazer написал(а):
Понимание сетевой архитектуры 0. Никак ты не спрячешь IP, единственный вариант скрыть IP это вообще не открывать порты и ни кому не сообщать его.
"Прячут" за туннелями, соответственно разрешают доступ только для адреса туннеля и перекрывается возможность стучать из мира к твоей машине.
Опять же - это спасет если машина, которая перенаправляет трафик через себя, сконфигурирована, чтобы отражать атаки и фильтровать в твоем случаи TCP трафик. Если же нет - то ровно так же уронят или туннель или твою машину через туннель.
Нажмите, чтобы раскрыть...
эх знал бы ты как типы в своё время шоп в даркнете прятали))
 
root@localhost:~# написал(а):
эх знал бы ты как типы в своё время шоп в даркнете прятали))
Нажмите, чтобы раскрыть...
в смысле знал бы ? типа ни кто не слышал о TORе ? Только это не катит в рамках сервера л2 ни как от слова совсем.
Тема и дискуссия о auth/game и скрытие IP адреса
 
Платформа Lineage 2 архитектурно разделена на два основных компонента: логин-сервер и игровой сервер. Это разделение позволяет организовать сетевую защиту более эффективно, поскольку логин-сервер имеет крайне простой и легковесный протокол связи, что даёт возможность очень агрессивно фильтровать трафик на начальном этапе, минимизируя нагрузку на игровую часть.

Я опишу один из многих способов, как правильно настроить систему защиты на основе:
  • Проксирования,
  • Вайтлиста авторизованных клиентов,
  • Использования заголовков HAProxy для реального IP-адреса клиента,чтобы максимально затруднить проведение DDoS-атак.
1. Разделение ролей: логин-сервер и игровой сервер
  • Логин-сервер и игровой сервер должны быть физически или виртуально разделены.
  • Логин-сервер работает через отдельную проксю и подвергается усиленному фильтрационному контролю.
Почему это важно:
Протокол логин-сервера очень простой — он обрабатывает фиксированное небольшое количество пакетов, где частота и скорость передачи не критична. Это позволяет применять сильные задержки и агрессивное ограничение частоты пакетов без негативного влияния на игровой процесс.

2. Работа логин-прокси
  • Приобретается домен, например, через Cloudflare.
  • Настройка DNS осуществляется без проксирования (галочка "прокси" в Cloudflare отключается), чтобы трафик шел напрямую на вашу логин-проксю.
  • Логин-прокся:
    • Понимает протокол Lineage 2 логин-сервера (знает допустимые опкоды — их около 9 для хроник Gracia и High Five, меньше для более ранних версий).
    • Проверяет размер пакетов (сопоставляет длину в заголовке и фактический размер тела пакета).
    • Применяет строгий rate limiting и может работать с задержками в несколько секунд в случае необходимости.
    • Фильтрует мусорный трафик и атакующие соединения на уровне анализа протокола.
3. Авторизация клиента
  • После успешной авторизации клиента, его IP-адрес добавляется в вайтлист.
  • Информация о вайтлисте становится доступной (есть возможность через REST API, это детали реализации), чтобы игровые прокси могли синхронизировать данные об авторизованных клиентах.
4. Работа игровых прокси
  • Логин-сервер, после авторизации, отправляет клиенту список IP-адресов игровых прокси для дальнейшего подключения.
  • Игровые прокси:
    • Не устанавливают соединение на уровне (TCP Handshake) до тех пор, пока не убедятся, что IP клиента находится в вайтлисте.
    • Подключение разрешается только в случае подтвержденной авторизации.
  • После разрешения соединения:
    • Прокся передает заголовок HAProxy v2 на игровой сервер.
    • В заголовке содержится реальный IP-адрес клиента.
5. Получение реального IP клиента на игровом сервере
  • Игровой сервер всегда получает два IP-адреса:
    • Первый — это IP прокси, через которую шло подключение (их будет ровно столько, сколько у вас проксей — например, разные для Азии, Европы, США и т. д.).
    • Второй — реальный IP клиента, извлекаемый из заголовка HAProxy v2.
  • Реальный IP можно использовать для:
    • Корректного логирования действий клиента,
    • Применения анти-мультибокс правил,
    • Индивидуальной защиты от подозрительных действий со стороны отдельных IP.
Краткая схема работы
  1. Игрок подключается к логин-проксе → проходит авторизацию → его IP добавляется в вайтлист.
  2. Игрок получает список игровых проксей.
  3. Игрок подключается к одной из игровых проксей → прокся проверяет его IP в вайтлисте.
  4. При успешной проверке прокся устанавливает соединение и передает реальный IP игрока на сервер через HAProxy v2 заголовок.
Нажмите, чтобы раскрыть...

Важное дополнение: требования к пропускной способности каналов

Для эффективной работы описанной схемы защиты необходимо обеспечить достаточно широкую полосу пропускания на уровне прокси-серверов.
  • По состоянию на 2023й год минимально рекомендуется иметь 2 Гбит/с и выше пропускной способности на каждый прокси-сервер.
  • При средней DDoS-атаке трафик легко может превысить 1–1.5 Гбит/с, и если канал окажется узким, произойдёт сатурация(переполнение канала), из-за чего:
    • Прокси-сервер будет занят отфильтровыванием мусорного трафика на 100%,
    • Легитимные подключения клиентов не смогут пробиться даже до фильтра.
  • Следует учитывать, что даже самая строгая фильтрация не спасёт, если сетевой канал полностью забит мусором.
Хорошая фильтрация + высокая пропускная способность обязательно должны идти вместе для реальной защиты от DDoS.

Так же, необходимо помнить, что Вас скорее всего не атакуют 24 на 7, и такая конфигурация - дорогая в обслуживании из-за широкого канала. По-этому, выгодно делить ее на несколько серверов или даже проектов (конечно же, оставляя логин сервер у себя под контролем для большей безопасности. Для него не так критичны проблемы с ддосом из-за агрессивной настройки защиты).
 
Последнее редактирование:
MasterToma написал(а):
Платформа Lineage 2 архитектурно разделена на два основных компонента: логин-сервер и игровой сервер. Это разделение позволяет организовать сетевую защиту более эффективно, поскольку логин-сервер имеет крайне простой и легковесный протокол связи, что даёт возможность очень агрессивно фильтровать трафик на начальном этапе, минимизируя нагрузку на игровую часть.

Я опишу один из многих способов, как правильно настроить систему защиты на основе:
  • Проксирования,
  • Вайтлиста авторизованных клиентов,
  • Использования заголовков HAProxy для реального IP-адреса клиента,чтобы максимально затруднить проведение DDoS-атак.

Важное дополнение: требования к пропускной способности каналов

Для эффективной работы описанной схемы защиты необходимо обеспечить достаточно широкую полосу пропускания на уровне прокси-серверов.
  • По состоянию на 2023й год минимально рекомендуется иметь 2 Гбит/с и выше пропускной способности на каждый прокси-сервер.
  • При средней DDoS-атаке трафик легко может превысить 1–1.5 Гбит/с, и если канал окажется узким, произойдёт сатурация(переполнение канала), из-за чего:
    • Прокси-сервер будет занят отфильтровыванием мусорного трафика на 100%,
    • Легитимные подключения клиентов не смогут пробиться даже до фильтра.
  • Следует учитывать, что даже самая строгая фильтрация не спасёт, если сетевой канал полностью забит мусором.
Хорошая фильтрация + высокая пропускная способность обязательно должны идти вместе для реальной защиты от DDoS.

Так же, необходимо помнить, что Вас скорее всего не атакуют 24 на 7, и такая конфигурация - дорогая в обслуживании из-за широкого канала. По-этому, выгодно делить ее на несколько серверов или даже проектов (конечно же, оставляя логин сервер у себя под контролем для большей безопасности. Для него не так критичны проблемы с ддосом из-за агрессивной настройки защиты).
Нажмите, чтобы раскрыть...
вы угараете по АИ ассистентам, попробуйте чутка своими руками головой работать.
 
Deazer написал(а):
вы угараете по АИ ассистентам, попробуйте чутка своими руками головой работать.
Нажмите, чтобы раскрыть...
человек, который на старте упал в осадок из-за невероятного ДДоС-а написал пути решения задачи.
Если такой умный - сам напиши что думаешь по этому поводу.
Но Вы не напишите. Вам легче на*уй послать. Что Вы и сделаете.
 
Deazer написал(а):
вы угараете по АИ ассистентам, попробуйте чутка своими руками головой работать.
Нажмите, чтобы раскрыть...
А в чем проблема? Это и есть результаты моей работы, и моего опыта защиты моих серверов. Это мои настройки.
 
MrKirill1232 написал(а):
человек, который на старте упал в осадок из-за невероятного ДДоС-а написал пути решения задачи.
Если такой умный - сам напиши что думаешь по этому поводу.
Но Вы не напишите. Вам легче на*уй послать. Что Вы и сделаете.
Нажмите, чтобы раскрыть...
ООО Rly ??
Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация

MasterToma написал(а):
А в чем проблема? Это и есть результаты моей работы, и моего опыта защиты моих серверов. Это мои настройки.
Нажмите, чтобы раскрыть...
Ты насрал текстом АИ ассистента, без какой либо аргументации
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

V
При запуске клиента Aion нет ни одного сервера
Ответы
6
Просмотры
220
vovan
V
М
  • Вопрос Вопрос
Ошибка при сборке сервера
Ответы
3
Просмотры
163
Металлург1985
М
ids
При смене языка в клиенте меняем язык сервера
2 3
Ответы
41
Просмотры
902
root@localhost:~#
root@localhost:~#
Clarity
Предоставляю услуги: Сервера/Клиента.
Ответы
2
Просмотры
197
jia
jia
gaara_199
  • Закрыта
Не понимаю как делать пач для сервера l2
2 3
Ответы
47
Просмотры
Aristo
Aristo
Назад
Сверху