作者SLS530 (。)
站内NetSecurity
标题[问题] 线上游戏伺服器的防火墙
时间Sun Aug 10 11:15:00 2014
※ [本文转录自 LoL 看板 #1JvibLsv ]
作者: SLS530 (。) 看板: LoL
标题: Re: [心得] 召唤师高峰会讨论内容(文长)
时间: Sun Aug 10 09:22:26 2014
※ 引述《themostgood (themostgoodman)》之铭言:
: 哈搂~大家好
: 小的有幸参予这次英雄高峰会,以下是个人抄下的笔记+个人记忆
: 有错请指出
: 首先和大家讲没分组讨论的问答
: 一.伺服器状况/DDOS/Drophack
: 2012/2 发现海外线路不稳定
: 2012/4 设置海底电缆专门海外线路
: 2012/10 TPA得冠,所以人群涌入
: 2013/3 将伺服器加入OCP,估测可以增加50%的容纳玩家数量(OCP这点就有待专家解说)
: 2013/9/28 开始常常有DDOS攻击,而原本都只使用WINDOWS内建防火墙,而後来购入其他
: 防御管道(和其他防毒软体合作,如小雨伞之类的)
这里透露出 LOL 伺服器的 OS 是 Windows ?!
不清楚游戏界是怎样生态,不过追求效能的资讯公司应该不会选 Winodws 当 OS
原本只用 WINDOWS 内建防火墙,这防护等级比一般玩家还弱
Windows + 内建防火墙,难怪被人轻松攻击
: 而後来也不断添购额外防御机制
: 共花了9062万加量在英雄联盟的设备上面。
: 另外伺服器设备本身并不相通用,所以并没有因为有新代理,伺服器换过去的现象
: 而Garena的硬体事实上很少出错(但还是有类似泡面打翻之类的事情,他们在这边有特别
: 说道歉,但很强调很少发生硬体出错,大多是被攻击)
: 而至於补偿,也有特别道歉,因为他们发现到一个情况就是「一补偿就很有可能恶意再次
: 攻击」
一补偿就很可能遭恶意再攻击?
问题不在补偿
只要你无法防御,就是一直会被攻击
如果骇客有能力瘫痪伺服器,那麽补偿对他们来说根本不值得一提吧!
--
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.246.147.133
※ 文章网址: http://webptt.com/cn.aspx?n=bbs/LoL/M.1407633749.A.DB9.html
1F:推 z904612 : 内建防火墙....难怪被攻击 去年才开始投资也太扯 08/10 09:40
2F:→ z904612 : 人潮涌入一年以上了 伺服器才想到要提高防御??? 08/10 09:41
3F:→ Glyph : windows server跟你家用机用的windows是两样东西-_- 08/10 09:42
Windows Server采用图形化介面,比起单纯的命令列介面,本来就多耗费效能
请问有错吗?
4F:推 luckyman8078: 有请三楼开释 08/10 09:45
5F:嘘 onlysophisca: 不一样但是漏洞还是一堆 08/10 09:45
6F:推 z904612 : 不一样 但是还是很好攻击 跟其他的防御比起来 08/10 09:48
7F:推 ZongYan : 推补偿说法 08/10 09:49
8F:→ Glyph : windows server是专门用来管理架设server的 08/10 09:49
9F:→ Glyph : 两者搞一起 误以为是家用的windows防火墙 08/10 09:51
10F:→ Glyph : 然後说比一般人家里还弱,这两个兜不起来 08/10 09:52
11F:→ Glyph : 再来说很好攻击啥的,台湾一堆server用linux架的 08/10 09:52
或许 Windows server 内建防火墙很厉害?
有规模的网路公司,防火墙应该都是独立机器吧?
※ 编辑: SLS530 (111.246.147.133), 08/10/2014 09:57:07
12F:→ Glyph : 毕竟免费又不用迁就微软的规范,防护力也没好到哪 08/10 09:53
13F:→ Glyph : 如果没有人特别针对攻击的话,内建的绰绰有余 08/10 09:53
14F:推 z904612 : G大 可是都已经知道有人针对了 他们处理也太慢了 08/10 09:54
15F:→ Glyph : 有人特别搞你的话,你只能见招拆招,不停补防 08/10 09:54
16F:→ hoe1101 : 开完高峰会晚上伺服就爆炸,我怀疑黑衣人有出席 08/10 09:55
17F:→ hoe1101 : 高峰会 08/10 09:55
18F:→ Glyph : 看前文已经花9000多万了,这就跟PS4 Xbox的防盗一样 08/10 09:56
19F:推 z904612 : 而且似服器被攻击频率跟其他很多人玩得相比 差太多 08/10 09:56
20F:→ Glyph : 反正你就是阵型摆开给人家破,再补防 08/10 09:56
21F:→ z904612 : 不被讲话才怪吧 伺服器品质就是让大家感觉很烂 08/10 09:57
22F:推 Glyph : 第一个 你知道防火墙原理是啥吗? 08/10 09:58
防火墙的作用就是管制封包的进出
可能LOL以前没人玩,所以一台机器就可以全包吧?是这样吗?
23F:→ Glyph : 第二个 伺服器这种规格的机器,图形介面的效能差跟 08/10 09:59
24F:→ Glyph : 身上一个细胞的份量差不多 08/10 09:59
那是不是有差别?还是完全没差别?
「追求效能」,就是要最好的效能,有讲错吗?
我可没说 Windows Server 烂到不堪使用喔!
※ 编辑: SLS530 (111.246.147.133), 08/10/2014 10:04:06
25F:→ Glyph : 对啦9999999是比1000000000差1没错 08/10 10:00
26F:推 kidincar : 有些玩家重视的就是补偿 08/10 10:01
27F:推 Glyph : 你以为那9000多万没有捕到防火墙机器要怎花到这钱 08/10 10:02
28F:→ Glyph : 你随便去找身边认识的网路工程师,问被骇客针对攻击 08/10 10:03
29F:→ Glyph : 要怎防,每个都马是皱眉头 08/10 10:03
要完全防止DDOS基本上是无解
只是过去的防护也太阳春了...这种事真的不适合说出来阿
30F:推 MisuzuXD : 是说怎麽每个人都伺服器专家... 08/10 10:04
※ 编辑: SLS530 (111.246.147.133), 08/10/2014 10:07:00
31F:→ Huff : 推 Glyph 08/10 10:04
32F:→ MisuzuXD : 感觉好像出一张嘴把他们工程师当白痴一样 08/10 10:05
33F:→ Glyph : 我说的是摸过这块的基本常识 这东西变专家知识了? 08/10 10:05
34F:→ MisuzuXD : 不是 我不是说你... 08/10 10:05
35F:→ Glyph : 是啊 抱歉 我误会你意思 08/10 10:05
36F:→ MisuzuXD : 我是不懂这个 不过LOL是G社目前的台柱 根本没道理 08/10 10:06
37F:→ Glyph : 我其实不想淌这浑水 但是说防护比一般人还弱太过了 08/10 10:06
38F:→ MisuzuXD : 故意摆烂吧...让玩家观感不好反而害到其他游戏推广 08/10 10:07
39F:→ Glyph : 我朋友是pixnet跟kkbox的网路工程师 我以前也跟他 08/10 10:07
40F:→ Glyph : 学用linux架server 跟写网页 08/10 10:08
41F:→ Glyph : 所以跳出来厘清一些误区而已 08/10 10:08
42F:→ Glyph : 这东西时序在於 他们被攻击前 只用内建绰绰有余 08/10 10:09
43F:→ Glyph : 这点其实是ok的 被攻击後花了9000多万补防也是在拚 08/10 10:11
44F:→ Glyph : 但是ddos跟防卫之战 就像盗版跟防盗之战一样 08/10 10:11
45F:推 MisuzuXD : 了解 谢谢G大 08/10 10:12
46F:→ Glyph : 说实在话我跟我这几位朋友家机根本没装防毒软体 08/10 10:12
47F:→ Glyph : 确切明了你下载东西的来源安全性 用手动防火墙监控 08/10 10:14
48F:→ Glyph : 电脑的输入输出 其实根本很难中毒 08/10 10:14
49F:→ Glyph : 防护阳春真的不至於 基本上可以挡下绝大部分攻击了 08/10 10:16
50F:推 mark0708 : 只能说 会被攻击用什麽firewall都没用 08/10 10:16
51F:→ Glyph : 是低 楼上正解 08/10 10:17
52F:推 SlamKai : 防不胜防 见招拆招 08/10 10:17
53F:推 neverlight : 一堆程式大师觉得用win的东西就是该死啊 08/10 10:17
54F:→ Glyph : 这就像你被动防御值90 90以下攻击无效 08/10 10:17
55F:→ Glyph : 但是遇到高於其上的 你就只能用主动技能跟操作应对 08/10 10:18
56F:→ Glyph : 但是不管怎样 挨打的一方就是吃亏 只能说树大招风 08/10 10:19
57F:推 neverlight : 不过以g社应变速度 用什麽都一样啦 08/10 10:19
58F:→ Glyph : 以台湾的玩家数量之大来说 伺服器每多一个要付钱的 08/10 10:20
59F:→ Glyph : 防范机制 都要有覆盖全部伺服器的规模金钱支出 08/10 10:21
60F:推 mark0708 : 再说了 e04键盘手都觉得DDoS很好防 08/10 10:21
61F:→ mark0708 : 很好防一堆paper在research什麽 08/10 10:22
62F:推 z904612 : 玩家不爽的点是在应变速度太慢吧 08/10 10:22
63F:→ mark0708 : 再说了 你能确定你的电脑不是DDoS攻击的一员吗 08/10 10:22
64F:→ mark0708 : 很多人都不知道自己的电脑成为殭屍电脑 08/10 10:22
65F:→ mark0708 : 等到网管跟你说你才惊觉: 啊! 什麽 原来我电脑中毒 08/10 10:23
66F:→ evildark : 重点是g社连刚开机大家一起登入游戏都能理解成ddos 08/10 10:24
67F:推 z904612 : 达克讲的也是一个问题点 我也觉得这个很扯 08/10 10:26
68F:推 Glyph : G社的确是犯蠢好几次 包括代打处理粗糙 赛事出包 08/10 10:26
69F:→ Glyph : 但是现在谈的不是他们家技术部一次两次的蠢 08/10 10:27
70F:→ Glyph : 是G社提出的长期间与ddos的战争 至少我有看到诚意 08/10 10:28
71F:→ Glyph : 但是现有让我不满的是 代打根本摸透你行政规则 08/10 10:28
72F:→ Glyph : 你的抓代打根本抓不到大尾的 永ban无啥恶意的小玩家 08/10 10:29
73F:→ Glyph : 之後自己战队便宜行事 那你怎对得起便宜行事的玩家 08/10 10:30
74F:推 z904612 : 看现在工作室和代打这麽兴盛就知道根本没抓到大支的 08/10 10:30
75F:→ Glyph : 对玩家要求比自家战队还严 那不如大赦天下 08/10 10:31
76F:→ Glyph : 还有就是绑竞时通聊聊 但优化有够糟 08/10 10:31
77F:→ Glyph : 聊聊吃效能 竞时通根本没针对win8.1优化 08/10 10:32
78F:→ Glyph : 我刚升8.1时 狂lag 狂lag 最後查一下才知道是竞时通 08/10 10:32
79F:→ Glyph : g社工程师在os释出新版本时根本没有应对 08/10 10:33
80F:→ Glyph : 最後还是用手动加批次档解决 那一般玩家怎办? 08/10 10:34
81F:→ evildark : 乡民知道的g社会不知道?只是那些太熟又太大尾不敢动 08/10 10:45
82F:推 Glyph : 比起大尾 我觉得根本就是朋友情面过不去了... 08/10 10:46
83F:→ Glyph : 代打的如果都是台湾高端玩家 而G社长期耕耘电竞 08/10 10:46
84F:→ Glyph : 接触的也都是台湾高端玩家 台湾高端多少人而已 08/10 10:47
85F:→ Glyph : 再加上朋友的朋友关系网一路牵扯出去 08/10 10:48
86F:→ yeh19921026 : 原po已经脸肿到强制中离了 08/10 10:48
87F:→ Glyph : 我只能为不过是给兄弟姊妹或朋友用一下帐号被ban的 08/10 10:49
88F:→ Glyph : 人 抱不平... 08/10 10:49
89F:→ yeh19921026 : 你再说下去他就删文了 人家只是想装一下懂 08/10 10:51
90F:→ Sweet83921 : 人家google点皮毛想秀 被G大打脸惹 08/10 10:52
游戏公司伺服器只用 Winodws 内建防火墙运作一年以上
去问一下资安相关从业人员
看看是不是贻笑大方,再来打我脸吧!
※ 编辑: SLS530 (111.246.147.133), 08/10/2014 10:55:28
91F:→ liltwnboiz : Glyph: 两者搞一起 误以为是家用的windows <------- 08/10 10:57
92F:推 Glyph : 喔 可是那一年lol除了不停加开server负荷流量外 08/10 10:57
93F:→ Glyph : 可以问问版众s2大家的回忆有现在的不爽吗 08/10 10:58
94F:→ Glyph : 而遭受攻击後不停加购花了9000多万的现在又如何 08/10 10:59
95F:→ Glyph : 而且楼上版友拉回重点了 08/10 11:00
如果 Windows server 内建防火墙是个正确决定
那为何还需要花9000多万加购防护?
我没有否定G社後来的努力
G社最初的防护很弱,而且还是他们自己爆出来的
不懂你辩护的理由是什麽?G社从头到尾都没错?
※ 编辑: SLS530 (111.246.147.133), 08/10/2014 11:06:17
96F:→ Glyph : 我一开始只想说的是 不要张飞打岳飞 两码子事混谈 08/10 11:01
98F:推 pb1370 : G大你打人家脸轻点,我怕你手痛 08/10 11:03
99F:→ Glyph : 随便google一篇server防范的相关注意 08/10 11:03
100F:→ Glyph : 我要跟你说的是server包括网管 管机器的 08/10 11:05
101F:→ Glyph : 是用手动监测 扫描 注意内部有无偷渡程式等保护的 08/10 11:06
102F:→ Glyph : 我前面就说了 我自己根本没用防毒软体 用内建防火墙 08/10 11:07
103F:→ Glyph : 跟监测软体而已 我也没中过啥毒 G社说只用sever内建 08/10 11:08
104F:→ Glyph : 的防火墙 你以为它们技术部就只要挂着程式 像你桌机 08/10 11:09
105F:→ m567745m : 效果怎样 有目共睹 08/10 11:09
106F:→ Glyph : 一样挂个防毒就维护资安喔? 我跟你说基本上除非是系 08/10 11:09
107F:→ Glyph : 统上重大漏洞, 基本上server软体提供的保护措施 08/10 11:11
108F:→ Glyph : 加上熟手操作 可以处理大部分的网路问题了 08/10 11:11
109F:→ Glyph : 但是遇到针对性的攻击 再怎麽防范都是痛 成本无上纲 08/10 11:13
110F:→ sunen : 喔喔喔 上八挂惹 多久会被删 08/10 11:13
111F:推 QKMAI : 一般来说防火墙只负责挡IP和Port,所以一般都是 08/10 11:13
112F:→ QKMAI : 预设只允许特定ip和port的,但如果应用程式需要 08/10 11:14
113F:→ QKMAI : 像sql的1433或vnc的5900等等,因为需要而开启时 08/10 11:14
※ 发信站: 批踢踢实业坊(ptt.cc)
※ 转录者: SLS530 (111.246.147.133), 08/10/2014 11:15:00
114F:→ asdfghjklasd: 找到烂SI跟烂IT ,我是有玩AVA的 08/12 01:03
115F:推 nightfall988: 推G大~ 08/12 10:30
116F:推 chenghuan47: 说真的DDoS这问题真的无解 08/13 19:53
117F:→ chenghuan47: 加强防火墙设备 挂掉的是防火墙 08/13 19:53
118F:→ chenghuan47: 就只能加强设备效能了 08/13 19:53
119F:→ chenghuan47: 但现在DDoS问题爆开 一堆屁孩找软体来DDoS 08/13 19:54
120F:→ chenghuan47: 建议Garena把曾经发动攻击的IP永久封锁吧 08/13 19:54
121F:→ chenghuan47: 至於用Windows Server我是没什麽意见 08/13 19:55
122F:→ chenghuan47: 用Windows Server的不外乎是不会用Linux 08/13 19:55
123F:→ chenghuan47: 我自己管的Server一台Windows Server 2008R2 08/13 19:55
124F:→ chenghuan47: 另外一台是FreeBSD 应该是我还不太会用 08/13 19:56
125F:→ chenghuan47: Windows Server比较好设定 会用桌面板的都会用 08/13 19:56
126F:→ chenghuan47: 但是如果要论效能的话 Linux完胜 08/13 19:57
127F:→ chenghuan47: 如果熟悉Linux 同样配备 Linux效能也比较好 08/13 19:57
128F:推 asdfghjklasd: 谁跟你说挡DDoS只能用Firewall?????? 08/14 01:46