После фразы "5000 правил в iptables" я непроизвольно разбил себе лицо фейспалмом. Естественно, дропать нужно подсетями, причём не на самом сервере, а перед ним. Но вы молодцы, что выкрутились!
Одно из лучший видео, которое я посмотрел за последнее время. Мне как Unity разработчику было оч интересно смотреть). То, что ты делаешь видео про резюме тоже полезно и интересно, но истории борьбы - лучшее😊
@@ostrovskiartur Ну сиди верь в название видео...Если б твой примитивный интеллект хоть чуточку работал, то ты бы понимал что многие названия видео на ютубе носят байтовый характер.....И кстати не пиши мне больше, ты мне в принципе не интересен. Мой коммент предназначался, только автору видео.
Если трафик пришёл к машине) это не выход. Т.к. для юдп не нужно акцепт конекшена. Это нужно до машины отводить в blackhole на пограничной части. Т.к. если вы у себя делаете дроп то значит этот пакет дошёл по каналу то уже канал сожран. Поэтому всегда выводите сеть отдельно от хоста. Кстати с ддос шикарно справляется cloudfare. Поэтому игровые сервера обычно прячут за балансировщики подальше от глаз. Делают распределеную сеть. И уже при атаках просто отсекают то что под ней. Пусть атакующий долбит в хост который вам не помешает
Вывод таков: Нужно самим справляться с подобными проблемами и учитывать заранее свои оплошности, иначе взрослые дяденьки на серверах включат тебе музыку ожидания и сделают чёрную дыру. 🎉 Интересный ролик! 👍
Не совсем верно, нужно выбирать нормальный хост который предоставляет защиту (фильтры) от подобных атак на уровне железа которое стоит до вашего дедика или vds/vps и вдобавок к этому не надеятся на эту защиту полностью потому что защита должна быть многоуровневая. До хоста На хосте На уровне приложения В добавок к этому на самой машине не должно быть открыто наружу ничего лишнего, что упрощает жизнь атакующего. Примерно такой посыл должен был быть. Только на «скрипты» надеяться не стоит тк атака может быть такой мощности что твоя машина ляжет раньше чем твои скрипты что-то смогут сделать :)
@@qa337 Понятно. Я согласен с вами, только как я понял из видео, это не оплошность, а сознательная экономия на хостинге, плюс не хотели переплачивать, потому что не предполагали, что поругаются с каким-то "школьниками".
Вам повезло, что попались школьники. Если бы понастоящему опятные ребята заинтересовались вами, то как минимум у них не было бы пробной, детской атаки. Лежали вы бы по полной, а такде я думаю более опыт5ые доголались запустить в вашу игру ботов и например запкстить всем микрофоны или читами начать летать, что бы сам античит вызвал лаги. Ну или просто отправлять уже пакеты от ботов, типо каждую секунду отправляло: повернулся на 1° на 2° и в итоге всё 360° (360 пакетов) бы ли бы неотфильтрованы защитой, запустили бы много ботов то было бы уже намного больше
это микро AT, похоже на 2020. если ты говоришь спокойным голосом, достаточно расстояния 15-20см от микро. если говорить громко, то лучше отодвинуться от него подальше. артефакты звука лечатся регулировкой уровня громкости + остутствием вибраций на столе, т.к. микро на треноге + желательно не дуть в него.
только после твоего комментария понял, что у меня такой же) Всё правильно, 20-30см от микро на паутинке и пантографе - идеальное положение. Модель - AT2020USB+
@@Kent4rтак это база. Конденсаторный микрофон пишет своеобразно и захватывает комнату. Лучшее решение в таком случае купить динамический микрофон и вся боль уйдет, тем более сейчас рынок таких микрофонов стал намного доступнее.
Не было, на входе просто udp порт, даже если бы был nginx, на то она и ddos атака, что любой софт, который пытается анализировать трафик, просто забивает все cpu от нагрузки
Если 30 машин смогли уже насолить вам проблемы - просел CPU, то может стоит подумать о инфраструктуре тоже. Потом уже о защите) А не пробовали хостинг от Yandex (защита от DDOS присутсвует)?
Софт и инфра в общем случае, не предусмотрена для работы в условиях нагрузки паразитным трафиком. всю сеть может убить и один компьютер с запущенным nmap'ом, также сам факт существования атаки DOS (не DDOS) говорит о том что отказ в обслуживании можно реализовать и 1 хостом. Тысячи открытых соединений, брошенных сессий и сотни мегабайт прокачанного через сетевой интерфейс трафика и создают паразитную нагрузку на CPU. Яндекс приятный, но довольно дорогой, спустя несколько месяцев (когда резко прыгнул курс доллара) мы переехали на яндекс, но необходимость держать кластер кубера, ELK, БД, cloud storage, несколько доменов, VPN, шару и прочее, вылетало в копеечку (тратили на инфру 60+к в месяц).
Если речь про cloudflare, то там есть несколько механизмов настройки SSL, с терминированием SSL и без. Твой ресурс может быть доступен по HTTP, а cloudflare сверху тебе повесит SSL. либо SSL и там и там, либо только у тебя
а условно с виртуалками можно подобное провернуть?) VMware Workstation pro незнаю думал заказать 2 хоста ubuntu и win и тоже iptables настроить проброс трафика 🤔 sh написать на монитор и пусть ip в файл дописывает) wpe например пытается долбиться по 80 порту, хочется и от этой пакости защищаться)
если у тебя веб-сайт, лучшая защита будет cloudflare, там есть бесплатные планы, а пакость к тебе всегда будет долбиться, если не мешает - забей, либо меняй порт на нестандартный, это интернет)
@@konstantin.kozlovskiy не совсем все изучал пока проект был, но если пинговали либо пакеты летали на порты логина и мира игры😃 веб часть в порядке на нейтральном хосте
@@konstantin.kozlovskiy а так не опасно делать с точки зрения закона? Если он заходил с какого-то Ростелекома, то вы перевели нехороший трафик на них. Звучит не очень этично
да нет, это как раз больше на школьников похоже, которые просто купили у кого-то ddos. Большой DDOS не каждый пров в РФ выдержит, когда фигачат 500+ гигабит.
мало информации, ничего не сказано про вектор атаки, ничего не сказано про мощности второй атаки. откуда взята информация про 30 хостов? системный администратор не слышал про ip спуфинг? вероятнее всего, ваша игра работает по udp, т.к. он быстрее и его использует большинство крупных онлайн игр (кс, дота), а у юдп нет подтверждения получения данных и нет хендшейка, поменять айпи хедер пакета - дело 10 строчек кода максимум. очень интересно про смену айпи адреса на домене на сервер, участвующий в атаке. с чего взяли вообще, что это именно сервер злоумышленников? если это и вправду был ботнет, то это чей нибудь роутер, и вы попытались навредить простому пользователю, не знающему, что его устройство задействовано в каком то там ботнете. недостаточно информации про сам вектор атаки, где то говорится откровенный бред, как простой рассказ истории - безусловно, круто, ибо некоторые подробности присутствуют, но как пособие к действию, или как пример действий в реальной ситуации - ужасно.
Спасибо за интересный комментарий, могу добавить от себя пару деталей, вы верно предположили что онлайн игра работает по udp, вектор атаки тривиальный - udp flood. Решение о количестве хостов принималось из расчета количества ip адресов. При смене адреса под имя домена был подставлен ip адрес злоумышленника, с которого он заходил в игру и использовал читы (но если быть до конца бдительным, это мог быть и адрес прокси или vpn сервера). Я не специалист по защите от DDOS атак и не пытался представить в данном видео мануал по противодействию этим атакам, их огромное количество разновидностей и серебряной пули нет, подходить надо к этому процессу с разных сторон ) с ip спуфингом в жизни не сталкивался, буду иметь ввиду, спасибо!
не буду говорить кто, но однажды один хостер мудни просто взяли и заблочили аккаунт и деньги не вернули только за то что 32тб трафика словили, тоже досили
когда в ленте наводят мышкой на видео, оно начинает проигрывать первые 15-30 секунд, звук в этот момент не проигрывается, а так можно понять о чем речь
Мы собрали список всех ip адресов, с которых на протяжении полугода успешно были авторизации на игровом сервере. Ботнеты имитировали поведение легального юзера только размером UDP пакетов, авторизацию они не проходили. Процесс отделения легальных от нелегальных всегда уникален для конкретной системы.
@@konstantin.kozlovskiy Я не разбираюсь в этом, но вот какие мысли появились, можно ли было сделать так , чтобы сервер ничего не принимал от неавторизованных пользователей и тогда сервер бы не нагружался?или же злоумышленники могли после такой меры начать отправлять пакеты, которые казались бы авторизованными, но на самом деле являлись поддельными.
Дело в том что любой клиент изначально считается неавторизованным, и только после подключения к серверу проходит авторизацию, отключить всех неавторизованных - равносильно запретить входить на игровой сервер всем, и легальным игрокам тоже)
для HTTP трафика - cloudflare прекрасно подходит, для UDP трафика (игровые сервера работают только так) - cloudflare ddos protection стоит десятки тысяч долларов, возможно с тех пор что-то изменилось) но пару лет назад было именно так, инструмент cloudflare для защиты UDP от DDOS стоил очень дорого.
фаервол должен уметь отличать паразитный трафик от легального, в случае ддос атак это самая большая трудность, нельзя просто взять и закрыть порт, атакующие маскируются под легальных клиентов
Наивно надеяться на firewall. Меня году в 2018 атаковали таким трафиком, что хостер кое как отбивал трафик только Arbor’ом. Атака была всеми возможными методами, били по всем местам. И всякими sync в первую очередь ) Защита должна быть комплексной и многоуровневой. Никогда нельзя держать сайт на одной машине с игровым сервером. Никогда нельзя выставлять например порт БД наружу, коннект к базе должен быть исключительно из под ssh туннеля. Лишние порты нельзя открывать. CF в случае веба не панацея, узнав реальный адрес веб сервера можно атаковать его в обход домена. Тоже когда-то неправильными правилами ложил нагрузкой свой же сервер, забавный кейс был, мне тогда было лет 15) Кроме этого бывают атаки такие которые атакуют практически валидным трафиком, в таком случае злоумышленник пытается положить auth. По ощущению это примерно так словно на твой сервер пытается зайти разом 100к игроков с разных ip и трафик от них как будто нормальный. В таком случае нужно уже правильно обрабатывать коннекты на уровне приложения.
Ну на самом деле хост не обязан оказывать ддос защиту, иначе тогда зачем сайты бы использовали cloudflare. И указывается в днс айпиадресс клаудфлайр и в случае ддос, он будет с этим разбираться
школьники не они, а вы - UDP пакетов по 20 мегабайт не бывает по причине того что на длину в заголовке отведено 16 бит и соответственно максимальная длина пакета 64К 😂
Не сломали)) там было очевидно что это лица несовершеннолетние и еще из другой страны, решили не заморачиваться, но если бы проблемы продолжились, то да надо бы заявление)
Какая чушь... вот, что бывает, когда ты школьник, которому для "бизнеса" хватило только на сервера и деплой. Диджитал оушен тут не причем. Ддос можно осуществить на любой провайдер. В вашем случае всему виной школоподход к бизнесу))
Человек описывает свой опыт. Пройденный кейс дал ему опыт = обучение. Очевидно, что он не знал, как нужно действовать в данном случае. Автор молодец в том, что рассказывает аудитории то как он пытался бороться с атакой пусть и совершая ошибки. Возникает вопрос, зачем ты выcpaл свой «умный» комментарий ?
Бедняжки, не поставили выделенный сервер. А закрываться кф-ом не модно в геймдеве? пинг на 3мс выше будет? Или кф не умеет в юдп? 13:37 Тут меня порвало. Почему нубы не не способные настроить сервер, называют тех кто вас победил на вашем же поле - школьниками? А если это действительно школьники, то это многое говорит о ваших скилллах :D Расскажу вам по секрету, вам достаточно было выставить client_max_body_size на первую атаку, максимальный размер пакета вы знать должны были, как разработчики. И ещё большую тайну открою, если вы это не выставили заранее - это исключительно ваш недоработка. Gb/sec это не гигабайс п с, а гигабит 16:10 вас с каких курсов набрали?
Перед тем как писать, видео посмотри внимательно, и про cloudflare я там упоминал, и если на единицы измерения на графике посмотришь, поймешь почему гигабайт, и nginx тебя не спасёт при ддосе
После фразы "5000 правил в iptables" я непроизвольно разбил себе лицо фейспалмом. Естественно, дропать нужно подсетями, причём не на самом сервере, а перед ним. Но вы молодцы, что выкрутились!
ну а я непроизвольно разбил себе не только лицо, теперь знаю что так делать нельзя :D
Одно из лучший видео, которое я посмотрел за последнее время. Мне как Unity разработчику было оч интересно смотреть).
То, что ты делаешь видео про резюме тоже полезно и интересно, но истории борьбы - лучшее😊
Спасибо за обратную связь, очень полезно и мотивирует стараться дальше :)
Это был стресс тест. Ддос атаки подороже. Обычно злоумышленникам,если расходы превышают доходы, то такую атаку не делают)))
Согласен )
Школьники могут
@@ostrovskiartur всем классом спамить пакетами на сервак?:) могут и пенсионеры, но ддос это достаточно затратно
@@arta4649 Видео называется "Как я пережил DDOS атаку школьников?"
@@ostrovskiartur Ну сиди верь в название видео...Если б твой примитивный интеллект хоть чуточку работал, то ты бы понимал что многие названия видео на ютубе носят байтовый характер.....И кстати не пиши мне больше, ты мне в принципе не интересен. Мой коммент предназначался, только автору видео.
Интересная история)
В последней четверти микрофон начал сдавать, но потом одумался)
Если трафик пришёл к машине) это не выход. Т.к. для юдп не нужно акцепт конекшена. Это нужно до машины отводить в blackhole на пограничной части. Т.к. если вы у себя делаете дроп то значит этот пакет дошёл по каналу то уже канал сожран. Поэтому всегда выводите сеть отдельно от хоста.
Кстати с ддос шикарно справляется cloudfare. Поэтому игровые сервера обычно прячут за балансировщики подальше от глаз. Делают распределеную сеть. И уже при атаках просто отсекают то что под ней. Пусть атакующий долбит в хост который вам не помешает
Вывод таков: Нужно самим справляться с подобными проблемами и учитывать заранее свои оплошности, иначе взрослые дяденьки на серверах включат тебе музыку ожидания и сделают чёрную дыру. 🎉
Интересный ролик! 👍
И в промежутке музыки: "Оставайтесь на линии, Ваш сервис очень важен для нас...."
"учитывать заранее свои оплошности" - знал где упал, подстелил бы.
Не совсем верно, нужно выбирать нормальный хост который предоставляет защиту (фильтры) от подобных атак на уровне железа которое стоит до вашего дедика или vds/vps и вдобавок к этому не надеятся на эту защиту полностью потому что защита должна быть многоуровневая.
До хоста
На хосте
На уровне приложения
В добавок к этому на самой машине не должно быть открыто наружу ничего лишнего, что упрощает жизнь атакующего.
Примерно такой посыл должен был быть.
Только на «скрипты» надеяться не стоит тк атака может быть такой мощности что твоя машина ляжет раньше чем твои скрипты что-то смогут сделать :)
@@qa337 Понятно. Я согласен с вами, только как я понял из видео, это не оплошность, а сознательная экономия на хостинге, плюс не хотели переплачивать, потому что не предполагали, что поругаются с каким-то "школьниками".
Больше подобных видео пожалуйста
Захватывающая стори
Интересно было послушать о тех вещах, которые тебе не сильно знакомы, передача историй классная
Очень интересно вышло. Спасибо!!
Я думал ща реклама селектел будет 😂
Это были походу Анонимусы)))
Интересно. Спасибо
интересное видео, спасибо за полезную информацию!
Ну так-то drop правило надо было писать в raw таблицу до conntrack. Тогда ОС будет тратить минимум ресурсов.
Спасибо за инфу
Они просто пересмотрели Ютуб😂😂😂 и чувствовали себя темными хацкерами.
По хорошему надо написать заявление или подать в суд 😢😢😢
Лайкос, интересно было послушать) А что за сервак GTA 5 RP?
назывался Divine RP
Ваще интересный видос
Вам повезло, что попались школьники. Если бы понастоящему опятные ребята заинтересовались вами, то как минимум у них не было бы пробной, детской атаки. Лежали вы бы по полной, а такде я думаю более опыт5ые доголались запустить в вашу игру ботов и например запкстить всем микрофоны или читами начать летать, что бы сам античит вызвал лаги. Ну или просто отправлять уже пакеты от ботов, типо каждую секунду отправляло: повернулся на 1° на 2° и в итоге всё 360° (360 пакетов) бы ли бы неотфильтрованы защитой, запустили бы много ботов то было бы уже намного больше
это микро AT, похоже на 2020.
если ты говоришь спокойным голосом, достаточно расстояния 15-20см от микро.
если говорить громко, то лучше отодвинуться от него подальше.
артефакты звука лечатся регулировкой уровня громкости + остутствием вибраций на столе, т.к. микро на треноге + желательно не дуть в него.
Спасибо за совет, уже приобрел поп фильтр, попробую еще с ним, следующее видео будет с апгрейдом на микрофоне)
только после твоего комментария понял, что у меня такой же) Всё правильно, 20-30см от микро на паутинке и пантографе - идеальное положение. Модель - AT2020USB+
@@Kent4rтак это база.
Конденсаторный микрофон пишет своеобразно и захватывает комнату.
Лучшее решение в таком случае купить динамический микрофон и вся боль уйдет, тем более сейчас рынок таких микрофонов стал намного доступнее.
очень познавательно!)
А был какой то nginx или HAProxy на входе? Там в теории можно было бы тоже частично фильтровать.
Не было, на входе просто udp порт, даже если бы был nginx, на то она и ddos атака, что любой софт, который пытается анализировать трафик, просто забивает все cpu от нагрузки
ты красачик!) спасибо за подробный рассказ!)
Наверняка те школьники в качестве последней возможности подгадить поставили здесь дизлайки))
Видео выглядит как призыв не очень добрых личностей к действию😹
Интересный кейс.
Если 30 машин смогли уже насолить вам проблемы - просел CPU, то может стоит подумать о инфраструктуре тоже. Потом уже о защите)
А не пробовали хостинг от Yandex (защита от DDOS присутсвует)?
Софт и инфра в общем случае, не предусмотрена для работы в условиях нагрузки паразитным трафиком. всю сеть может убить и один компьютер с запущенным nmap'ом, также сам факт существования атаки DOS (не DDOS) говорит о том что отказ в обслуживании можно реализовать и 1 хостом. Тысячи открытых соединений, брошенных сессий и сотни мегабайт прокачанного через сетевой интерфейс трафика и создают паразитную нагрузку на CPU. Яндекс приятный, но довольно дорогой, спустя несколько месяцев (когда резко прыгнул курс доллара) мы переехали на яндекс, но необходимость держать кластер кубера, ELK, БД, cloud storage, несколько доменов, VPN, шару и прочее, вылетало в копеечку (тратили на инфру 60+к в месяц).
@@konstantin.kozlovskiy пет проект, блин)
А кстати никогда не задумывался? Сервисы защиты от дддос требуют сертификаты для расшвки ssl?
Если речь про cloudflare, то там есть несколько механизмов настройки SSL, с терминированием SSL и без. Твой ресурс может быть доступен по HTTP, а cloudflare сверху тебе повесит SSL. либо SSL и там и там, либо только у тебя
@@konstantin.kozlovskiyкф легко обойти
@@konstantin.kozlovskiyтот же Meris botnet клал мейн сайт cloudflare
Возможно стоило бы нанять на аутсорсе опытного безопасника, который настроил вам антиддос систему изначально.
это пет проект, выделять денег на опытного безопасника не было в планах )
@@konstantin.kozlovskiy Ну тогда скажите спасибо школьникам дудосерам за науку )
Прикольно, интересно) я тут тоже долбил немного один сайт до тех пор, пока он не включил ddos_guard)) теперь хз че делать 😂
Один вопрос: зачем?
@@antiloop5297 конкурент.
А можно было бы просто взять защиту на штормвалле или дудос гуарде и не мучать себя. Хотя и так норм, раз не смогли овх положить.
а условно с виртуалками можно подобное провернуть?) VMware Workstation pro
незнаю думал заказать 2 хоста ubuntu и win и тоже iptables настроить проброс трафика 🤔 sh написать на монитор и пусть ip в файл дописывает)
wpe например пытается долбиться по 80 порту, хочется и от этой пакости защищаться)
если у тебя веб-сайт, лучшая защита будет cloudflare, там есть бесплатные планы, а пакость к тебе всегда будет долбиться, если не мешает - забей, либо меняй порт на нестандартный, это интернет)
@@konstantin.kozlovskiy не совсем все изучал пока проект был, но если пинговали либо пакеты летали на порты логина и мира игры😃 веб часть в порядке на нейтральном хосте
А как в вашу онлайн игру поигратт
Я не понял, как вы узнали ip злоумышленника? Вас ддосили с одного адреса?
злоумышленник перед тем как начать свою активность, играл на нашем сервере, и мы его забанили за читы, так что мы знали его ip адреса и его аккаунт
@@konstantin.kozlovskiy а так не опасно делать с точки зрения закона? Если он заходил с какого-то Ростелекома, то вы перевели нехороший трафик на них. Звучит не очень этично
Нифига это не школьники))
да нет, это как раз больше на школьников похоже, которые просто купили у кого-то ddos. Большой DDOS не каждый пров в РФ выдержит, когда фигачат 500+ гигабит.
понеслось…пошел по комнате ddos…
мало информации, ничего не сказано про вектор атаки, ничего не сказано про мощности второй атаки. откуда взята информация про 30 хостов? системный администратор не слышал про ip спуфинг? вероятнее всего, ваша игра работает по udp, т.к. он быстрее и его использует большинство крупных онлайн игр (кс, дота), а у юдп нет подтверждения получения данных и нет хендшейка, поменять айпи хедер пакета - дело 10 строчек кода максимум. очень интересно про смену айпи адреса на домене на сервер, участвующий в атаке. с чего взяли вообще, что это именно сервер злоумышленников? если это и вправду был ботнет, то это чей нибудь роутер, и вы попытались навредить простому пользователю, не знающему, что его устройство задействовано в каком то там ботнете. недостаточно информации про сам вектор атаки, где то говорится откровенный бред, как простой рассказ истории - безусловно, круто, ибо некоторые подробности присутствуют, но как пособие к действию, или как пример действий в реальной ситуации - ужасно.
Спасибо за интересный комментарий, могу добавить от себя пару деталей, вы верно предположили что онлайн игра работает по udp, вектор атаки тривиальный - udp flood. Решение о количестве хостов принималось из расчета количества ip адресов. При смене адреса под имя домена был подставлен ip адрес злоумышленника, с которого он заходил в игру и использовал читы (но если быть до конца бдительным, это мог быть и адрес прокси или vpn сервера).
Я не специалист по защите от DDOS атак и не пытался представить в данном видео мануал по противодействию этим атакам, их огромное количество разновидностей и серебряной пули нет, подходить надо к этому процессу с разных сторон ) с ip спуфингом в жизни не сталкивался, буду иметь ввиду, спасибо!
А кто вообще долежен заниматься такой защитой, если компания большая (от 100 сотрудников, например)?
обычно заключается договор с интернет провайдером, Ростелеком например )
А как игра называется
не буду говорить кто, но однажды один хостер мудни просто взяли и заблочили аккаунт и деньги не вернули только за то что 32тб трафика словили, тоже досили
похоже на платформу Azure :D у меня там была похожая проблема
@@konstantin.kozlovskiy не помню кто именно но это руссиш 😂
А в чем смысл сабов в начале, если их нет дальше?)
когда в ленте наводят мышкой на видео, оно начинает проигрывать первые 15-30 секунд, звук в этот момент не проигрывается, а так можно понять о чем речь
Термины выучил -молодец.в остальном-вода
Если атакующие маскируются под легальных клиентов, то как вы смогли отделить легальных игроков, от нелегальных?
Мы собрали список всех ip адресов, с которых на протяжении полугода успешно были авторизации на игровом сервере. Ботнеты имитировали поведение легального юзера только размером UDP пакетов, авторизацию они не проходили. Процесс отделения легальных от нелегальных всегда уникален для конкретной системы.
@@konstantin.kozlovskiy Понял, благодарю:)
@@konstantin.kozlovskiy Я не разбираюсь в этом, но вот какие мысли появились, можно ли было сделать так , чтобы сервер ничего не принимал от неавторизованных пользователей и тогда сервер бы не нагружался?или же злоумышленники могли после такой меры начать отправлять пакеты, которые казались бы авторизованными, но на самом деле являлись поддельными.
Дело в том что любой клиент изначально считается неавторизованным, и только после подключения к серверу проходит авторизацию, отключить всех неавторизованных - равносильно запретить входить на игровой сервер всем, и легальным игрокам тоже)
Как говориться ничего не понятно, но очень интересно.
А cloudflare с DDOS protection не тестили? Он вроде баксов 20 в месяц стоит, и настраивается просто - тупо днс его прописать.
для HTTP трафика - cloudflare прекрасно подходит, для UDP трафика (игровые сервера работают только так) - cloudflare ddos protection стоит десятки тысяч долларов, возможно с тех пор что-то изменилось) но пару лет назад было именно так, инструмент cloudflare для защиты UDP от DDOS стоил очень дорого.
Лол его легко обойти
Meris botnet легко клал мейн сайт клаудфлейр
Что мешает настроить firewall?)))
фаервол должен уметь отличать паразитный трафик от легального, в случае ддос атак это самая большая трудность, нельзя просто взять и закрыть порт, атакующие маскируются под легальных клиентов
Наивно надеяться на firewall. Меня году в 2018 атаковали таким трафиком, что хостер кое как отбивал трафик только Arbor’ом. Атака была всеми возможными методами, били по всем местам. И всякими sync в первую очередь )
Защита должна быть комплексной и многоуровневой. Никогда нельзя держать сайт на одной машине с игровым сервером. Никогда нельзя выставлять например порт БД наружу, коннект к базе должен быть исключительно из под ssh туннеля.
Лишние порты нельзя открывать.
CF в случае веба не панацея, узнав реальный адрес веб сервера можно атаковать его в обход домена.
Тоже когда-то неправильными правилами ложил нагрузкой свой же сервер, забавный кейс был, мне тогда было лет 15)
Кроме этого бывают атаки такие которые атакуют практически валидным трафиком, в таком случае злоумышленник пытается положить auth. По ощущению это примерно так словно на твой сервер пытается зайти разом 100к игроков с разных ip и трафик от них как будто нормальный.
В таком случае нужно уже правильно обрабатывать коннекты на уровне приложения.
15:02 никогда не нужно злоумышленникам раскрывать свои карты. Вы сами дали им наводку как действовать дальше
digital ocean в итоге говна поел, а казался хорошим премиум-сервисом
мне он очень нравился первое время, пока не пришла беда)
Ну на самом деле хост не обязан оказывать ддос защиту, иначе тогда зачем сайты бы использовали cloudflare. И указывается в днс айпиадресс клаудфлайр и в случае ддос, он будет с этим разбираться
монтаж и видео на высшем уровне! откуда 70 лайков и 249 подписчиков?
Откуда, всмысле много или всмысле мало?)
@@konstantin.kozlovskiy Слишком мало
Спасибо за высокую оценку) я недавно начал на ютуб видео снимать
@@konstantin.kozlovskiy для такого годного контента маловато)
Рекомендации ютуба
Вот им делать нехер…..
Так вот почему их сервера горели 🥲
Ну опять микро задувается((
видео было записано до твоего комментария на прошлом видео )
Что за игра/сервер?
GTA5 RP, Divine RP сервер, пет проект не взлетел, закрыли
OVH да, норм хостер. есть еще хороший kamatera он в США. с океаном тоже никогда проблем не было ни у кого, очень большие проекты там вертятся..
а что за игрулька
делали свой сервер для GTA5 RP на платформе RageMP, сейчас его уже нет )
Что за игра?
GTA5 RP
Могли бы просто перейти в Aeza
это российский антиддос хостинг? не попал он в то время на наш радар)
А если будет 10000 ботнетов?😊
То это будет очень дорого злоумышленнику)
школьники не они, а вы - UDP пакетов по 20 мегабайт не бывает по причине того что на длину в заголовке отведено 16 бит и соответственно максимальная длина пакета 64К 😂
Справедливо, неправильно сказал, здесь речь о показателях трафика снимаемых утилитой iftop
Так что, коленные чашечки никому так и не сломали? Заявление в полицию не подали? Это же уголовка вроде
Не сломали)) там было очевидно что это лица несовершеннолетние и еще из другой страны, решили не заморачиваться, но если бы проблемы продолжились, то да надо бы заявление)
Очень инфантильное отношение.
Заблокировать хосты и потом бегать в чат чтобы хвалится какой ты крутой, чтобы потом понять что нифига ты не крутой.
Какая чушь... вот, что бывает, когда ты школьник, которому для "бизнеса" хватило только на сервера и деплой. Диджитал оушен тут не причем. Ддос можно осуществить на любой провайдер. В вашем случае всему виной школоподход к бизнесу))
школоподход?
Идиотизм, про количество правил в iptables - это полное отсутствие компетенции! И игра ваша навеняка тоже так себе.
Человек описывает свой опыт. Пройденный кейс дал ему опыт = обучение. Очевидно, что он не знал, как нужно действовать в данном случае. Автор молодец в том, что рассказывает аудитории то как он пытался бороться с атакой пусть и совершая ошибки. Возникает вопрос, зачем ты выcpaл свой «умный» комментарий ?
поделитесь, пожалуйста, скриптами для сочувствующих))
Вот все скрипты, тут надо разбираться.
Основной посыл - дампим iftop все адреса подключенные на игровой порт, удаляем легальные ип реальных клиентов, создаем ipset и баним весь ipset
# dump-connections.sh
iftop -nNPt -L 5000 -s 1 1> iftop-log.txt 2>/dev/null
cat iftop-log.txt | grep ":22005" -A 1 | awk '{ print $1 }' | grep -x '[0-9\.\:]\{9,25\}' | grep -Eo "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+"
# diff.sh
./dump-connections.sh > dump.txt
grep -Fvxf players.txt dump.txt | uniq > possible-ddos-ip-address-list.txt
grep -Fvxf whitelist.txt possible-ddos-ip-address-list.txt | uniq > ddos-ip-address-list.txt
./notify.sh "Нас атакуют $(cat ddos-ip-address-list.txt | wc -l) хостов"
# ban-all.sh
xargs < ddos-ip-address-list.txt -n 1 ./ban-ip.sh
# ban-ip.sh
echo BAN [$1]
iptables -A BANNED -s $1 -m comment --comment "DDOS1" -j BANNEDLOG
sleep 0.2
@@konstantin.kozlovskiy а как вы вычленяли легальных клиентов? или боты долбили по всем портам, кроме игрового?
ovh в рф работает?
В настоящее время затруднительно будет оплатить их хостинг, только через специальные сервисы, предоставляющие оплату зарубежных услуг
Бедняжки, не поставили выделенный сервер. А закрываться кф-ом не модно в геймдеве? пинг на 3мс выше будет? Или кф не умеет в юдп?
13:37 Тут меня порвало. Почему нубы не не способные настроить сервер, называют тех кто вас победил на вашем же поле - школьниками? А если это действительно школьники, то это многое говорит о ваших скилллах :D Расскажу вам по секрету, вам достаточно было выставить client_max_body_size на первую атаку, максимальный размер пакета вы знать должны были, как разработчики. И ещё большую тайну открою, если вы это не выставили заранее - это исключительно ваш недоработка.
Gb/sec это не гигабайс п с, а гигабит
16:10 вас с каких курсов набрали?
Перед тем как писать, видео посмотри внимательно, и про cloudflare я там упоминал, и если на единицы измерения на графике посмотришь, поймешь почему гигабайт, и nginx тебя не спасёт при ддосе