Не видно сервер и нельзя подключиться

[Accelerator]

Здравствуйте, столкнулся с неприятностью. Один обиженный начал ддосить сервер на vds. Причем атака очень странная. Игроки говорят, что не видят сервер и не могут к нему вообще никак подключиться, однако все мониторинги нормально его сканируют, а также те, кто уже играл на сервере до начала атаки, спокойно играют и дальше и на пинг не жалуются, но стоит им выйти, зайти уже не смогут. А самое забавное, что я сервер вижу и могу подключиться, а другие ну никак. Другие на секунду могут увидеть сервер, после он у них вновь пропадает.

На сервере стоит такая вот штука для отдельного кеширования запросов a2s info - [Linux] Source Query Proxy: DDoS Protection - Kernel redirection! - AlliedModders , но не помогает. Лишь выдает информацию, что инфу постоянно запрашивают и переодически выдает broken data и hex неверного пакета.

В общем может кто то сталкивался с таким и знает, как можно защититься?

 

[September]

Что за хостинг?

 

[Accelerator]

Ipserver.su причина в локации. Сервер для иностранных игроков, поэтому не арена

 

[September]

Ipserver.su

Подключена их защита от ддос?

 

[Accelerator]

Да, вроде как

Сообщения автоматически склеены: 21 Авг 2020

Мдя, крупно походу влип)

Сообщения автоматически склеены: 21 Авг 2020

Пишут, что защита блокирует трафик атаки, но вместе с ним почему то не пропускает и легитимный, т.е. игроков)

Сообщения автоматически склеены: 21 Авг 2020

Скинули лог и говорят, что все распознаётся как атака

Не знаю что и дедать эх...

 

[ololoex]

Здравствуйте, столкнулся с неприятностью. Один обиженный начал ддосить сервер на vds. Причем атака очень странная. Игроки говорят, что не видят сервер и не могут к нему вообще никак подключиться, однако все мониторинги нормально его сканируют, а также те, кто уже играл на сервере до начала атаки, спокойно играют и дальше и на пинг не жалуются, но стоит им выйти, зайти уже не смогут. А самое забавное, что я сервер вижу и могу подключиться, а другие ну никак. Другие на секунду могут увидеть сервер, после он у них вновь пропадает.

На сервере стоит такая вот штука для отдельного кеширования запросов a2s info - [Linux] Source Query Proxy: DDoS Protection - Kernel redirection! - AlliedModders , но не помогает. Лишь выдает информацию, что инфу постоянно запрашивают и переодически выдает broken data и hex неверного пакета.

В общем может кто то сталкивался с таким и знает, как можно защититься?

Скорее всего защита работает по такому принципу: в момент доса все игроки которые находятся на сервере смогут играть дальше, другие игроки которые не подключены к серверу не смогут на него зайти и посмотреть информацию о нем (самая эффективная защита в случае если не могут предоставить нормальную защиту, но и есть минусы, в случае продолжительной атаки ваш сервер будет постоянно пустой). В случае продолжения таких атак могу лишь посоветовать переехать на MyArena, в другом случае тебя так и будут досить.

 

[Accelerator]

Ясно, в общем не простая ситуация оказалась)

Сообщения автоматически склеены: 22 Авг 2020

Скорее всего защита работает по такому принципу: в момент доса все игроки которые находятся на сервере смогут играть дальше, другие игроки которые не подключены к серверу не смогут на него зайти и посмотреть информацию о нем

Забавно то, что даже если игрок играет на сервере и не испытывает никаких проблем при игре (повышение пинга и лаги), во время атаки он уже не видит сервер в своем списке избранного (показывается как оффлайн), но продолжает играть, пока не отключится от сервера. Повторно зайти на сервер или сделать реконнект игрок уже не сможет.

В случае продолжения таких атак могу лишь посоветовать переехать на MyArena

Все бы ничего, но как и сказал выше, на ipserver из-за локации. Сервер ориентирован на иностранный сегмент. У арены только Москва. А других нормальных хостингов я не знаю, у иностранцев вроде как с этим туго.

 

[ololoex]

Ясно, в общем не простая ситуация оказалась)

Сообщения автоматически склеены: 22 Авг 2020

Забавно то, что даже если игрок играет на сервере и не испытывает никаких проблем при игре (повышение пинга и лаги), во время атаки он уже не видит сервер в своем списке избранного (показывается как оффлайн), но продолжает играть, пока не отключится от сервера. Повторно зайти на сервер или сделать реконнект игрок уже не сможет.


Все бы ничего, но как и сказал выше, на ipserver из-за локации. Сервер ориентирован на иностранный сегмент. У арены только Москва. А других нормальных хостингов я не знаю, у иностранцев вроде как с этим туго.

У иностранцев все тоже на уровне. Если хочешь нормальную защиту используй OVH.

Да и сервера там наверное будут дешевле, раньше по крайне мере было.

 

[September]

Да, вроде как

Сообщения автоматически склеены: 21 Авг 2020

Мдя, крупно походу влип)

Сообщения автоматически склеены: 21 Авг 2020

Пишут, что защита блокирует трафик атаки, но вместе с ним почему то не пропускает и легитимный, т.е. игроков)

Сообщения автоматически склеены: 21 Авг 2020

Скинули такой лог и говорят, что все это распознаётся как атака:

Спойлер

19:34:17: UDP Flood of 1613.14Mbps/2014941PPS to Safe Zone "ddos_zone" from 122.160.84.34, 115.75.223.99, 152.67.10.117, ... to 5.255.94.73
22:12:58: UDP Flood of 0.03Mbps/108PPS to Safe Zone "ddos_zone" from 174.56.12.166, 115.96.72.219, 37.1.208.120, ... to 5.255.94.74
21:51:01: Filter Attack of 0.14Mbps/64PPS to Safe Zone "ddos_zone" from Spoofed ip to 5.255.94.73
21:19:38: UDP Flood of 0.03Mbps/125PPS to Safe Zone "ddos_zone" from 174.56.12.166, 115.96.72.219, 80.82.78.100, ... to 5.255.94.74
21:04:42: UDP Flood of 0.06Mbps/205PPS to Safe Zone "ddos_zone" from 174.56.12.166, 115.96.72.219, 37.1.208.120, ...
19:34:29: UDP Fragment Flood of 41482.71Mbps/33743612PPS to Safe Zone "ddos_zone" from 82.251.107.118, 163.21.160.6, 187.145.246.76, ...
19:34:29: UDP Flood of 774.45Mbp

Не знаю что и дедать эх...

у них анти ддос кривой, по крайней мере точно не для игровых серверов. Отключай защиту, либо ищи другой хостинг.

 

[ololoex]

у них анти ддос кривой, по крайней мере точно не для игровых серверов. Отключай защиту, либо ищи другой хостинг.

В чем заключается кривость для игровых серверов?

 

[September]

В чем заключается кривость для игровых серверов?

В том что блокируется MySQL трафик при активной DDoS защите. В итоге что мы имеем, что игровой сервер постоянно теряет связь с БД, если она не размещена там же.

 

[Accelerator]

В том что блокируется MySQL трафик при активной DDoS защите. В итоге что мы имеем, что игровой сервер постоянно теряет связь с БД, если она не размещена там же.

У меня при атаке связь с MySQL не терялась. БД на веб-хостинге арены. Проблема только с подключением новых игроков и видимости сервера.

 

[ololoex]

В том что блокируется MySQL трафик при активной DDoS защите. В итоге что мы имеем, что игровой сервер постоянно теряет связь с БД, если она не размещена там же.

Спорить с ситуацией не буду, у меня па крайней мере не было с этим проблем. А вообще у них защита очень хорошо настраивается, хотя и по стандарту у них в этом плане все отлично(появляются новые виды атаки и их не сразу добавляют). В случае доса записываете дамп и отправляете им, они подстраивают защиту под этот тип атаки(но для этого надо делать скрипт, ручками постоянно этим не будешь заниматься).

 

[September]

У меня при атаке

Тут дело не в атаке, а в просто подключенной защите. Возможно, что они за лето уже что-то исправили.

у меня па крайней мере не было с этим проблем

А у меня были проблемы с самого первого дня как они ввели эту ддос защиту. Окей, тогда мне сказали, что ддос защиту лучше отключить, так как она сырая.
Спустя год я решил еще раз попробовать, начались постоянные проблемы с потерей связи с mysql сервером который на арене. Проводили диагностику, и они со своей стороны, и я проводил, в итоге мне сообщили, что защита легитимный mysql трафик просто блокирует, и как решение проблемы - отключить ddos защиту. Позже на серче увидел, что я не один, кто столкнулся с такого рода проблемой.

 

[ololoex]

Есть еще хостинг - living-bots.net. Я его не пробовал, но говорят что у них отличная защита (но дорого).

 

[kilroy]

Да и сервера там наверное будут дешевле, раньше по крайне мере было.

В данный момент, через сам OVH, для мелких проектов не выгодно брать игровые тарифы, потому что старых тарифов больше нету, а новые тарифы мелкие проекты не потянут по оплате, ибо первый тариф €85.49 , а второй €123.49. Так что только через SYS брать, но там только UDP и локации только две: Канада и Франция (рандомно из RBX, GRA и SBG), зато цены не так кусаются.

 

[ololoex]

В данный момент, через сам OVH, для мелких проектов не выгодно брать игровые тарифы, потому что старых тарифов больше нету, а новые тарифы мелкие проекты не потянут по оплате, ибо первый тариф €85.49 , а второй €123.49. Так что только через SYS брать, но там только UDP и локации только две: Канада и Франция (рандомно из RBX, GRA и SBG), зато цены не так кусаются.

Там и защита от доса намного хуже, но для старта может и пойдет. Чет на овх сильно цены взлетели.

 

[kilroy]

Там и защита от доса намного хуже, но для старта может и пойдет. Чет на овх сильно цены взлетели.

Защита там должна быть такая же, просто нету фильтрации tcp и канал дают намного меньше (SYS - 250 Mbps, OVH - 1Gbps).

 

[Lappland_Saluzzo]

Пацаны, как наладчик сетей констатирую:

Их защита работает по принципу "если соединение уже установлено с такого то адреса - пропускать, если нет - блокировать новые подключения. Также возможно что идет ограничение по кол-ву пакетов в секунду. (У игрового сервера в пики онлайна обычно максимум 20 запросов в секунду делается), а если происходит DDoS, то и разрешенное количество пакетов тупо гадится пустым трафиком, и судя по тому, что сервер не ложится, и пинг не повышается, то делаем вывод, что SRCDS этот трафик пустой спокойно Drop-ает.

Нужно бы сделать фильтрацию по RegexXP, чтобы все работало. Но это гораздо более затратная ерунда в плане производительности, т.к. каждый пакет необходимо проверять, соответственно Firewall-ная машина будет испытывать серьёзную нагрузку. Плюс к тому же хостинг является общим, судя по всему, не игровым. Соответственно делаем вывод, что такой фильтр.. ставить на конкретную хост машину - это морока.
По поводу MySQL - доверенный IP адрес для Firewall который всегда надо пропускать, всё. Больше ничего не надо там делать.