Как правильно построить инфраструктуру проекта от ддос атаки?

ЛЛ
На сайте с 12.11.2018
Offline
68
1288

Здравствуйте. Прошу вашей помощи в организации своего проекта, как правильно всё устроить.

Есть сервер промокс.

На нём 2 виртуалки. 1- под сайты, 2-я под игровой проект tcp.

Мне порекомендовали сделать так. 1 виртуалку где сайты защитить от l7 атак. Вторую игровой проект от l2-l4.

У меня вопрос. Первая виртуалка не защищена от l2-l4 атак и соответственно при такой атаке всё ляжет, включая и второй сервер если забьётся общий канал?

Либо реорганизовать всё так. Поставить одну виртуалку или вообще убрать промокс оставив один сервер и на нём всё разместить - защитить от всех уровней атаки. Не будет ли так проще?

Благодарю за помощь.

Andreyka
На сайте с 19.02.2005
Offline
822
#1

Привет!

Правильно делать так:

На сайте делаешь форму регистрации для участия в игре.

Закрываешь доступ к игровому серверу и ставишь VPN.

Для зареганных игроков выдаешь PSK доступ в VPN. Который ротируешь раз в неделю, с оповещением.

Все делаешь по TCP, а UDP просишь провайдера отрубить на уровне аплинков.

Схема рабочая и проверенная, особенно если у тебя есть возможность модификации движка клиента и интеграции туда VPN, тогда будет все прозрачно для игрока - он вводит рег данные а клиент делает канал и запускает там сессию.

Не стоит плодить сущности без необходимости
D0
На сайте с 11.02.2013
Offline
76
#2

У Вас вся инфраструктура работает только на 80 и 443 порту. Нет смысла усложнять жизнь, это все можно держать на одном сервере. Подключаете обычное проксирование для сайтов (80/443 порты) и оно уже будет включать защиту L3-7 у всех провайдеров: cloud-shield.ru, fortes.pro, qrator.net - под любой бюджет.

Особое внимание уделите тому, что бы нигде не светился Ваш фактический IP-адрес и этого будет достаточно.

ТС, Вы создали уже уйму топиков на эту тему. Попробуйте наконец что-то подключить, это не так сложно и страшно :)

ЛЛ
На сайте с 12.11.2018
Offline
68
#3
Andreyka:
Привет!
Правильно делать так:
На сайте делаешь форму регистрации для участия в игре.
Закрываешь доступ к игровому серверу и ставишь VPN.
Для зареганных игроков выдаешь PSK доступ в VPN. Который ротируешь раз в неделю, с оповещением.
Все делаешь по TCP, а UDP просишь провайдера отрубить на уровне аплинков.

Схема рабочая и проверенная, особенно если у тебя есть возможность модификации движка клиента и интеграции туда VPN, тогда будет все прозрачно для игрока - он вводит рег данные а клиент делает канал и запускает там сессию.

Благодарю понятно, но для меня наверное сложновато. Суть такова, что игроки не имеют прямого доступа к ип сервера, соответственно и атакующие тоже?

udp закрывали, не помогло :D

---------- Добавлено 17.06.2020 в 22:51 ----------

d1mq0:
У Вас вся инфраструктура работает только на 80 и 443 порту. Нет смысла усложнять жизнь, это все можно держать на одном сервере. Подключаете обычное проксирование для сайтов (80/443 порты) и оно уже будет включать защиту L3-7 у всех провайдеров: cloud-shield.ru, fortes.pro, qrator.net - под любой бюджет.
Особое внимание уделите тому, что бы нигде не светился Ваш фактический IP-адрес и этого будет достаточно.

ТС, Вы создали уже уйму топиков на эту тему. Попробуйте наконец что-то подключить, это не так сложно и страшно :)

Благодарю за ответ. У меня сайты на 80 и 443 порту. Помимо этого есть игровой трафик на хххх tcp портах. udp закрыт.

Как меня сказали l7 только для сайтов, приложения он не защищает. У меня как раз приложения работают на разных tcp портах. Получает помимо l7 нужно ещё подключать ))

Но в целом согалсен что нужно всё на один сервер перевести т.к. подключать всё к 2-м серверам, просто гемор. Да и смысла нет в 2-х серверах коггда они хостят на на одном сервере промокс ))

D0
На сайте с 11.02.2013
Offline
76
#4

Видимо не правильно понял.

В таком случае будет удобно иметь 2 IP-адреса на сервере.

На одном крутить сайт/форум на 80/443 порту. Все остальные порты закрыть. Подключить проксирование сайта L3-7.

На другом крутить игровые порты, не используемые закрыть и прокинуть защищенный тоннель L3-4.

Andreyka
На сайте с 19.02.2005
Offline
822
#5

Благодарю понятно, но для меня наверное сложновато. Суть такова, что игроки не имеют прямого доступа к ип сервера, соответственно и атакующие тоже?

udp закрывали, не помогло :D

Всегда есть очень простое быстрое и нерабочее решение к вашим услугам.

А UDP как именно закрывали? Надеюсь не через iptables?:kozak:

ЛЛ
На сайте с 12.11.2018
Offline
68
#6
d1mq0:
Видимо не правильно понял.
В таком случае будет удобно иметь 2 IP-адреса на сервере.
На одном крутить сайт/форум на 80/443 порту. Все остальные порты закрыть. Подключить проксирование сайта L3-7.
На другом крутить игровые порты, не используемые закрыть и прокинуть защищенный тоннель L3-4.

Да, так и хочу сделать. В таком случае сервер будет защищён от всех типов атак. На сайт с одни ип идёт только http?s трафик, остальной отбрасывается сервисами очистки.

На игровой ип тунель с защитой от l2-l4.

---------- Добавлено 19.06.2020 в 01:19 ----------

Andreyka:
Благодарю понятно, но для меня наверное сложновато. Суть такова, что игроки не имеют прямого доступа к ип сервера, соответственно и атакующие тоже?

udp закрывали, не помогло :D


Всегда есть очень простое быстрое и нерабочее решение к вашим услугам.

А UDP как именно закрывали? Надеюсь не через iptables?:kozak:

На стороне хостера весь трафик срезали ) но не помогло всё равно прилетало. Но уже решили вроде проблему.

Andreyka
На сайте с 19.02.2005
Offline
822
#7
Лелуш Ламперуж:

На стороне хостера весь трафик срезали ) но не помогло всё равно прилетало. Но уже решили вроде проблему.

А это не поможет - срезать надо на аплинках.

N
На сайте с 06.05.2007
Offline
419
#8
Andreyka:
А это не поможет - срезать надо на аплинках.

и как хостеру мотивировать крупных неповоротливых аплинков в монополизированной экономике танцевать ради одного форумца?

это из истории из братских стран? или просто очередные фантазии для Хабра?

Так не бывает. Аплинк с радостью кидает IP в community blackhole. Все остальное - это фантазии.

Настраивайте iptables. Подстраивайтесь под рынок сами.

Кнопка вызова админа ()
ЛЛ
На сайте с 12.11.2018
Offline
68
#9
netwind:

Настраивайте iptables. Подстраивайтесь под рынок сами.

Когда свыше 20тб на канал приходит иптабл уже не помощник )

team-voice
На сайте с 07.11.2016
Offline
229
#10
Andreyka:
А это не поможет - срезать надо на аплинках.

это из оперы "надо что бы работали роботы и всё было бесплатно"

во первых то о чем вы говорите (flowspec) в РФ дает 3-4 оператора.

Во вторых срезать этим можно ооооочень ограниченный тип атак. Мифы о крутости этой фичи раздуты слабо понимающими в этом людьми и приправлено всея СНГ шной тягой к халяве.

В третьих эту услуга настолько сильно увеличивает стоимость ВСЕГО трафика что выгоднее использовать услуги специализированых сервисов по защите от ддос.

https://team-host.ru/ (https://team-host.ru/) Выделенные сервера в аренду с DDoS защитой и без неё.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий