V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
fork3rt
V2EX  ›  问与答

游戏服务器端口遭到 UDP 攻击,大佬们,我该怎么防御?

  •  
  •   fork3rt · 2018-03-26 10:00:12 +08:00 · 10125 次点击
    这是一个创建于 2416 天前的主题,其中的信息可能已经有所发展或是发生改变。
    目前在淘宝买了一个号称 300G 硬防的服务器。。前几天都挺好,速度也很快。但是从周六开始遭到了 UDP 攻击(因为 ban 了一个作弊的玩家),导致游戏现在上线就掉线,或者卡顿,丢包非常严重。

    感觉他们的硬防没什么用,目前用了安全狗软防, 好像也没多大作用。

    看这个流量明显异常,以前 40 多人的时候,上传也才 230Kb/s



    看这个流量也不是很大,大佬们有没有什么好的防御方法?
    切到阿里云上能解决吗?
    第 1 条附言  ·  2018-03-26 10:44:12 +08:00
    游戏协议用的是 UDP,所以不能封堵 UDP
    第 2 条附言  ·  2018-03-26 12:52:26 +08:00
    其实我想问 腾讯云 或者 阿里云自带的 防护可以解决这种少量的攻击吗?
    第 3 条附言  ·  2018-03-27 20:27:48 +08:00
    攻击又开始了, 我从昨天晚上开始切到腾讯云。 现在收到报警短信,已经完全防住了。。 才 80M 的流量
    第 4 条附言  ·  2018-03-27 20:51:03 +08:00
    流量峰值达到 2510Mbps, 把我的服务器打到黑洞去了
    74 条回复    2018-03-28 10:26:56 +08:00
    zzmstring
        1
    zzmstring  
       2018-03-26 10:23:37 +08:00
    必须用阿里云,阿里云能防 1000G
    huangunic0rn
        2
    huangunic0rn  
       2018-03-26 10:33:08 +08:00
    让运营商封堵 UDP ?
    fork3rt
        3
    fork3rt  
    OP
       2018-03-26 10:33:53 +08:00
    @huangunic0rn 游戏协议貌似就是 UDP。。 所以不好封堵
    marlboros
        4
    marlboros  
       2018-03-26 10:38:16 +08:00
    一般都是封锁 UDP

    既然游戏协议是 UDP 的话

    还有个思路 要是面对国内玩家,那么就只允许国内流量进入

    一般现在的发包机都是国外 罗马 荷兰 等国家的

    300G 高防能打过,那么对方花费的成本也不低
    mokeyjay
        5
    mokeyjay  
       2018-03-26 10:40:04 +08:00
    淘宝买服务器……不知道从哪里吐起好
    marlboros
        6
    marlboros  
       2018-03-26 10:40:21 +08:00
    另外 300G 的高防 一般运营商都会虚报 是独立防御 还是云堤防御?
    安全狗防注入这块的,根本不防流量攻击的。
    打 300G 高防,成本不会低于 1000RMB/小时
    FindBoyFriend
        7
    FindBoyFriend  
       2018-03-26 10:41:26 +08:00 via iPhone
    买他几千台高宽带服务器怼回去~逃
    fork3rt
        8
    fork3rt  
    OP
       2018-03-26 10:42:42 +08:00
    @marlboros
    @mokeyjay
    @marlboros

    感觉他们的高防根本没生效, 而且攻击者的 IP 是中国。流量不是很大。 以前用腾讯云,可能没遭受攻击。挺好的。切到淘宝上买服务器是因为他们带宽便宜。。而且速度也不错。。
    marlboros
        9
    marlboros  
       2018-03-26 10:45:34 +08:00
    @fork3rt
    腾讯云 阿里云 10G 流量就能打到黑洞里。

    你去找佛山 宿迁 福州 惠州 这些高防机房靠谱
    fork3rt
        10
    fork3rt  
    OP
       2018-03-26 10:47:46 +08:00
    @marlboros 我感觉他的这个攻击还不至于把我打到黑洞,因为我的上行只有 5M,现在被攻击到时候,最大上行也就是 2M
    webjin1
        11
    webjin1  
       2018-03-26 10:49:24 +08:00 via Android
    你就说说多少钱买的。
    marlboros
        12
    marlboros  
       2018-03-26 10:51:33 +08:00
    你就说说多少钱买的 +1
    fork3rt
        13
    fork3rt  
    OP
       2018-03-26 10:52:52 +08:00
    @marlboros
    @webjin1

    800。。
    marlboros
        14
    marlboros  
       2018-03-26 10:53:42 +08:00   ❤️ 1
    @fork3rt 你给我。。。。。。。。。。。。
    800/月 买 300G 高防服务器
    我想喷你一下,想啥呢????
    fork3rt
        15
    fork3rt  
    OP
       2018-03-26 10:55:48 +08:00
    @marlboros - -。 他们说解决不了攻击可以给我退款,我有切到阿里云的必要吗? 主要是不确定阿里云的可不可以防 UDP 攻击。
    marlboros
        16
    marlboros  
       2018-03-26 10:58:32 +08:00
    @fork3rt
    阿里云 200G 防御价格 21800/月
    别的我就不说了
    你那家就是虚报防御程度了
    webjin1
        17
    webjin1  
       2018-03-26 10:59:09 +08:00 via Android
    @marlboros 800 美金都买不到 300G 高仿。
    webjin1
        18
    webjin1  
       2018-03-26 11:03:09 +08:00
    那些卖高防的都是做一次性生意能骗一个是一个的。 楼主也不想想 像电信拿 300G 带宽要多少钱。还有买硬件防火墙的钱呢?他卖 800 元一个月 这些成本怎么回来? 都是骗小白的。在电信拿个 10G-20G 带宽就不错了,然后买个傲盾金盾防火墙。然后到处宣传什么 200G 300G 防护。都是骗傻子的
    TonyGong
        19
    TonyGong  
       2018-03-26 11:05:50 +08:00   ❤️ 2
    你这个根本不是流量导致的卡顿
    是游戏设计的问题,才这么点流量就卡了,UDP 包处理有问题
    Nitroethane
        20
    Nitroethane  
       2018-03-26 11:12:09 +08:00 via Android
    上防火墙,限速,封 IP 不可以吗
    bigpigeon
        21
    bigpigeon  
       2018-03-26 11:16:44 +08:00
    做 rate limit,临时解决方案根据 ip 做流量限制
    fork3rt
        22
    fork3rt  
    OP
       2018-03-26 11:18:42 +08:00
    @Nitroethane
    @bigpigeon

    有什么软防推荐?
    marlboros
        23
    marlboros  
       2018-03-26 11:24:40 +08:00
    老板! 800 !给我来辆法拉利!
    Nitroethane
        24
    Nitroethane  
       2018-03-26 11:33:27 +08:00 via Android
    @fork3rt 抱歉哈,我只了解 Linux 的防火墙,对 Windows 一窍不通😂
    Nitroethane
        25
    Nitroethane  
       2018-03-26 11:34:23 +08:00 via Android
    @fork3rt 不过你可以 Google 看有没有开源项目之类的
    changnet
        26
    changnet  
       2018-03-26 12:18:50 +08:00 via Android
    @fork3rt 上行没满你的服务器怎么会卡呢?而且才 2m 流量,是服务器 cpu 太渣没跑起来?换个配置不就行了吗
    fork3rt
        27
    fork3rt  
    OP
       2018-03-26 12:25:20 +08:00 via Android
    @changnet 不是 CPU 都是正常。就是游戏掉线,卡顿
    qq316107934
        28
    qq316107934  
       2018-03-26 12:35:14 +08:00 via Android
    升级游戏协议,添加正文校验和 magic code 等等校验机制,不符合要求的不要处理
    dream7758522
        29
    dream7758522  
       2018-03-26 12:48:47 +08:00 via Android
    有个思路,游戏登录时候记录 ip 地址,维护这个 ip 地址。全部加白,然后不是白名单的全部过滤
    evilmiracle
        30
    evilmiracle  
       2018-03-26 12:57:17 +08:00
    切阿里云,买高防线路即可
    towser
        31
    towser  
       2018-03-26 13:42:53 +08:00
    说明不是 DDoS 而是 CC
    winterbells
        32
    winterbells  
       2018-03-26 13:44:37 +08:00
    国内的不能报警吗
    fork3rt
        33
    fork3rt  
    OP
       2018-03-26 13:48:08 +08:00
    @evilmiracle 太贵了,,我这个是个公益服,不是商业的那种。
    @towser 何以见得?

    @winterbells 感觉报警没什么用,网络攻击犯罪成本太低了。
    towser
        34
    towser  
       2018-03-26 14:00:46 +08:00
    5M 上行被攻击时才走了 2M,如果 CPU 负载高或者 PPS 高应该考虑是不是被 CC 了。
    qq316107934
        35
    qq316107934  
       2018-03-26 14:02:18 +08:00
    @towser #31 我也觉得是 CC,DDoS 这才多少流量啊,还是要从协议上入手
    fork3rt
        36
    fork3rt  
    OP
       2018-03-26 14:13:29 +08:00
    @towser
    @qq316107934

    CC 不都是打的 Web 服务吗? 我这是 UDP 的 游戏服务器。。 抱歉我对这个不太懂
    white1222
        37
    white1222  
       2018-03-26 15:00:04 +08:00
    你这什么架构,登录接入怎么分的
    tabris17
        38
    tabris17  
       2018-03-26 15:04:03 +08:00
    游戏私服么,那看来优化服务器代码这点也没戏了
    dko
        39
    dko  
       2018-03-26 15:11:06 +08:00
    @fork3rt CC 也可以打 UDP 的,成本低效果好
    fork3rt
        40
    fork3rt  
    OP
       2018-03-26 15:12:47 +08:00
    @white1222 类似于 MC 的游戏。。。
    @tabris17 是的
    @dko 那我开启安全狗的 CC 防护?
    dko
        41
    dko  
       2018-03-26 15:17:23 +08:00
    @fork3rt 可以试试看,但是基本没什么用。
    建议你 wireshark 抓包看下 IP 是不是就那么几个,如果是的话就 iptable drop 一些
    wafm
        42
    wafm  
       2018-03-26 15:31:51 +08:00
    安全狗没用的,建议卸载,被打的时候卡的更厉害。

    淘宝和网上的号称高防都不可信,一分钱一分货。

    建议你选择分布式防御,就是盾机。源机器 IP 自己保留,被打就切换盾机
    fork3rt
        43
    fork3rt  
    OP
       2018-03-26 15:39:55 +08:00
    @dko 好的,我用 wireshark 试试, 谢谢拉
    fork3rt
        44
    fork3rt  
    OP
       2018-03-26 15:40:09 +08:00
    @wafm 穷。。。 不是商业用途
    xierch
        45
    xierch  
       2018-03-26 16:01:15 +08:00
    @TonyGong 同意,怀疑是游戏的问题…
    fork3rt
        46
    fork3rt  
    OP
       2018-03-26 16:12:25 +08:00
    @xierch 不是的,我开了一个多月了,都没这个问题。 自从那人攻击之后就酱紫了。还加 QQ 威胁我。
    imaning
        47
    imaning  
       2018-03-26 16:17:49 +08:00
    楼主是做 CS 的?或者 CS:GO 的?? UDP 攻击,自己放勤快点儿,用安全狗把攻击你的 IP 导出来,用策略全部封掉,其他没什么好办法可以解决。运营商有流量清洗服务,效果比较好,但也会影响正常的玩家。
    sujin190
        48
    sujin190  
       2018-03-26 16:25:12 +08:00
    高防什么的向来不是只能解决百分之多少么?不可能完全拦下来的吧,你这还有 256,说不定他已经帮你拦了很大一部分了。。
    话说才多了 100 多 k,这么脆弱,找过标志自己入口过滤下应该也是轻松随意的吧
    Laynooor
        49
    Laynooor  
       2018-03-26 16:27:50 +08:00 via Android
    试下 Azure ?
    fork3rt
        50
    fork3rt  
    OP
       2018-03-26 16:41:58 +08:00
    @imaning 也是 steam 游戏。 我现在就按照你说的做了,好了很多。 ^_^ 这种小流量 用软防就搞定了 ,非常感谢!
    fork3rt
        51
    fork3rt  
    OP
       2018-03-26 16:42:23 +08:00
    @sujin190 嗯,谢谢,看样子安全狗还是有些用的
    @Laynooor 买不起。。。
    Laynooor
        52
    Laynooor  
       2018-03-26 16:47:05 +08:00 via Android
    @fork3rt QQ 是不是 8235 结尾的?
    imaning
        53
    imaning  
       2018-03-26 17:00:20 +08:00
    我遇到过,这种是最有效的办法,但是必须放勤快点,发现一个封一个。
    youxiachai
        54
    youxiachai  
       2018-03-26 17:09:48 +08:00
    800 大洋 300G....你都信...
    商家宣传真浮夸...
    evilmiracle
        55
    evilmiracle  
       2018-03-26 17:28:22 +08:00
    @fork3rt 那没办法了,软防行不通的
    pmispig
        56
    pmispig  
       2018-03-26 18:26:37 +08:00
    看你这个应该还不算 ddos 流量攻击,因为大的流量没到你服务器就被黑洞了。如果流量能到服务器,那就好说,自己抓包写 iptable 过滤掉那些异常包头的包就行了。
    trys1
        57
    trys1  
       2018-03-26 18:38:27 +08:00 via Android
    为什么大多数人遇到这种问题首先想到的是硬件层面呢,而不想一下 CC、逻辑层面
    xierch
        58
    xierch  
       2018-03-26 18:48:23 +08:00
    @fork3rt 你带宽也没满、CPU 也没耗尽,还是先检查一下掉线、卡的具体原因吧……
    fork3rt
        59
    fork3rt  
    OP
       2018-03-26 18:51:44 +08:00
    @imaning 安全狗好像不能查看服务器的连接数,当攻击不超过 10 秒 2000 个 UDP 包当时候 就不会被封。 有什么软件能查看 服务器连接数和地址的吗?
    fork3rt
        60
    fork3rt  
    OP
       2018-03-26 18:58:01 +08:00
    @imaning 安全狗好像不能查看服务器的连接数,当攻击不超过 10 秒 2000 个 UDP 包当时候 就不会被封。 有什么软件能查看 服务器连接数和 IP 地址的吗? wireshark 好像找不到网卡。。
    OldA
        61
    OldA  
       2018-03-26 21:52:09 +08:00 via iPhone
    这是啥游戏
    webjin1
        62
    webjin1  
       2018-03-26 21:59:23 +08:00 via Android
    @towser
    @xierch
    你想想看假如你商家向电信拿了 10G 的带宽,别人 ddos 打 30G 带宽过来,你商家出口就堵死了,你的上行能跑出去跟外面通信吗?第一下看到的下行堵满,后续持续打,你服务器根本就没有流量,因为外面进不了,你也出不去
    webjin1
        63
    webjin1  
       2018-03-26 22:06:30 +08:00 via Android
    很多人不明白被大流量的 ddos 攻击为什么服务器监控的网卡 /端口带宽那么小。因为当大的 ddos 打过来一瞬间的时候你的端口是突发满一下,就是一瞬间,后面你看到的流量是看不到的。因为你上面堵死了,有些商家是经过层层代理拿的资源。比如电信跟一级代理商拿了 30G,然后二级代理跟一级代理拿了 10G,三级跟二级拿了一级。 三级代理商问上一级有多大攻击,上面的会说 30G 但是你叫他交换机出口流量图截图就没有这么多。但是其实有这么大的攻击下来。机房大出口是可以看到,但是那个权限只有电信知道。
    webjin1
        64
    webjin1  
       2018-03-26 22:26:29 +08:00 via Android
    @trys1 他 cpu 没满,但是掉线,卡顿,多半是攻击者摸头了打多少流量就把他商家拿的出口带宽量,多半是他商家出口就被打死了。你淘宝上找的商家也不知道是代理了多少手的了。
    imaning
        65
    imaning  
       2018-03-27 08:44:22 +08:00
    看你们讨论了这么多,你们其实不了解走 UDP 协议的游戏,这类游戏一般是 FPS 游戏,不需要非常大的带宽,但是延迟越低越好、网络波动越小越好,网络有一点点波动都会影响游戏的体验。楼主这个为什么一点点流量就受不了,就是因为网络堵塞造成游戏网络不稳定,这时候游戏里的玩家简直就没法玩,体验是非常差的。封掉攻击源 IP 是最有效的办法。
    imaning
        66
    imaning  
       2018-03-27 08:46:15 +08:00
    @fork3rt 你不要用安全狗这一类的软件封,用系统策略封。比如 Windows 服务器,把攻击源 IP 用 IP 安全策略封掉。安全狗只是你查攻击源 IP 的一个辅助工具。查攻击源还可以试试 wireshark 这一类的抓包软件。
    Daylight1993
        67
    Daylight1993  
       2018-03-27 09:26:07 +08:00
    软防基本都是笑话,必须得硬防啊,软防流量包都到你服务器了效果肯定不行的。得用硬防来给你清洗流量。
    Keyes
        68
    Keyes  
       2018-03-27 10:01:44 +08:00
    @fork3rt 目测只有云堤可以解,D 游戏一般都是比如先 D 你个 2、3G,看你死了,就挂着,然后你去买高防,高防 300G,看你又活过来了,再给你打到 305G,确保你是死的
    Keyes
        69
    Keyes  
       2018-03-27 10:03:29 +08:00
    @webjin1 也是道上的人[笑 Cry]
    fork3rt
        70
    fork3rt  
    OP
       2018-03-27 22:15:52 +08:00 via Android
    @Keyes
    @imaning 现在在腾讯云,坚持了 1 个小时之后被打进黑洞了
    marlboros
        71
    marlboros  
       2018-03-28 08:33:32 +08:00
    @fork3rt
    跟你讲楼上说软防的都是瞎扯淡,CC 可以用金盾防,但是超大 CC 必须接入硬防。
    300G 防御 连 20G 流量都防不住,这不纯粹扯淡吗?
    我要用我的流量打你,能打到服务器商直接退款让你换别的服务商。
    看这小子打你的节奏,你买个 50G 防御的足够。
    另外,最明显就是:如果你是高防服务器,安全狗等统计流量功能,根本就不会收到恶意流量包。
    fork3rt
        72
    fork3rt  
    OP
       2018-03-28 09:50:26 +08:00
    @marlboros 淘宝上的 40G 单机防御可信吗? 我没那么多钱买高防,就是个很小的游戏服务器,每天也就 20 个人。 我现在考虑 要么淘宝上 40G 的单机防御(不要怀疑我的智商,现在没办法只好试试) 或者 去阿里云,毕竟 5G 防御 让他提高点犯罪成本。
    fork3rt
        73
    fork3rt  
    OP
       2018-03-28 09:50:53 +08:00
    @marlboros 是的,安全狗看不到恶意流量包。
    wknet1988
        74
    wknet1988  
       2018-03-28 10:26:56 +08:00
    把可疑流量重定向给 GFW,让强大的祖国来保护你.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1240 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 23:20 · PVG 07:20 · LAX 15:20 · JFK 18:20
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.