Защита Counter Strike Сервера

Дальше что?
На той стороне анализируют на наличие вредоносного кода, а не наличие дырок.

а что вы так боитесь 49 протокола то? как то перешли все на 48 протокол , да на это нужно время , но за то будем уверены в защите своего сервера

И по этой причине тоже.

Да и новым разработкам Льва доверия у меня нет. Так как основной приоритет у него идет под фильтрацией фэйк плееров. Как известно версия 497 не стабильная и убрана была из атача на cs.rin.

Проверку фейков надо либо в отдельную ветку разработки, либо отдельным метаплагом.

На самом деле очень много игроков играет на протоколе 47 по сей день! Помню год назад прикрыл на одном из серверов протокол 47, так сразу началось "а что случилось с сервером? Почему не могу зайти на него?".

Сейчас на дворе 2015 год, и никто переходить никуда не будет.

В основном это школьники и читеры, а так же иностранцы, у которых в странах лимитированный интернет трафик и платить за интернет дорого, вот и устанавливают свои игровые клиенты с дисков 10 летней давности, на которых, естественно, протокол 47.

С выходом 49, не сделать трипл протокол, ибо не будет толка от протокола 49 что бы защитить сервер от атак амплификации.

P.S сразу вспомнились слова из книги - самоучителя по windows 95 от Дьяконова В.П, написанные в 96 году про то, что после windows 95 будет windows 97, про 98 не было не слова. Так же и здесь, не факт это будет протокол 49, может будет вообще 50 или 60, не в том суть. Суть в действиях официалов, будет ли вообще?

Так же отличный пример его слов, что процессоры intel pentium для рабочих станций будут венком на могиле процессоров 386 и 486, так же и с игрой CS 1.6.

а сколько этих игроков до 5% 47 протоколом ? ну да толку от dproto уже не будет , потому что старые протоколы будут пускать эту заразу

На hl 1 серверах основная составляющая это игроки 47 протокола.

Зайди на любой Американский сервер по CS 1.6, там с 47 протокола от 50% игроков.

ну го тогда костыли придумывать , мы же как их обожаем , dproto не будет всегда вас спасать , crock не вечен

Crock уже давно от дел отошёл, если ты не заметил.

Частичные костыли есть, это правила iptables, Fire писал в этой теме если внимательно полистать. А так же ансвер ноль на уровне dproto.

Правда до сих пор непонятно, почему их до сих пор не написали в самой теме защиты в главном сообщении модераторы форума, как частичное решение.

Владельцам windows серверов кто держит серваки дома, потребуется поднимать отдельный линуксовый системник под интернет-подключение с грамотно настроенным и хитровы*бан*ым iptables.

да ему уже кажется надоело с этим возиться


а как быть кто на хосте ? писать в тп и сказать что бы правила в iptables добавили?)

Давно занимается Lev, который основной приоритет своих трудов направил на фильтрацию фэйков в dproto, и не очень удачно к сожалению.

Именно поэтому я использую dproto 391 с костылями от эксплоитов как самое стабильное решение.


Любой уважающий себя и своих клиентов хостер частично защитился от амплификации в первый же день. Вообще да, так и делать, скидывать хостеру ссылку посредственно на правила из данной темы, что бы были в курсе, если они до сих пор не в курсе что происходит.

да просто все хуже и хуже становиться , crock ушел остался Lev , а он все в dproto не будет фиксить , ех не долго осталось этой игре .

Баги , эксплоиты и читы выходят очень много чем фиксы от них , крайний вариант стукать альфреду , он через года 2 что то сделает только)

Через 2 года от CS ничего не останется. Через 2 года будет год 2017, я серверами занимаюсь с 2006 года, а уже 2015 год, удивлен что так много людей собрались в одном месте и активно ведут демагогии о защите сервера.

А вообще Альфред уже "сделал"... "Спасибо" ему, в больших и жирных кавычках за серию новых билдов.

пока живет этот форум и живет эта игра , amx-x там вообще глухо , ну хоть что то он там пофиксил))

ладно , хватит не по делу говорить

Ну, раз при спуфинге можно подставить любой ип, то явно не стоит делать отслеживание на уровне ипшников. В таком случае точно памяти не напасешься.


Идея правильная, правда есть одно НО. Что будет, когда долбанут спуфом не с десятка /24 подсетей, а со всего 0.0.0.0/0?
А вот что будет:

Ну, почти 800 мегабайт на процесс. Хотя можно, конечно, надеяться, что такого не будет.


UDP спроектирован нормально. Об амплификации должны думать те, кто проектируют протоколы на базе UDP. Если вам имя виновного надо, то оно есть у меня - это Джон Кармак. Куча современных шутеров унаследовали сетевой протокол (вместе с проблемой амплификации) от Quake.
Проблема глубже, чем кажется


А вот игроки из безынтерсных вам подсетей хотят играть. И если такая мега-защита будет вшита в модуль, который на каждом втором сервере стоит, играть они не смогут.


Решение проблемы №1: iptables -t raw -A PREROUTING -p udp -j NOTRACK + iptables -t raw -A OUTPUT -p udp -j NOTRACK
Решение проблемы №2: Спасение утопающих - дело рук самих утопающих. Но если утопающих таки жалко, можно попробовать hashlimit-ом или recent лишние пакетики по /24 подсетям срезать


Вариант отброса пакета иптаблесом:
Обработка прерывания от сетевухи => фильтрация в netfilter => пакет дропается

Вариант отброса пакета хлдсом:
Обработка прерывания от сетевухи => фильтрация в netfilter => добавляем пакет в очередь пакетов в сокете => пытаемся разбудить процесс хлдса => процесс вызывает recvfrom() => копируем содержимое пакета и инфу о нем в userspace память => hlds отбрасывает пакет

Дроп пакетов в ядре всегда будет эффективнее.


Амплификацию с игровых серверов юзают уже года 3 точно. Но всем было насрать до января 2015 года, пока не начали долбить целые подсети.


Я думаю что 80% трафика срежется блокированием udp source портов 27015:27020. Для клиентов геймхостингов делать вообще ничего не надо будет (ТП всё сделает сама), а тем кто арендует дедик, достаточно сделать один звонок в саппорт дц. Хоумхостинги, извините, но вы в жопе :)

Юзаю juniper, проблем практически нет.

Дома?

Ага.

Хорошо живешь, Предатор.