本帖最后由 494308843 于 2015-9-18 12:56 编辑
{:10_492:}
只是一个想法
不知道大神们觉得可行么
防御常规协议攻击
比如那些使用TCP的攻击工具(虽然攻击者可以开发针对的攻击工具)
主要的是!貌似可以用来负载均衡!← ←我指的是网络 就是防御DDOS
{:10_505:}
那就是。。。
服务器使用UDP通讯
网上有完善的VTCP(使用UDP 虚拟TCP)
在服务器弄一个类似代理转发的东西
对外开放UDP 万家连接的时候创建TCP连接连接本机BC(修改数据头 发送玩家真实IP) 连接BC成功然后直接转发数据
客户端弄个 类似的
不过是客户端连接到本机代理然后代理连接到服务器
{:10_505:}
好处就是
转发的服务器
可以是群组
就像多线!
而且
攻击者无法获取服务器真实IP
只能得到前端的转发IP!!!!
还能负载均衡网络流量
缺点:定制的客户端0.0 其他不能连
{:10_495:}然而我又发现一个问题......
TCP转发软件貌似差不多....
不过我觉得我说的这种好像更可靠的样子(然而只能放常规工具攻击)
QwQ
仅供参考
咩~{:10_512:}
如果真有人要做这个试试...
通知我一下
{:10_492:}
只是一个想法
不知道大神们觉得可行么
防御常规协议攻击
比如那些使用TCP的攻击工具(虽然攻击者可以开发针对的攻击工具)
主要的是!貌似可以用来负载均衡!← ←我指的是网络 就是防御DDOS
{:10_505:}
那就是。。。
服务器使用UDP通讯
网上有完善的VTCP(使用UDP 虚拟TCP)
在服务器弄一个类似代理转发的东西
对外开放UDP 万家连接的时候创建TCP连接连接本机BC(修改数据头 发送玩家真实IP) 连接BC成功然后直接转发数据
客户端弄个 类似的
不过是客户端连接到本机代理然后代理连接到服务器
{:10_505:}
好处就是
转发的服务器
可以是群组
就像多线!
而且
攻击者无法获取服务器真实IP
只能得到前端的转发IP!!!!
还能负载均衡网络流量
缺点:定制的客户端0.0 其他不能连
{:10_495:}然而我又发现一个问题......
TCP转发软件貌似差不多....
不过我觉得我说的这种好像更可靠的样子(然而只能放常规工具攻击)
QwQ
仅供参考
咩~{:10_512:}
如果真有人要做这个试试...
通知我一下
说的跟UDP百分百安全一样
事实上,UDP洪水攻击就是DDOS的一种
事实上,UDP洪水攻击就是DDOS的一种
tdiant 发表于 2015-9-26 19:50
说的跟UDP百分百安全一样
事实上,UDP洪水攻击就是DDOS的一种
╮(╯_╰)╭
又不是说用这种通讯就会变成DDOS...
{:10_492:}
然而UDP的清洗难度更大
iSteven 发表于 2015-9-26 23:20
然而UDP的清洗难度更大
{:10_493:}主要的是
可以负载均衡啊
而且服务器真实的IP无法获取、
只能通过节点转发
可以架设多个节点
如果有人搞这个
............
如果真有人做
腐竹接入可以解决大多数攻击
而且服务器不会泄露真实IP
被攻击也只是单个节点
客户端只需要检测一下
然后切换节点就可以了
然而直接进入游戏抓包获取服务器ip即可
你在本地开反向代理怎么不能获取真实IP :/
iSteven 发表于 2015-9-27 13:48
你在本地开反向代理怎么不能获取真实IP :/
你只本地搭建一个转发跟没用一样
还是要连接服务器真实地址
我的意思是
节点转发数据到服务端
客户端连接本地的程序
然后转发到节点
这样真实的IP就无法被攻击者获取
只能得到节点的IP
个别节点出问题也不会影响服务器正常使用
tdiant 发表于 2015-9-26 19:50
说的跟UDP百分百安全一样
事实上,UDP洪水攻击就是DDOS的一种
回去填你的星空物语坑去!!!
tdiant 发表于 2015-9-26 19:50
说的跟UDP百分百安全一样
事实上,UDP洪水攻击就是DDOS的一种
回去填你的星空物语坑去!!!
CDN确实有意义,UDP就没必要了
BC放虚拟机里面 转发服务端 虚拟机接外网 如果有拨号的话就更好了 开100个虚拟机拨100个号有100个ip
缺点:1.工作量大
2.非同IP入口玩家无法进行TPA等操作
FAQ:拨号的不是电话线ADSL吗
Answer: 呵呵。
缺点:1.工作量大
2.非同IP入口玩家无法进行TPA等操作
FAQ:拨号的不是电话线ADSL吗
Answer: 呵呵。
BC本来就不会泄露真实IP
4one_R 发表于 2015-9-29 07:15
BC本来就不会泄露真实IP
{:10_493:}
这个跟BC不一样
如果你开多个BC 远程连接不是同IP的服务器
你BC很多功能都会挂掉
比如跨服消息 tab
都不正确
我指的是
多节点转发数据
这个节点没必要在服务器上面
如果有人搞这个服务
腐竹只要接入就行了
没必要考虑其他问题
可以防御大部分攻击
就像网站那种CDN
494308843 发表于 2015-9-27 19:47
不
我的意思是
有多个节点转发数据到服务器
然而这样BC只能获取到转发服务器的ip
q549365815 发表于 2015-9-30 17:22
然而这样BC只能获取到转发服务器的ip
{:10_492:}BC不是可以套BC吗
模拟成BC 转发就可以了{:10_492:}
{:10_492:}不过这样 服务器得关闭 连接限制或者添加白名单
只要不泄露服务器IP
一般不会影响到服务器
MC服务器目前应对DDOS,目前来说只有几个方法
1.上硬防
2.断网
你的方案太复杂,而且延迟会大很多,消耗的资源和效果不成正比,没什么意义
1.上硬防
2.断网
你的方案太复杂,而且延迟会大很多,消耗的资源和效果不成正比,没什么意义
你说的类似cdn,但是cdn很少人用得起
cyh1312192622 发表于 2015-10-1 11:18
你说的类似cdn,但是cdn很少人用得起
{:10_493:}我只是一种想法
我也不是很懂
但是这确实不失为一种好方法= =
如果有人搞成tcp也行 直接转发 我也不是很懂
v_sky 发表于 2015-9-30 17:54
MC服务器目前应对DDOS,目前来说只有几个方法
1.上硬防
2.断网
{:10_493:}好像。。。确实
延迟最低会在100ms左右.........
{:10_522:}是个问题。。。
负载均衡服务器怎么办?如果所有数据都要经过负载均衡的话。负载均衡服务器挂了,那玩家一样进不去。我看到过一个比较好的思路,因为mc数据包的传输接近于一个数值,只要超过那个ip指向别的ip。比你的更加省资源
本帖最后由 494308843 于 2015-10-31 12:48 编辑
{:10_494:}如果真的有人搞
只要服务器资源可以承受就行了
节点多点完全不担心攻击问题
现在出租共享资源的那些服务商基本都是G口的网络
如果他们搞这个
完全不用担心
而且如果当前节点被攻击不能使用
玩家只是掉一下线
重新连接 自动匹配其他节点不就可以了
404510 发表于 2015-10-29 15:30
负载均衡服务器怎么办?如果所有数据都要经过负载均衡的话。负载均衡服务器挂了,那玩家一样进不去。我看到 ...
{:10_494:}如果真的有人搞
只要服务器资源可以承受就行了
节点多点完全不担心攻击问题
现在出租共享资源的那些服务商基本都是G口的网络
如果他们搞这个
完全不用担心
而且如果当前节点被攻击不能使用
玩家只是掉一下线
重新连接 自动匹配其他节点不就可以了
494308843 发表于 2015-10-31 12:47
如果真的有人搞
只要服务器资源可以承受就行了
节点多点完全不担心攻击问题
然而开MC服务器本来就是为了赚钱,如此高昂的代价(搭建也麻烦)只是用来防偶尔的DDOS,这样不要赚钱了
朋友之间玩就压根不需要防护了
所以直接租个VPS用硬防也可以
1008666 发表于 2015-11-2 02:25
然而开MC服务器本来就是为了赚钱,如此高昂的代价(搭建也麻烦)只是用来防偶尔的DDOS,这样不要赚钱了
...
{:10_522:}软件也不难 成本也不是很高
相当于挂一个软件就OK的事
只要均衡服务器多点 这个服务器问题 也很好解决
跟网站CDN差不多 现在很多搞共享服出租的 服务器资源完全够用
完全不是问题
客户端上可以写成mod自动使用这个功能
如果做成mod 服务端上做成类似BC的前置来处理
也就相当于装个前置服务端和接入那么简单
不是很复杂
软件开发也不是很难啊。。。虽然我不会2333 这只是一个想法
360可以么..
还不如BC集群负载均衡
另外UDP的流量清洗误杀比TCP高几个数量级
另外UDP的流量清洗误杀比TCP高几个数量级
BC似乎不能嵌套
常规的TCP反向代理会丢失源IP
多入口反代的好处就是被攻击可以迅速丢弃老入口,换解析到新的
常规的TCP反向代理会丢失源IP
多入口反代的好处就是被攻击可以迅速丢弃老入口,换解析到新的
q549365815 发表于 2015-9-30 17:22
然而这样BC只能获取到转发服务器的ip
{:10_512:}网上已经有配布防御插件了,还那么辛苦干吗?
没意义。本质还是代理+后端的架构。你入口服务器没高防一样没戏,负载均衡又如何,没高防摸一下就死了,入口服务器再多也是悲剧
这不就是盾机的理念?用UDP倒麻烦.
配置低 防御高,的高放盾击做代理
盾击处限制IP.并发数
至于只能真实ip的问题
你可以试试
把盾击的转发软件换成BC
爽双BC也没什么问题
盾击加个流量清洗233
配置低 防御高,的高放盾击做代理
盾击处限制IP.并发数
至于只能真实ip的问题
你可以试试
把盾击的转发软件换成BC
爽双BC也没什么问题
盾击加个流量清洗233
弱弱的问一句 节点被打死了怎么办{:10_530:}
西瓜牧牧2 发表于 2015-12-5 14:17
弱弱的问一句 节点被打死了怎么办
节点总不能只有一个吧 失效了自动寻找另一个
没用的,你判断也要消耗带宽与资源
494308843 发表于 2015-12-5 22:28
节点总不能只有一个吧 失效了自动寻找另一个
那样会消耗更多的资源(你想弄几个节点?)
我是小强强 发表于 2015-11-18 18:07
网上已经有配布防御插件了,还那么辛苦干吗?
腾讯不就是么,全国都有节点来分摊
1582952890 发表于 2016-2-2 19:12
那样会消耗更多的资源(你想弄几个节点?)
{:10_512:}
好像确实不太适用
对于那些不能修改地图的服应该有效
可以缓存服务器地图数据 缓解服务器流量压力
不过对于可以修改地图的
就不能缓存地图...无法同步服务器真实的地图信息...只能由服务器事实发送...{:10_493:}
呵呵,就你这个X缺还能解决DDoS攻击,DDoS攻击一直是服务器的潜在危险之一,你要要是能解决那么那些国外的网络安全大牛可以下岗了!一个SYN洪水攻击+UDP洪水攻击+木马你的渣渣服务器直接崩溃,解决你妹啊?
要是可以我想就没必要每年投资进去不知道多少亿了。那你不如这样,去淘宝买个反向代理。完事√如果真的表示大赞=-=
您的想法确实不错!那我给你提一点建议,和具体实现方法! 因为我是这方面专业,我了解的多,我的工作就是运维!机房某服务器被DDOS,我们会如何解决!
解决方法:
1.可以考虑硬防! (不推荐)
--- 硬件防火墙就是一套系统,系统基于硬件,安全可靠!
为什么无法上传图片??????
http://pan.baidu.com/s/1boU2xcV
解决方法:
1.可以考虑硬防! (不推荐)
--- 硬件防火墙就是一套系统,系统基于硬件,安全可靠!
- 所谓硬防,就是通过多台硬件的组合,或者单台,对流量清洗过滤等等,达到防御效果! 弊端:对于我们,消费超高!一台硬件防火墙上万!
- 带来的好处,效果显著,功能强大,分为以下:
- 包过滤防火墙 :包过滤防火墙不会检查数据区,包过滤防火墙不建立连接状态表,前后报文无关,应用层控制很弱。
- 应用网关防火墙 : 不检查IP、TCP报头,不建立连接状态表,网络层保护比较弱。
- 状态检测防火墙 :不检查数据区,建立连接状态表,前后报文相关,应用层控制很弱。
- 复合型防火墙 :可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细,会话控制较弱。
- 防火墙的基本功能:防火墙系统可以说是网络的第一道防线,一个企业在决定使用防火墙保护内部网络的安全时,它首先需要了解一个防火墙系统应具备的基本功能(可以干什么),这是用户选择防火墙产品的依据和前提。
- 第二要素:企业的特殊要求企业安全政策中往往有些特殊需求不是每一个防火墙都会提供的,这方面常会成为选择防火墙的考虑因素之一。
--- iptables防火墙基于Linux系统内核(Windows的防火墙不具备条件),防火墙的规则(想让服务器安全,规则少不了!)存储在专用的信息包过滤表中, 而这些表集成在 Linux 内核中,安全可靠,选择他,经济实惠,不比硬件防火墙差! (推荐使用)
- 关于iptables防火墙的功能,可以实现你讲述的功能!具体功能如下(最简单易懂):本机可以 ping 他机,而阻止他机 Ping 本机
- 他机可以 ping 本机,阻止本机 ping 他机 ,反过来也可以!
- 开放内部网访问外部网络 (我们称内部网络为:局域网 外部网络为:互联网)
- 禁止局域网访问外部网络 (我们称内部网络为:局域网 外部网络为:互联网)
- 提供 ftp 服务,开放服务 (我想说,可以禁止或开启某服务的端口。只有开启相应端口,开启相应服务才可以提供服务!)
- 提供 telnet 服务,但禁止某些外部IP访问 ( telnet:互联网)
- 提供 telnet 服务,关闭服务端口 (你可以把BC内部不必要的服务器端口关闭,例如我BC群组的登陆服的IP,屏蔽25565端口,玩家从BC登陆,不允许直接登陆登陆服)
- 将本地地址伪装为 163.26.197.8 (看你怎么理解!伪造IP,假IP)
- iptables防火墙他还可以转发IP,根据IP地址转发(我可以指定转发某个IP到某台服务器的哪个端口!还可以工具端口转发等等! NAT转发)
- iptables防火墙他可以实现包过滤,修改数据包,修改TCP包头等等! 拆包-->修改-->打包转发
- 他还可以...... 只要你想实现的功能,iptables基本具备!你还可以添加模块(类似于我们服务端的插件),使他支持更多功能!更强大!
- 群集的概念是什么? 是多台服务器共同完成一件事!这是群集!
- 群集可以承担压力!我们可以利用多台服务器去完成一台服务器完成不了的事情!
- 需要用到Linux服务器的防火墙!因为我涉及到了防火墙!基本原理:
- 可以有2台服务器作为网络接入口(废话,玩家是不是要连接你这台BC服务器?为什么是2台! 这叫做 HA 高可靠)
- 配置NAT规则(就是上面说到的转发!),一台一台慢慢转发!(给人感觉是死循环的转发! 这时候有人会问,这样不行啊! 肯定不行!一会就是清洗! 你还不能直接将流量拒绝,不然会堵塞你网络!根据敌人攻击网络流量大小!),然后每台服务器配置iptables规则,清洗一下网络流量(主要是对某IP的连接状态判断,然后清洗过滤,最后转发到最后一台服务器!这台服务器比较倒霉,就让他去承担所有的网络流量攻击把!这太服务器不提供服务!)
- 具体思路就这样,看图!
为什么无法上传图片??????
http://pan.baidu.com/s/1boU2xcV
那你何不做一个软件一键开启这样多方便
你可以隐藏IP,并且添加域名,怎么隐藏,百度有 而且现在的小学生D服不可能买流量超过10G
不过楼主好像忽略了延迟这个东西啊
别担心了,买硬防,买硬防。{:10_523:}开服赚那么多钱,买硬防
凋灵兔子 发表于 2016-7-8 20:26
别担心了,买硬防,买硬防。开服赚那么多钱,买硬防
我0收入。。。