Совет Простая защита от бот-дедоса и школоты

С помощью плагина AuthMe можно сделать простую защиту от дедоса ботами и неадекватных школоло.
1. Выкачиваем последнюю версию плагина http://dev.bukkit.org/bukkit-plugins/authme-reloaded/
2. Настраиваем конфиг:

Код:

    enableEmailRegistrationSystem: true

по умолчанию false, меняем на true
теперь надо найти пункт Email:

Код:

Email:
  RecoveryPasswordLength: 8
  mailAccount: [email protected]
  mailPassword: password
  mailPort: 465
  mailSMTP: smtp.yandex.ru
  mailSenderName: Сервер
  mailSubject: Регистрация на сервере
  maxRegPerEmail: 1
  mailText: 'Привет <playername>, <br /><br /> Твой пароль на сервере <br /><br />
    <servername> : <br /><br /> <generatedpass><br /><br />Когда зайдешь, поменяй
    его на свой: <br /> /changepassword <generatedpass> НовыйПароль'

Адрес е-мейл именно в таком формате, как указано. Яндекс почему-то лучше работает, чем мейл.ру и письма от него приходят в большинстве случаев. Для пущей крутизны можно поднять smtp и на своем серваке, но об этом уже достаточно написано в интернете.
Теперь надо немного отредактировать сообщения, чтобы это бросалось в глаза:
файл messages_ru.yml (перевод)

Код:

reg_email_msg: '&cЗарегистрируйтесь "/register &e<e-mail> <e-mail>"'

Вообще, последнюю часть команд хорошо бы выделить везде. Вот например логин:

Код:

usage_log: '&2Используйте &c/login &e<пароль>'

Выглядит красиво и сразу заметно. Многие по привычке вводят /register пароль пароль, потому что красная надпись стала привычная и ее никто не читает.

После настройки конфига перезагружаем плагин

Код:

/authme reload

И обязательно проверяем работоспособность тестовой регистрацией! Лучше все делать ночью, когда сервер пустой, чтобы не потерять потенциальных игроков.

Заодно можно поправить число максимальных регистраций с одного IP:

Код:

    maxRegPerIp: 3

Раньше оно кое-как защищало от мультиакков, но теперь большинство хитрожопых школьников просто поленится проходить "сложную" регистрацию. А те, кто не поленятся, обойдут и эту защиту. Не надо забывать про семьи с несколькими детьми и просто семьи (ну это редкость).

Как работает:
С указанной в вами в конфиге почты отправляется письмо со сгенерированным паролем, по шаблону в том же конфиге, на почту юзера, он копирует этот пароль и заходит, а потом заменяет его на свой. Поэтому регистрация ботов будет затруднена + криворукие неадекваты тоже не догадаются или поленятся.

Зачем это надо?
Обидчивое чадо может начать дедосить сервер ботами, потому что ему не дали админку. Такая система регистрации не даст этого сделать (не на 100%, но не все будут писать свою программу). Плагины типа AntiBot-Ultra обычно не работают как надо со своими говенным списками + тупо включают вайт-лист, не давая новеньким зарегистрироватся.

Так на сервер отсеится больше адекватной аудитории, которая не поленилась проверить почту. На собственной шкуре проверено, что полные слоты из школоты - только лишняя нагрузка, если на сервере есть донат. С них просто нечего брать. Чем больше адекватных людей (преимущественно от 18), тем больше потенциальных донатеров.

Потом можно сделать единую авторизацию и не надо будет требовать подтверждение e-mail, если этот способ применялся с самого начала. Опять же больше аудитории, которая будет смотреть сайт, иначе пользы 0 от таких наворотов.

 

Код:

# Generated by iptables-save v1.4.7 on Mon Sep  2 20:22:12 2013
*filter
:INPUT DROP [1:32]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [62:4937]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p udp -m udp --dport 138 -j DROP
-A INPUT -p udp -m udp --dport 113 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -p udp -j RETURN
-A INPUT -p icmp -f -j DROP
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 20,21,22,80,443,3306,25565,25566 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 20 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 60000:60100 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A OUTPUT -p udp -j ACCEPT
-A OUTPUT -p icmp -f -j DROP
-A OUTPUT -o eth0 -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A OUTPUT -o eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -o eth0 -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 20,21,22,80,443,3306,25565,25566 -j ACCEPT
COMMIT
# Completed on Mon Sep  2 20:22:12 2013

И не благодарите.

 

@EpicMan2, чито ета?!

 

Конфиг iptables. (для unix систем)

 

Типа антиддосник?

 

Бесполезная ***ня.

 

Эм, мои данные устарели, или вышла новая версия authme с поддержкой регистрации по мылу а не только восстановления ибо пункта emailregistrationsystem у меня нет. У меня версия 2,7,11

 

последняя версия сейчас 2.9.3

 

@InterVi, уффф, я отстал)
Надо проапдейтиться. Я очень надеюсь что в плагине запилили проверку почты на ее реальное существование чтобы небыло [email protected]
В инете кучка сервисов есть на проверку соществавания мыла.

 

Мм, а как он будет то блокировать вход ботов? Ну всмысле флуд в чат, они же смогут все равно входить, но не смогут залогинеться

 

@Killing, Для этого с самого начала надо поставить AntiBot-Ultra и вайтлист будет оотбивать атаку сам

 

Блин, а смысл тогда ставить эту генерацию через эмайл?

 

@Killing,Чтобы слоты наверное не забивало или аццкого чата небыло со спамом. Просто кое кто наверное не совсем понимает принцип атаки когда видно как много "новичков" появляется на сервере с никами типа GH5FDV4

 

EpicMan2, твой сайт сразу лёг... D:

P.S:
если что, я просто затестил.

 

Лол, сайт-то тут причем? Сайт на виртуальном хостинге :O

 

Почему то AuthMe не высылает сообщения с паролем, ну тоесть высылает, но не всем. Хотя сделал все как здесь сказано...

 

@_Riseup619_, у почтовых систем тоже могут быть проблемы типа на гмейл приходит а на мейл ру не всем это как и вина плагина так и почтовых сервисов но я не тестировал именно это но сообщения о востсновлении пароля вроде приходит всем кроме ремблера

 

У меня наоборот приходит только на маил.ру, на другие не высылает...

 

Аффтар вообще понимает смысл слова ддос атака? Вся суть как раз засрать сервер ЛЮБЫМИ запросами, забивая канал и процессорную мощность сервера. Толку от вашей почты, вайтлистов и антиботов, если смысл в том что б послать пакет до сервера, заставив его обрабатывать. И не важно что сервак его отбросит, он же его обработал.
Шлак.

 

Хорошо, раз так думаешь, то предложи нечто подобное, как во втором посте. Так как не обязательно атаковать игровой сервер. Можно на любой порт делать забивку пакетов. А защитить весь сервер поможет только iptables.

На самом деле, способ очень хороший, так как агрошкольники не будут вдаваться в подробности реги, а тупо пойдут на другой школоло-сеервер, где будут клянчить админку. И на этом сервере они даже не будут пытаться провести флуд/ддос-атаку ботами.