А как вы защищаетесь от школо-ддоса?

Недавно столкнулся с такой проблемой.Кто то в сети распространил так называемую флудилку которая посылает пакеты на выбранный сервер, тем самым нагружая его.В последнее время атаки на мой сервер участились, это уже изрядно достало.Прошу помочь советом.

 

Бери хостинг с анти-ддосом

 

Он как раз таки с ним.

 

Какой?

 

Mr-Hosting

 

В последнее время вижу на банжах отдельный сервер(а?) с пустым миром и табличками и логином.
Это новая защита? Или что это вообще такое?
Кстати, у @Studenikin я это дело тоже видел. Пояснишь?

 

Скорее так. Думаю, что банжа стоит чтобы принимать весь удар на себя.

 

На одном из серверов таких:

 

Обновляйтесь до 1.8 =)

 

Отлично. Обновился, что теперь?

 

Ограничить в NCP заход игроков в единицу времени и пилить защиту. Если не хостинг с анти-дедосом, то в паблике толком ничего нет, кроме всяких антипроксей и капч, которые нифига не помогут. Надо написать плагин, который хотя бы при массовом заходе игроков покикает их (так память не сожрется) и включит в AuthMe заход только уже зарегистрированных (или вообще вайт-лист). Вариант не очень, но пока нет больше идей.

 

Сервер с включенным вайтлистом с 1-2 плагинами и 6 гб оперативы падает за 15-20 секунд.
Антипрокси тоже перегружают сервер.

 

Посмотри что за пакеты тебе шлются и поставь на них ограничение в iptables. Никакие плагины не помогут кроме этого. Можно поэкспериментировать с сетевым кодом майнкрафта....

 

Ну так я про что. При массовом заходе нужно предотвращать вход новых игроков и покикать часть уже зашедших неавторизованных. Я так понял суть в том, что оперативка полностью сжирается из-за кучи объектов Player.

 

Проблема в том, что насколько я понял отличий между ботами и валидными игроками - нету, поэтому это не вариант.

Эттачё?

Имхо, сейчас есть 2 варианта. Либо прокся от Хдипа, либо вот то о чём я чуть выше писал.

А предотвращать надо на уровне файрволла, не сервера. Иначе сервер умрёт через 20-30 секунд.

 

незнаю как в майнкрафте, но в большенстве игр боты обозначаются так: либо имеют ip 'localhost'||'127.0.0.1', либо должна быть функция isBot. И вообще..... какой нах бот)Если таковой имеется, то он врядли будет коннектиться с другого ip.
UPD:
Понял про каких ты ботов...

Если картинка выше описывает текущий протокол подключения, то....Это не самый хороший способ хендшейка :d и врядли тут чем то можно помочь кроме iptables ( не редактируя сервер )

 

Да это не проблема, но вариант все равно так себе, обычные игроки все равно пострадают. Хз напишу ли. Но если придумаю что-то более гениальное, в паблик не солью

 

У меня есть идея но не уверен в возможности реализации.

 

Можно сделать все, лишь бы не ломало совместимость с клиентом

 

Просто кладите установку соединения в очередь. И собственно обрабатывайте только ограниченное число игроков за тик. Боты всё равно скорее всего дисконнектнутся, а норм игроки пройдут. Тем более почти на первом же этапе можно сразу по нику фильтровать. Зареган и имеешь скажем как минимум 1 регион в привате и пачку денег - попадаешь в приоритетную очередь. Не имеешь - в низкоприоритетную.