Spiele, die mit dem Server kommunizieren, sind immer Angriffen aus dem Netzwerk ausgesetzt. Am problematischsten ist der DDoS-Angriff. In diesem Artikel wird durch einen Vertrag mit Alibaba Cloud Folgendes beschrieben:
-Einführung von AntiDDoS Premium, das andere Systeme als Alibaba Cloud schützen kann,
vorstellen.
Ein DDoS-Angriff ist ein Angriff, der einen bestimmten Dienst stört, indem er einer großen Menge an Kommunikation mit einer großen Menge an IT-Geräten auf der ganzen Welt ausgesetzt wird. Die für den Angriff verwendete Kommunikation ist
――Verwenden Sie etwas, das die Nachricht selbst zu einer Fehlfunktion des Dienstes führt.
es gibt.
Da die angegriffene Seite weiterhin einer großen Menge an Kommunikation ausgesetzt ist, die nicht weiß, von welcher IP-Adresse sie stammt, ist es nicht möglich, die IP-Adresse und die Leitungsausrüstung (Leitungsausrüstung mit zu vielen ungültigen Paketen) ordnungsgemäß zu schützen. Da die Firewall, der Router usw. überlastet sind, kann der ursprüngliche Dienst überhaupt nicht bereitgestellt werden.
In der Alibaba Cloud stehen mehrere DDoS-Angriffsschutzdienste zur Verfügung. Ich werde das auf den Tisch legen.
Dienstname | Überblick |
---|---|
Anti DDoS Basic | Ein Dienst, der Systeme in der Alibaba Cloud durch DDoS schützt. |
Anti DDoS Premium | Ein Dienst, der außerhalb der Alibaba Cloud installierte Systeme vor DDoS schützen kann |
Anti DDoS Pro | DDoS-Schutzdienst, der für Benutzer mit Servern in China verwendet werden kann |
Game Shield | Es kann sich gegen verschiedene Angriffe verteidigen, die auf Spieleanwendungen spezialisiert sind. DDoS-Schutz ist ebenfalls enthalten. (Es muss jedoch mit der Anwendung verknüpft sein) |
Dieses Mal möchte ich Anti DDoS Premium vorstellen.
Anti DDoS Premium ist ein Dienst, der vor DDoS-Angriffen auf Systeme schützen kann, die außerhalb der Alibaba Cloud ausgeführt werden. Wie bei anderen Cloud-Diensten handelt es sich nicht um einen engen Dienst, den nur das Cloud-System, das den Dienst bereitstellt, vor DDoS-Angriffen schützen kann. Sie können sich auf den DDoS-Schutz verlassen, da Sie das externe System vollständig schützen können.
Zeichnen wir ein Diagramm, wie Anti DDoS Premium von der Seite des geschützten Systems aus betrachtet wird.
Wie in der Abbildung gezeigt, wird das zu schützende System geschützt, indem die vordere Stufe des Systems als Proxyserver betreten wird.
Außerdem wird die IP-Adresse des Clients wie in der folgenden Tabelle gezeigt gespeichert. Natürlich wird WebSocket auch für HTTP / HTTPS unterstützt. Leider gibt es für UDP derzeit keine Möglichkeit, die IP-Adresse des Clients so zu kennen, wie sie ist. Die einzige Möglichkeit, die IP-Adresse des Clients in UDP zu ermitteln, besteht darin, dass die Clientanwendung die IP-Adresse des Clients in die UDP-Nachricht einbezieht.
Protokoll | Art(※1) | Wo ist die IP-Adresse des Kunden gespeichert? |
---|---|---|
HTTP/WebSocket(※2) | Website | X-Forwarded-Für den Header |
HTTPS(TLS1.2. Klasse)/HTTP/2/WebSockets(※2) | Website | X-Forwaded-Für den Header |
Beliebiges TCP | Non-Website | Im Feld TCP-Option gespeichert. Sie können einen bestimmten Linux-Kernel mit aktivierter TOA-Funktion wiederherstellen. |
Beliebiges UDP(※2) | Non-Website | Derzeit nicht aufgezeichnet. (Wenn Sie wissen möchten, müssen Sie IP-Adressinformationen in die UDP-Nachricht in der Clientanwendung einbetten.) |
Nur für HTTP / HTTPS zeichnet Anti DDoS Premium die IP-Adresse des Clients im X-Forwarded-For-Header auf. Für eine beliebige TCP-Kommunikation kann die IP-Adresse des Clients auf der Serverseite mithilfe von TOA bekannt sein. Dies ist eine spezielle Funktion von Anti DDoS Premium, die später beschrieben wird. Leider gibt es für UDP keine Möglichkeit, die IP-Adresse des Clients zu ermitteln.
Lass es uns jetzt benutzen. Schritt 1. Wählen Sie zunächst das Menü Anti-DDoS-Premium aus und führen Sie den Kaufvorgang aus. Es ist einfach zu kaufen, weil Sie nur einen Knopf drücken!
Schritt 2. Legen Sie als Nächstes die HTTP / HTTPS-Kommunikation fest, die Sie schützen möchten. Wenn es eine HTTP / HTTPS-Kommunikation gibt, die vor DDoS geschützt werden soll, legen Sie diese hier fest. Befolgen Sie zum Einstellen die in der Abbildung gezeigten Schritte. Schritt 3. Legen Sie als Nächstes die Kommunikation fest, die nicht HTTP / HTTPS ist und die Sie schützen möchten. Befolgen Sie zum Einstellen die in der Abbildung gezeigten Schritte.
Damit ist das System in kürzester Zeit DDoS-geschützt.
Wie Sie anhand der tatsächlichen Einstellung der Kommunikation sehen können, ist es schwierig, jede Kommunikation festzulegen, die Sie schützen möchten. Hier können Sie die XML-Datei der Einstellungen abrufen, mit Ihrem bevorzugten Editor verarbeiten und alles auf einmal angeben. Ich werde es in der Abbildung vorstellen. So einfach ist das!
Selbst wenn Sie das Handbuch von Anti DDoS Premium von Alibaba Cloud lesen, gibt es TOA als eine Funktion, die tatsächlich verwendet, aber nicht beschrieben werden kann. Hier werden wir TOA beschreiben.
TOA ist eine Abkürzung für TCP Option Address. Das Optionsfeld des TCP-Pakets enthält eine spezielle ID und die IP-Adresse des Clients, die vom toa-Modul des speziellen Linux-Kernels wiederhergestellt und als Ergebnis des Systemaufrufs zurückgegeben werden. Tatsächlich ist diese Funktion standardmäßig für die TCP-Kommunikation verfügbar, die auf der Nicht-Website von Anti DDoS Premium angegeben ist.
Die Vor- und Nachteile dieser Funktion sind wie folgt.
Mit einem normalen Socket-Programm kann die IP-Adresse des Clients nach dem normalen Verfahren abgerufen werden. Sie müssen sich keine Sorgen machen, dass Sie zwischendurch Anti-DDoS-Premium haben.
Da iptables vor einer Verarbeitung verarbeitet wird, wird es von der Quell-IP-Adresse des TCP-Headers verarbeitet. Daher wird es nicht von der als TOA angegebenen Client-IP-Adresse beeinflusst.
Um TOA verwenden zu können, muss das aktuelle System in der folgenden Umgebung ausgeführt werden.
(Es gibt kein Problem, wenn sich das System, das Sie vor DDoS schützen möchten, in einer lokalen Umgebung befindet!)
Befolgen Sie grundsätzlich das Handbuch auf der Anti-DDoS Pro-Seite. Sie können das RPM für den Kernel auch von den in diesem Handbuch aufgeführten Zielen herunterladen.
How can origins outside Alibaba Cloud get clients’ real IP addresses? https://www.alibabacloud.com/help/doc-detail/52477.htm
Schritt 1. Holen Sie sich das folgende Kernel-Paket
$ wget http://docs-aliyun.cn-hangzhou.oss.aliyun-inc.com/assets/attach/52477/cn_zh/1491917761209/kernel-2.6.32-220.23.2.ali_github.el6.x86_64.rpm
Schritt 2. Eingeführt mit dem Befehl rpm.
$ sudo rpm -ivh kernel-2.6.32-220.23.2.ali_github.el6.x86_64.rpm
Schritt 3. Starten Sie so wie es ist neu
$ sudo reboot
Schritt 4. Bestätigen Sie die Uname
$ uname –r
2.6.32-220.23.2.ali_github.el6.x86_64
Bestätigen Sie, dass es herauskommt
Schritt 5. Aktivieren Sie TOA
$ sudo modprobe toa
Hinweis: Wenn Sie TOA deaktivieren möchten
$ sudo modprobe -r toa
Sie können es mit deaktivieren.
Die folgende Abbildung zeigt den Unterschied zwischen den Ergebnissen des Befehls nc, wenn TOA deaktiviert und aktiviert ist. Auf mysteriöse Weise können Sie bei aktivierter TOA sehen, dass der Befehl nc die IP-Adresse des Clients erhalten hat.
Die tatsächliche TOA-Kommunikation ist in der Abbildung dargestellt. Die Kommunikation selbst ist eine normale TCP-Kommunikation, die TOA-Informationen sind jedoch im Feld TCP-Option ausgeblendet.
Verwenden wir den Befehl tcpdump, um ihn anzuzeigen.
Der Teil, der in der obigen Abbildung von Rot und der Teil von Blau umgeben ist, sind die TOA-Werte. Dies wird unten erklärt.
Die Struktur des Kernel- und Toa-Moduls ist unten dargestellt. Sie können sehen, dass die Paketinformationen basierend auf den in der TOA enthaltenen Informationen neu geschrieben werden, bevor sie an den Systemaufruf übergeben werden.
Kernel mit aktiviertem TOA sehen jetzt Statistiken in / proc / net / toa_status. Der Inhalt und die Bedeutung sind in der Abbildung dargestellt.
Ich habe keine Angst, Probleme mit TOA zu haben! : lacht:
Wenn Sie sich so gut erinnern, ist DDoS nicht beängstigend!
-Alibaba Clouds Anti-DDoS Premium ist einfach zu verwenden und schützt die Nicht-Alibaba Cloud-Infrastruktur hartnäckig vor DDoS. Es ist einfach, weil Sie es sofort einrichten können! -Nicht-Website von Anti-DDoS Premium von Alibaba Cloud ist praktisch, da Sie die IP-Adresse der Client-Seite wie bei der Socket-API von der TOA-Funktion erhalten können!
das ist alles.