本帖最后由 SkyCatcher 于 2021-5-31 23:44 编辑
本贴内容涉及到多个网络方面的漏洞,普通服主难以解决此类问题,非独立IP租户无法解决部分漏洞,BC作者也没有专门做针对性的修复。故删除本贴内容,避免被恶意利用。请删帖处理
对近期的各种压测等攻击的总结和防御措施 —— 尤其是BungeeCord跨服群组
本贴内容涉及到多个网络方面的漏洞,普通服主难以解决此类问题,非独立IP租户无法解决部分漏洞,BC作者也没有专门做针对性的修复。故删除本贴内容,避免被恶意利用。请删帖处理
楼主以各种姿势表达了对网页面板/软件后台服务器的歧视。。。
zhh0000zhh 发表于 2015-1-30 23:52
楼主以各种姿势表达了对网页面板/软件后台服务器的歧视。。。
确实没想出啥好的解决方案来,因为网页面板的控制权限太低了,除了装插件以外没其他手段了,根本控制不到服务器的防火墙
SkyCatcher 发表于 2015-1-30 23:54
确实没想出啥好的解决方案来,因为网页面板的控制权限太低了,除了装插件以外没其他手段了,根本控制不到 ...
咳咳,就像各种姿势网络无法连接MC官网一样。。。
我一般会说,,请与网络服务提供商联系并取得解决方案。。咳咳
zhh0000zhh 发表于 2015-1-30 23:54
咳咳,就像各种姿势网络无法连接MC官网一样。。。
我一般会说,,请与网络服务提供商联系并取得解决方案 ...
{:10_492:}其实即使是网页面板的主机上面进行防御,但是因为每个租户服务器情况不同,所以可能出现无法全面覆盖的情况,所以还是没想出什么好的解决方案
以深刻借鑒。
SkyCatcher 发表于 2015-1-30 23:57
其实即使是网页面板的主机上面进行防御,但是因为每个租户服务器情况不同,所以可能出现无法全 ...
那就是服务器提供商要各种姿势宣传的问题了
好帖啊,好帖,对我们服主太有用了
MOTD的压力并不是太大 主要是图片
和a8 隆还有几个人 一起研究了一下压测 顺便测试了一下
最有效的是直接发送一个握手包 这样服务器会等待你发送用户名等信息过去
你可以想象1000线程让服务器等待然后卡死的场景吧……
和a8 隆还有几个人 一起研究了一下压测 顺便测试了一下
最有效的是直接发送一个握手包 这样服务器会等待你发送用户名等信息过去
你可以想象1000线程让服务器等待然后卡死的场景吧……
模拟真实玩家跑图也是可以进行流量攻击啊
此外如果使用tcp syn攻击也是可以的呢
此外如果使用tcp syn攻击也是可以的呢
csj3120 发表于 2015-1-31 00:11
MOTD的压力并不是太大 主要是图片
和a8 隆还有几个人 一起研究了一下压测 顺便测试了一下
最有效的是直接 ...
这种看样子也只能防火墙级别才能防御了,或者使用反代程序
win7或08之后的windows防火墙可以通过修改入站规则完全屏蔽某个IP,不过好像做不到限制连接数。至于之前的xp或者03系统嘛,那个防火墙的配置简直是看不懂啊...
manageryzy 发表于 2015-1-31 00:12
模拟真实玩家跑图也是可以进行流量攻击啊
此外如果使用tcp syn攻击也是可以的呢 ...
模拟跑图的话,如果量不大没什么关系,量大了还不如直接登入登出来的方便……
syn攻击的话,对于MC服务器来说影响其实不大,但是现在有了协议漏洞以后就可以被熊孩子用来DoS攻击了
{:10_493:}表示今天就有人刷人数结果把服给卡崩了,辛亏做好了防护措施,不过楼主这帖值得顶!
火钳刘明 压测软件层出不穷 服务器也没有太好的办法去制止、
直接封了IP直接方便(防火墙上
csj3120 发表于 2015-1-31 00:25
直接封了IP直接方便(防火墙上
封IP的话要手动,还是不够及时
linux在这方面先天优势,能用iptables限制单IP连接数,win只能用软件
SkyCatcher 发表于 2015-1-31 00:27
封IP的话要手动,还是不够及时
linux在这方面先天优势,能用iptables限制单IP连接数,win只能用软件 ...
IPTables直接无视了 依然可以打(小孩不乖试过了
csj3120 发表于 2015-1-31 00:29
IPTables直接无视了 依然可以打(小孩不乖试过了 打他来着
是不是规则没写好?
理论上限制了单IP的并发连接的话压测就失去意义了,要是用tab刷资源的形式的话,就不是压测的问题了
SkyCatcher 发表于 2015-1-31 00:31
是不是规则没写好?
理论上限制了单IP的并发连接的话压测就失去意义了,要是用tab刷资源的形式的话,就不 ...
不会在后台有显示 要是tab的话直接banip就没事了-.-(最后把IP封了 4个人的233
SkyCatcher 发表于 2015-1-31 00:14
模拟跑图的话,如果量不大没什么关系,量大了还不如直接登入登出来的方便……
syn攻击的话,对于MC服务器 ...
其实好多包是可以利用的,jvm那种东西效率什么的就根本不要想
manageryzy 发表于 2015-1-31 00:43
其实好多包是可以利用的,jvm那种东西效率什么的就根本不要想
鉴于我子服务器banip的情况下都能把我bungee打垮,我对java的效能有了深刻的体会
怎么感觉开服务器越来越难了,,,
今天还看到一些用握手包来尝试攻击的方式,具体信息等成功以后再来发布吧
如果把md_5这个ID封禁是不是也可以起到很好的效果
940461793 发表于 2015-2-1 12:43
如果把md_5这个ID封禁是不是也可以起到很好的效果
bungee端没封禁选项的
登陆服ban了,不久进不去了吗
940461793 发表于 2015-2-1 17:49
登陆服ban了,不久进不去了吗
进不去照样能耗你资源,量大了就撑不住了
看看是什么东西
对每个服主而言都是个福音,防御了那些[自以为高B格!爱装逼!熊孩子!]的人们,辛苦了:3
本帖最后由 GreatGBL 于 2015-2-4 23:05 编辑
非常感谢
前几天我的服就被“2.BC权限设置得当,管理员也删除了,但是仍然发现有人绕过了登陆插件到了子服务器取得OP权限” 这个黑了
我还找了好久原因,没有任何头绪
所有该设置的都设置了
简直要崩溃,以为真的有不可思议的能力
这么一说就明白了。。。 非常感谢天空酱
国外都已经万人同服了,国内的服务器还几乎和2年前一样原地踏步,因为一些人的精力全部用在攻击上了
非常感谢
前几天我的服就被“2.BC权限设置得当,管理员也删除了,但是仍然发现有人绕过了登陆插件到了子服务器取得OP权限” 这个黑了
我还找了好久原因,没有任何头绪
所有该设置的都设置了
简直要崩溃,以为真的有不可思议的能力
这么一说就明白了。。。 非常感谢天空酱
国外都已经万人同服了,国内的服务器还几乎和2年前一样原地踏步,因为一些人的精力全部用在攻击上了
新增第7种攻击方式,这种方式是无痕攻击,建议各位还是注意一下
真的,太过分!不知道发那些程序的人是怎么想的
同一IP最大连接限制多少比较合适?
你关于tabcomplete和motd漏洞蹦服的原理理解都有问题。tc漏洞那样做不算修复,攻击者稍微修改代码可以绕过,现在版本的protect通过注入到PlayerConnection对象实现了彻底封堵这个漏洞。
motd漏洞,我只能说你拿到的攻击器是手下留情,我可以给你演示一种单线程,一瞬间打蹦的方法。这个难以用插件修复,我已发布修复了这个漏洞的1.7.10服务端,修复代码也已提交给spigot社区,已commit。
修复PING/MOTD崩服漏洞的1.7.10服务端发布
http://www.mcbbs.net/thread-403578-1-1.html
motd漏洞,我只能说你拿到的攻击器是手下留情,我可以给你演示一种单线程,一瞬间打蹦的方法。这个难以用插件修复,我已发布修复了这个漏洞的1.7.10服务端,修复代码也已提交给spigot社区,已commit。
修复PING/MOTD崩服漏洞的1.7.10服务端发布
http://www.mcbbs.net/thread-403578-1-1.html
caoli5288 发表于 2015-2-6 23:33
你关于tabcomplete和motd漏洞蹦服的原理理解都有问题。tc漏洞那样做不算修复,攻击者稍微修改代码可以绕过 ...
一瞬间打蹦不就是第七种那个ping的方式么,bungeecord和pc-proxy都能有效防御吧。用插件的据说只要让右边的ping不显示就行了,这种插件我没测试过
我想问下那个动态motd在哪里可以找到?(水龙头官方他丫的上不去QAQ)
feiyifan999 发表于 2015-2-7 07:42
我想问下那个动态motd在哪里可以找到?(水龙头官方他丫的上不去QAQ)
那个我没用过,我用的是代理防御。你可以找给出的原帖作者要
我倒是有点好奇 如何对付模拟玩家? 是不是模拟玩家对于大锅服务器是不是基本无效?
U1U420039 发表于 2015-2-7 14:20
我倒是有点好奇 如何对付模拟玩家? 是不是模拟玩家对于大锅服务器是不是基本无效? ...
压力测试软件模拟假人,对mod服一样的攻击
花了半个小时整理的,希望能放到本帖里
http://www.mcbbs.net/thread-404025-1-1.html
http://www.mcbbs.net/thread-404025-1-1.html
z25096708 发表于 2015-2-7 14:28
花了半个小时整理的,希望能放到本帖里
http://www.mcbbs.net/thread-404025-1-1.html
好的,已加
最近熊孩子骤增啊,感觉好多都是源于那两个吧
关于第二种里提到的1.6的时代spigot.yml里面bungeecord: true这附近还有个设置源IP的选项,我测试了1.6的bungeecord: true开启后还是可以使用ip+端口的形式连入,不知是什么情况
imoeer 发表于 2015-2-8 19:03
关于第二种里提到的1.6的时代spigot.yml里面bungeecord: true这附近还有个设置源IP的选项,我测试了1.6的bu ...
源IP填127.0.0.1
bungeecord这一项只是为了获取真实IP
SkyCatcher 发表于 2015-2-8 19:05
源IP填127.0.0.1
bungeecord这一项只是为了获取真实IP
{:10_494:}这样的话,两台物理服务器的情况下不能用BC当前端啊
imoeer 发表于 2015-2-8 19:13
这样的话,两台物理服务器的情况下不能用BC当前端啊
那你填前端服务器的IP不就好了
SkyCatcher 发表于 2015-2-8 19:14
那你填前端服务器的IP不就好了
这个我试验过
把server-ip修改为前端的ip,后果是子服务器无法启动。
报The exception was: java.net.BindExcption:Gannot assign requested address: bind
imoeer 发表于 2015-2-8 19:27
这个我试验过
把server-ip修改为前端的ip,后果是子服务器无法启动。
报The exception was: java.net.Bin ...
那就不要改server.properties,只改spigot.yml呢
zhh0000zhh 发表于 2015-1-30 23:52
楼主以各种姿势表达了对网页面板/软件后台服务器的歧视。。。
不是歧视的问题……
本来面板/后台就是对一些基础指令的包装。包装有限,虽然方便了使用,自然也麻烦了进一步的管理。