Ну, раз при спуфинге можно подставить любой ип, то явно не стоит делать отслеживание на уровне ипшников. В таком случае точно памяти не напасешься.


Идея правильная, правда есть одно НО. Что будет, когда долбанут спуфом не с десятка /24 подсетей, а со всего 0.0.0.0/0?
А вот что будет:

Ну, почти 800 мегабайт на процесс. Хотя можно, конечно, надеяться, что такого не будет.


UDP спроектирован нормально. Об амплификации должны думать те, кто проектируют протоколы на базе UDP. Если вам имя виновного надо, то оно есть у меня - это Джон Кармак. Куча современных шутеров унаследовали сетевой протокол (вместе с проблемой амплификации) от Quake.
Проблема глубже, чем кажется


А вот игроки из безынтерсных вам подсетей хотят играть. И если такая мега-защита будет вшита в модуль, который на каждом втором сервере стоит, играть они не смогут.


Решение проблемы №1: iptables -t raw -A PREROUTING -p udp -j NOTRACK + iptables -t raw -A OUTPUT -p udp -j NOTRACK
Решение проблемы №2: Спасение утопающих - дело рук самих утопающих. Но если утопающих таки жалко, можно попробовать hashlimit-ом или recent лишние пакетики по /24 подсетям срезать


Вариант отброса пакета иптаблесом:
Обработка прерывания от сетевухи => фильтрация в netfilter => пакет дропается

Вариант отброса пакета хлдсом:
Обработка прерывания от сетевухи => фильтрация в netfilter => добавляем пакет в очередь пакетов в сокете => пытаемся разбудить процесс хлдса => процесс вызывает recvfrom() => копируем содержимое пакета и инфу о нем в userspace память => hlds отбрасывает пакет

Дроп пакетов в ядре всегда будет эффективнее.


Амплификацию с игровых серверов юзают уже года 3 точно. Но всем было насрать до января 2015 года, пока не начали долбить целые подсети.


Я думаю что 80% трафика срежется блокированием udp source портов 27015:27020. Для клиентов геймхостингов делать вообще ничего не надо будет (ТП всё сделает сама), а тем кто арендует дедик, достаточно сделать один звонок в саппорт дц. Хоумхостинги, извините, но вы в жопе :)

Success story о победе над ботсетью из одной машины, лол :)
Вы, батенька, к своим 140 килобайтам прибавьте размер вашей распухшей таблички контрака
А потом подумайте, что с ней случится, если мощность флуда увеличится раз в 5

Есть проблема - флуд со спуфом, равномерно размазанный между несколькими десятками (может сотнями) /24 подсетей.
Предложите свой вариант блокирования такого флуда.


Какая из проблем? Их у нас две:
1) Переполняется таблицы контрака/хэшлимита/еще чего-нибудь в netfilter
2) Возможность амплификации
Первая не может решаться на уровне hlds-а в принципе
Вторая проблема должна решаться редизайном протокола. Любая попытка решить ее другим способом - костыль.
Так что, у нас нет проблем, которые "именно в Hlds'e"


Вот это правильно! Но мы же все знаем, как господин А* решает проблемы :)


А стоит попробовать. Вот, например, АСка, с флуда на которую всё началось: https://www.robtex.com/as/as42410.html#bgp
Флуд лился с (на?)
87.120.198.0/23
87.120.208.0/21
87.120.252.0/22
87.121.0.0/23
Если я еще не разучился считать, это около 4000 адресов.
Если забанить 87.120.0.0/16 и 87.121.0.0/16, в бане будет 131 тысяча адресов.
Вам не кажется странным, что 131к-4к = 127 тысяч адресов должны просто так сидеть в бане? Потому, что кто-то там не подумал над защитой?


Допустим, ввели лимит 50 запросов в секунду.
Теперь, если зафлудить сервак на 500запросов/сек, он 90% времени будет не виден в Favorites/Internet вкладках на клиентах. Хреновая идея, имхо


Любая защита, сделанная на иптаблесе, будет менее ресурсоёмкой ее аналога, сделанного в юзерспейсе. Потому что не надо таскать пакеты между ядром и юзерспейсом.


Любая защита от амплификации - это костыль, и этот костыль не убирает проблему амплификации полностью. Амплификация по-прежнему останется возможной, атакующему нужно просто увеличить пул hlds-ов (кстати все сурс игры и всякие там батлфилды тоже могут быть использованы), через которые делается амплификация и уменьшить нагрузку на каждый из них, чтобы не попадать под установленные лимиты. Так что увы, жвачки, дружбы и мира не будет :)

Коммунити вообще уже вкрай охуело
С чего это вдруг какой-то там модуль какого-то там приложения должен заниматься аналитикой, вычисляя, с каких именно подсетей льется спуфнутый флуд?

Но ок, давайте предположим, что все таки должен.
В адресном пространстве IPv4 2^32 адресов и 2^24 = 16777216 подсетей класса Цэ (/24)
Чтобы занимацца простейшей аналитикой, нам надо на каждую подсеть завести счетчик принятых пакетов (4 байта) и время последней очистки этого счетчика (еще 4 байта)
Итого, 16777216 * 8 = 128Мбайт памяти надо на каждый запущенный hlds на машине
Если у вас 20 hlds-ов, уже 2 гигабайта надо. Логичнее, наверное, такую таблицу сделать один раз на всё машину, а не плодить ее в каждом процессе?
А еще, даже если все злодеи забанятся на уровне hlds-а, это никак не спасет вашу таблицу conntrack-а от засирания спуфом.

Так что можете дальше уповать на то, что все ваши проблемы решатся плагином для метамода.
Не решатся.
Пришло время включать свою голову, ага.

Щас я буду вещать.


Очень интересно, как вы себе представляете получение того же серийника винта НЕ через winapi?
Эмуль работает в userspace на винде. Это означает, что вы в любом случае будете юзать либо User-space виндовое API, либо дергать ядро напрямую (sysenter / int 2e), т е юзать Kernel-to-user-space виндовое API.


А еще можно поймать момент, где эмуль получает "уникальный ид", и подменить его на левый. А если вы таки привязалсиь к маку сетевухи, то можно, например из WinDDK скомпилить какойнить Hello World loopback драйвер и добавтиь туда возможность менять мак.
А еще можно реверс-инженирить серверную часть
А еще можно реверс-инженирить клиентскую часть
А еще можно попробовать написать флудер, который будет грузить вашу хитро работающую серверную часть так, что владелец сервера его нафиг снесет.
Это только то что пришло в голову за 5 минут


Проблема не только не решена, проблема даже ничерта не была понята. Если вы хотите сделать надежную аутентификацию в "экосистеме", которая состоит из сотен тысяч клиентов и десятков тысяч игровых серверов, которым нужно аутентифицировать клиентов, нельзя опираться на какие-то локальные айдишники клиента. Потому что эти локальные айдишники и рано или поздно будут подменены и ваша система рухнет как карточный домик. Как сейчас рушится система аутентификации на ревЕму. Это вопрос времени.
Для построения действительно надежной системы аутентификации необходима третья сторона, которой доверяют и клиенты и игровые сервера. Эта "третья сторона" и есть стим. Игровые сервера доверяют аутентификационным тикетам, подписанным приватным ключом стима. А чтобы у клиента была возможность создать валидный тикет, он должен заплатить бабло стиму (купить игру).
Если вы и ваши знакомые "с большим опытом работы в этом направлении" не понимают очевидных вещей, то у вас получится ревЕму 2, который проживет очень и очень недолго.


Это немного отсрочит начало конца


Сколько бы вы не совершенствовали алгоритм, который defective by design, надежным он от этого не станет.

Кому надо - поставят, кому не надо - не поставят. Кому исходники нужны - те их получают.


Рашн хацкерс аре крацкинг Стим. Ох май Год.
Контрольные вопросы - какой алгоритм используется для подписания тикетов в стиме? Какой длины у них приватный ключ? Вы уже похекали АНБ США и получили доступ к кластеру, который способен сбрутофорсить ключ такой длины в разумные сроки?

samthugg,
Take it easy, it's just a game.
Всё не так просто, как кажется. Приверженцы "стороны зла", на самом деле, делают добрые дела - убивают устаревшие/ненадежные технологии/решения и поддерживают комьюнити "в тонусе".

Так-то можно. Orpheu.


Ну и как успехи?


Задача кракед стима - дать детишкам поиграть в игрушечки не платя денюжку. Вопросами безопасной аутентификации авторы не заморчаиваются и правильно делают, ибо "хоть шифруй, хоть не шифруй - всё равно получишь х*й"

Что касается воровства тикетов от стима:
В часть тикета, которая подписана приватным ключом стима, входит IP-адрес клиента (видимо это адрес, с которого стим-клиент коннектится к серверам стима).
Сейчас этот адрес в тикете почему-то не проверяется на совпадение с адресом, с которого клиент коннектится на игровой сервер. Если добавить такую проверку, то проблема воровства тикетов перестанет быть актуальной.

В таком случае Вас не должно затруднить подкинуть ссыль, где можно купить 5-10 акков по 30-50 рублей? Мне для тестов нужно.


Достаточно забанить по одному параметру, на изменение которого потребуется много ресурсов (временных или денежных). Если сделать предположение, что мы воюем с лицами школьного возраста, то времени у них завались. Остаются деньги. А это legit steam id.


Мы ведь знаем, что нужно найти. Нам нужно найти, как модуль генерирует уникальный ИД. Данные для генерации ИД он явно получает извне (от ОС). Значит нам нужно логировать все вызовы из модуля в ОС, а потом изучить этот лог. Расшифровывать модуль вообще не требуется :)

Куплю 10 акков, по 30 руб за штуку. Прямо сейчас. Стучите в ПМ. А заодно и проверим, правда ли кс1.6 стоит 30 рублей, или это чьи-то фантазии.


Мыслите шире - зачем менять мак сетевухи? достаточно найти, где эмуль пытается получить мак сетевухи, вставить туда хук, и возвращать в эмуль любой мак, который только вздумается.


Ответ неверный. Revemu влозмали потому, что любую локальную защиту можно взломать. Вопрос лишь в том, сколько времени на это потребуется.
От себя могу добавить, что трудоемкость аналогичного взлома ревему2013 и steamclient2009 - 2 дня. Один на переписывание алгоритма генерации тикета + еще один на прикручивание этого барахла к какой-нибудь сборке.

Ты меня не понял. Не надо урывать существующих стим игроков, нужно переводить на стим игроков, которые сейчас на ноустиме.


ОК, купайтесь дальше в существующем дерьме, весело же )

Только не надо думать, что вы тут натрещите 100 страниц на форуме, и проблема решится сама собой.

У меня нет исходников Rev2013. И реверсить его я не собираюсь, ибо нафиг оно не надо :)

Ontopic: Переводите игроков на стим, кс не так и дорого стоит.
И не будет у вас больше проблем с фэйковыми стимид, авторизацией и другой хренью

Новой версии не будет, пока:
1) Альфред не закончит клепать свои говнофиксы
2) Не будет каких-то весомых преимуществ от перехода со "старой" версии хлдса на новую. Пока я таких преимуществ вообще не вижу.

Кому нужна поддержка нового билда, только потому что он новый - извините, вы в пролёте.

И действительно, нафига использовать готовые сервисы от яндекса например?
Нужно поставить своё, проебать 10 дней на настройку, и в итоге все равно получится глючащая неюзабельная хрень.
Отличный подход, верной дорогой к успеху идёте :)

f1nik,
Давай ты щас поставишь фтп сервак и дашь полный анонимный доступ к своему рабочему столу.
А мы тебе туда будем туда накидывать ссылочки на всякие говносайты. Ок?

Тебе не нравится этот подход?

Давай встанем на сторону говносайтов! Им же надо как-то загонять к себе народ, да? :))

jesuspunk,
Успокойся уже.
Ты считаешь что не этично засирать клиент, а другие так не считают. Они вообще слово "этика" первый раз слышат.
Ты считаешь, что надо уважать своих игроков(клиентов твоего сервера), а другие так не считают.
Глупо пытаться их в чем-то переубеждать.

Понятия не имею. Мне дали сошку, я там поменял один байт, больше ничего не смотрел :)

Держите
[attachment=18874:5787_engine_i686.7z]