作者SLS530 (。)
站內NetSecurity
標題[問題] 線上遊戲伺服器的防火牆
時間Sun Aug 10 11:15:00 2014
※ [本文轉錄自 LoL 看板 #1JvibLsv ]
作者: SLS530 (。) 看板: LoL
標題: Re: [心得] 召喚師高峰會討論內容(文長)
時間: Sun Aug 10 09:22:26 2014
※ 引述《themostgood (themostgoodman)》之銘言:
: 哈摟~大家好
: 小的有幸參予這次英雄高峰會,以下是個人抄下的筆記+個人記憶
: 有錯請指出
: 首先和大家講沒分組討論的問答
: 一.伺服器狀況/DDOS/Drophack
: 2012/2 發現海外線路不穩定
: 2012/4 設置海底電纜專門海外線路
: 2012/10 TPA得冠,所以人群湧入
: 2013/3 將伺服器加入OCP,估測可以增加50%的容納玩家數量(OCP這點就有待專家解說)
: 2013/9/28 開始常常有DDOS攻擊,而原本都只使用WINDOWS內建防火牆,而後來購入其他
: 防禦管道(和其他防毒軟體合作,如小雨傘之類的)
這裡透露出 LOL 伺服器的 OS 是 Windows ?!
不清楚遊戲界是怎樣生態,不過追求效能的資訊公司應該不會選 Winodws 當 OS
原本只用 WINDOWS 內建防火牆,這防護等級比一般玩家還弱
Windows + 內建防火牆,難怪被人輕鬆攻擊
: 而後來也不斷添購額外防禦機制
: 共花了9062萬加量在英雄聯盟的設備上面。
: 另外伺服器設備本身並不相通用,所以並沒有因為有新代理,伺服器換過去的現象
: 而Garena的硬體事實上很少出錯(但還是有類似泡麵打翻之類的事情,他們在這邊有特別
: 說道歉,但很強調很少發生硬體出錯,大多是被攻擊)
: 而至於補償,也有特別道歉,因為他們發現到一個情況就是「一補償就很有可能惡意再次
: 攻擊」
一補償就很可能遭惡意再攻擊?
問題不在補償
只要你無法防禦,就是一直會被攻擊
如果駭客有能力癱瘓伺服器,那麼補償對他們來說根本不值得一提吧!
--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.246.147.133
※ 文章網址: http://webptt.com/m.aspx?n=bbs/LoL/M.1407633749.A.DB9.html
1F:推 z904612 : 內建防火牆....難怪被攻擊 去年才開始投資也太扯 08/10 09:40
2F:→ z904612 : 人潮湧入一年以上了 伺服器才想到要提高防禦??? 08/10 09:41
3F:→ Glyph : windows server跟你家用機用的windows是兩樣東西-_- 08/10 09:42
Windows Server採用圖形化介面,比起單純的命令列介面,本來就多耗費效能
請問有錯嗎?
4F:推 luckyman8078: 有請三樓開釋 08/10 09:45
5F:噓 onlysophisca: 不一樣但是漏洞還是一堆 08/10 09:45
6F:推 z904612 : 不一樣 但是還是很好攻擊 跟其他的防禦比起來 08/10 09:48
7F:推 ZongYan : 推補償說法 08/10 09:49
8F:→ Glyph : windows server是專門用來管理架設server的 08/10 09:49
9F:→ Glyph : 兩者搞一起 誤以為是家用的windows防火牆 08/10 09:51
10F:→ Glyph : 然後說比一般人家裡還弱,這兩個兜不起來 08/10 09:52
11F:→ Glyph : 再來說很好攻擊啥的,台灣一堆server用linux架的 08/10 09:52
或許 Windows server 內建防火牆很厲害?
有規模的網路公司,防火牆應該都是獨立機器吧?
※ 編輯: SLS530 (111.246.147.133), 08/10/2014 09:57:07
12F:→ Glyph : 畢竟免費又不用遷就微軟的規範,防護力也沒好到哪 08/10 09:53
13F:→ Glyph : 如果沒有人特別針對攻擊的話,內建的綽綽有餘 08/10 09:53
14F:推 z904612 : G大 可是都已經知道有人針對了 他們處理也太慢了 08/10 09:54
15F:→ Glyph : 有人特別搞你的話,你只能見招拆招,不停補防 08/10 09:54
16F:→ hoe1101 : 開完高峰會晚上伺服就爆炸,我懷疑黑衣人有出席 08/10 09:55
17F:→ hoe1101 : 高峰會 08/10 09:55
18F:→ Glyph : 看前文已經花9000多萬了,這就跟PS4 Xbox的防盜一樣 08/10 09:56
19F:推 z904612 : 而且似服器被攻擊頻率跟其他很多人玩得相比 差太多 08/10 09:56
20F:→ Glyph : 反正你就是陣型擺開給人家破,再補防 08/10 09:56
21F:→ z904612 : 不被講話才怪吧 伺服器品質就是讓大家感覺很爛 08/10 09:57
22F:推 Glyph : 第一個 你知道防火牆原理是啥嗎? 08/10 09:58
防火牆的作用就是管制封包的進出
可能LOL以前沒人玩,所以一台機器就可以全包吧?是這樣嗎?
23F:→ Glyph : 第二個 伺服器這種規格的機器,圖形介面的效能差跟 08/10 09:59
24F:→ Glyph : 身上一個細胞的份量差不多 08/10 09:59
那是不是有差別?還是完全沒差別?
「追求效能」,就是要最好的效能,有講錯嗎?
我可沒說 Windows Server 爛到不堪使用喔!
※ 編輯: SLS530 (111.246.147.133), 08/10/2014 10:04:06
25F:→ Glyph : 對啦9999999是比1000000000差1沒錯 08/10 10:00
26F:推 kidincar : 有些玩家重視的就是補償 08/10 10:01
27F:推 Glyph : 你以為那9000多萬沒有捕到防火牆機器要怎花到這錢 08/10 10:02
28F:→ Glyph : 你隨便去找身邊認識的網路工程師,問被駭客針對攻擊 08/10 10:03
29F:→ Glyph : 要怎防,每個都馬是皺眉頭 08/10 10:03
要完全防止DDOS基本上是無解
只是過去的防護也太陽春了...這種事真的不適合說出來阿
30F:推 MisuzuXD : 是說怎麼每個人都伺服器專家... 08/10 10:04
※ 編輯: SLS530 (111.246.147.133), 08/10/2014 10:07:00
31F:→ Huff : 推 Glyph 08/10 10:04
32F:→ MisuzuXD : 感覺好像出一張嘴把他們工程師當白癡一樣 08/10 10:05
33F:→ Glyph : 我說的是摸過這塊的基本常識 這東西變專家知識了? 08/10 10:05
34F:→ MisuzuXD : 不是 我不是說你... 08/10 10:05
35F:→ Glyph : 是啊 抱歉 我誤會你意思 08/10 10:05
36F:→ MisuzuXD : 我是不懂這個 不過LOL是G社目前的台柱 根本沒道理 08/10 10:06
37F:→ Glyph : 我其實不想淌這渾水 但是說防護比一般人還弱太過了 08/10 10:06
38F:→ MisuzuXD : 故意擺爛吧...讓玩家觀感不好反而害到其他遊戲推廣 08/10 10:07
39F:→ Glyph : 我朋友是pixnet跟kkbox的網路工程師 我以前也跟他 08/10 10:07
40F:→ Glyph : 學用linux架server 跟寫網頁 08/10 10:08
41F:→ Glyph : 所以跳出來釐清一些誤區而已 08/10 10:08
42F:→ Glyph : 這東西時序在於 他們被攻擊前 只用內建綽綽有餘 08/10 10:09
43F:→ Glyph : 這點其實是ok的 被攻擊後花了9000多萬補防也是在拚 08/10 10:11
44F:→ Glyph : 但是ddos跟防衛之戰 就像盜版跟防盜之戰一樣 08/10 10:11
45F:推 MisuzuXD : 了解 謝謝G大 08/10 10:12
46F:→ Glyph : 說實在話我跟我這幾位朋友家機根本沒裝防毒軟體 08/10 10:12
47F:→ Glyph : 確切明瞭你下載東西的來源安全性 用手動防火牆監控 08/10 10:14
48F:→ Glyph : 電腦的輸入輸出 其實根本很難中毒 08/10 10:14
49F:→ Glyph : 防護陽春真的不至於 基本上可以擋下絕大部分攻擊了 08/10 10:16
50F:推 mark0708 : 只能說 會被攻擊用什麼firewall都沒用 08/10 10:16
51F:→ Glyph : 是低 樓上正解 08/10 10:17
52F:推 SlamKai : 防不勝防 見招拆招 08/10 10:17
53F:推 neverlight : 一堆程式大師覺得用win的東西就是該死啊 08/10 10:17
54F:→ Glyph : 這就像你被動防禦值90 90以下攻擊無效 08/10 10:17
55F:→ Glyph : 但是遇到高於其上的 你就只能用主動技能跟操作應對 08/10 10:18
56F:→ Glyph : 但是不管怎樣 挨打的一方就是吃虧 只能說樹大招風 08/10 10:19
57F:推 neverlight : 不過以g社應變速度 用什麼都一樣啦 08/10 10:19
58F:→ Glyph : 以台灣的玩家數量之大來說 伺服器每多一個要付錢的 08/10 10:20
59F:→ Glyph : 防範機制 都要有覆蓋全部伺服器的規模金錢支出 08/10 10:21
60F:推 mark0708 : 再說了 e04鍵盤手都覺得DDoS很好防 08/10 10:21
61F:→ mark0708 : 很好防一堆paper在research什麼 08/10 10:22
62F:推 z904612 : 玩家不爽的點是在應變速度太慢吧 08/10 10:22
63F:→ mark0708 : 再說了 你能確定你的電腦不是DDoS攻擊的一員嗎 08/10 10:22
64F:→ mark0708 : 很多人都不知道自己的電腦成為殭屍電腦 08/10 10:22
65F:→ mark0708 : 等到網管跟你說你才驚覺: 啊! 什麼 原來我電腦中毒 08/10 10:23
66F:→ evildark : 重點是g社連剛開機大家一起登入遊戲都能理解成ddos 08/10 10:24
67F:推 z904612 : 達克講的也是一個問題點 我也覺得這個很扯 08/10 10:26
68F:推 Glyph : G社的確是犯蠢好幾次 包括代打處理粗糙 賽事出包 08/10 10:26
69F:→ Glyph : 但是現在談的不是他們家技術部一次兩次的蠢 08/10 10:27
70F:→ Glyph : 是G社提出的長期間與ddos的戰爭 至少我有看到誠意 08/10 10:28
71F:→ Glyph : 但是現有讓我不滿的是 代打根本摸透你行政規則 08/10 10:28
72F:→ Glyph : 你的抓代打根本抓不到大尾的 永ban無啥惡意的小玩家 08/10 10:29
73F:→ Glyph : 之後自己戰隊便宜行事 那你怎對得起便宜行事的玩家 08/10 10:30
74F:推 z904612 : 看現在工作室和代打這麼興盛就知道根本沒抓到大支的 08/10 10:30
75F:→ Glyph : 對玩家要求比自家戰隊還嚴 那不如大赦天下 08/10 10:31
76F:→ Glyph : 還有就是綁競時通聊聊 但優化有夠糟 08/10 10:31
77F:→ Glyph : 聊聊吃效能 競時通根本沒針對win8.1優化 08/10 10:32
78F:→ Glyph : 我剛升8.1時 狂lag 狂lag 最後查一下才知道是競時通 08/10 10:32
79F:→ Glyph : g社工程師在os釋出新版本時根本沒有應對 08/10 10:33
80F:→ Glyph : 最後還是用手動加批次檔解決 那一般玩家怎辦? 08/10 10:34
81F:→ evildark : 鄉民知道的g社會不知道?只是那些太熟又太大尾不敢動 08/10 10:45
82F:推 Glyph : 比起大尾 我覺得根本就是朋友情面過不去了... 08/10 10:46
83F:→ Glyph : 代打的如果都是台灣高端玩家 而G社長期耕耘電競 08/10 10:46
84F:→ Glyph : 接觸的也都是台灣高端玩家 台灣高端多少人而已 08/10 10:47
85F:→ Glyph : 再加上朋友的朋友關係網一路牽扯出去 08/10 10:48
86F:→ yeh19921026 : 原po已經臉腫到強制中離了 08/10 10:48
87F:→ Glyph : 我只能為不過是給兄弟姊妹或朋友用一下帳號被ban的 08/10 10:49
88F:→ Glyph : 人 抱不平... 08/10 10:49
89F:→ yeh19921026 : 你再說下去他就刪文了 人家只是想裝一下懂 08/10 10:51
90F:→ Sweet83921 : 人家google點皮毛想秀 被G大打臉惹 08/10 10:52
遊戲公司伺服器只用 Winodws 內建防火牆運作一年以上
去問一下資安相關從業人員
看看是不是貽笑大方,再來打我臉吧!
※ 編輯: SLS530 (111.246.147.133), 08/10/2014 10:55:28
91F:→ liltwnboiz : Glyph: 兩者搞一起 誤以為是家用的windows <------- 08/10 10:57
92F:推 Glyph : 喔 可是那一年lol除了不停加開server負荷流量外 08/10 10:57
93F:→ Glyph : 可以問問版眾s2大家的回憶有現在的不爽嗎 08/10 10:58
94F:→ Glyph : 而遭受攻擊後不停加購花了9000多萬的現在又如何 08/10 10:59
95F:→ Glyph : 而且樓上版友拉回重點了 08/10 11:00
如果 Windows server 內建防火牆是個正確決定
那為何還需要花9000多萬加購防護?
我沒有否定G社後來的努力
G社最初的防護很弱,而且還是他們自己爆出來的
不懂你辯護的理由是什麼?G社從頭到尾都沒錯?
※ 編輯: SLS530 (111.246.147.133), 08/10/2014 11:06:17
96F:→ Glyph : 我一開始只想說的是 不要張飛打岳飛 兩碼子事混談 08/10 11:01
98F:推 pb1370 : G大你打人家臉輕點,我怕你手痛 08/10 11:03
99F:→ Glyph : 隨便google一篇server防範的相關注意 08/10 11:03
100F:→ Glyph : 我要跟你說的是server包括網管 管機器的 08/10 11:05
101F:→ Glyph : 是用手動監測 掃描 注意內部有無偷渡程式等保護的 08/10 11:06
102F:→ Glyph : 我前面就說了 我自己根本沒用防毒軟體 用內建防火牆 08/10 11:07
103F:→ Glyph : 跟監測軟體而已 我也沒中過啥毒 G社說只用sever內建 08/10 11:08
104F:→ Glyph : 的防火牆 你以為它們技術部就只要掛著程式 像你桌機 08/10 11:09
105F:→ m567745m : 效果怎樣 有目共睹 08/10 11:09
106F:→ Glyph : 一樣掛個防毒就維護資安喔? 我跟你說基本上除非是系 08/10 11:09
107F:→ Glyph : 統上重大漏洞, 基本上server軟體提供的保護措施 08/10 11:11
108F:→ Glyph : 加上熟手操作 可以處理大部分的網路問題了 08/10 11:11
109F:→ Glyph : 但是遇到針對性的攻擊 再怎麼防範都是痛 成本無上綱 08/10 11:13
110F:→ sunen : 喔喔喔 上八掛惹 多久會被刪 08/10 11:13
111F:推 QKMAI : 一般來說防火牆只負責擋IP和Port,所以一般都是 08/10 11:13
112F:→ QKMAI : 預設只允許特定ip和port的,但如果應用程式需要 08/10 11:14
113F:→ QKMAI : 像sql的1433或vnc的5900等等,因為需要而開啟時 08/10 11:14
※ 發信站: 批踢踢實業坊(ptt.cc)
※ 轉錄者: SLS530 (111.246.147.133), 08/10/2014 11:15:00
114F:→ asdfghjklasd: 找到爛SI跟爛IT ,我是有玩AVA的 08/12 01:03
115F:推 nightfall988: 推G大~ 08/12 10:30
116F:推 chenghuan47: 說真的DDoS這問題真的無解 08/13 19:53
117F:→ chenghuan47: 加強防火牆設備 掛掉的是防火牆 08/13 19:53
118F:→ chenghuan47: 就只能加強設備效能了 08/13 19:53
119F:→ chenghuan47: 但現在DDoS問題爆開 一堆屁孩找軟體來DDoS 08/13 19:54
120F:→ chenghuan47: 建議Garena把曾經發動攻擊的IP永久封鎖吧 08/13 19:54
121F:→ chenghuan47: 至於用Windows Server我是沒什麼意見 08/13 19:55
122F:→ chenghuan47: 用Windows Server的不外乎是不會用Linux 08/13 19:55
123F:→ chenghuan47: 我自己管的Server一台Windows Server 2008R2 08/13 19:55
124F:→ chenghuan47: 另外一台是FreeBSD 應該是我還不太會用 08/13 19:56
125F:→ chenghuan47: Windows Server比較好設定 會用桌面板的都會用 08/13 19:56
126F:→ chenghuan47: 但是如果要論效能的話 Linux完勝 08/13 19:57
127F:→ chenghuan47: 如果熟悉Linux 同樣配備 Linux效能也比較好 08/13 19:57
128F:推 asdfghjklasd: 誰跟你說擋DDoS只能用Firewall?????? 08/14 01:46