Minecraft(我的世界)中文论坛

标题: 【天空学院】对近期各种压测攻击的总结和防御，以及BungeeCord跨服群组的漏洞解析

作者: SkyCatcher 时间: 2015-1-30 23:44
标题: 【天空学院】对近期各种压测攻击的总结和防御，以及BungeeCord跨服群组的漏洞解析
本帖最后由 SkyCatcher 于 2015-4-22 10:50 编辑

对近期的各种压测等攻击的总结和防御措施 —— 尤其是BungeeCord跨服群组

因为我并不是学计算机的，文中不可避免的有描述不正确或不准确的内容，还请大家多多包涵

最近各类压测器、代码的分发层出不穷，一开始应该是从贴吧那边传出来的，而且其中的一些软件被恶意写入了木马，也就是一旦使用且没有杀毒软件或防火墙去隔离掉的话，就会让你的电脑沦为“肉鸡”，也就是发布这些木马的黑客能够从远程控制你的电脑偷偷做一些事情（比如说发动一大批肉鸡去攻击别人，抑或是出售这些肉鸡资源给别人）。

不过现在被直接发布出来的代码和软件等的攻击效果有限，如果在攻击者数量不大/攻击者网络等性能不强的情况下，一些现有的反压测攻击的插件可以起到一定防御作用。但是前几天@zhh0000zhh 用VB写了个压测器然后对我的小白鼠服务器进行了测试，并且在服务器上面运行了压测器，然后我两千多人上限的测试服务器在几秒内就被打满人数了（貌似是一万并发），然后BungeeCord端就因为过量的连接而反映缓慢，并且导致了新玩家无法连接+老玩家反映迟缓的问题，也就是说基本上已经被攻克了。从这个测试里面我才发现压测这种攻击的凶残之处，于是在这里写出这个帖子来供大家讨论，看看有没有遇到其他的攻击手段，并对当前的攻击提出一些解决方案。

压测主要是利用了mc协议漏洞（未加密的通讯过程），从而用软件模拟出很多很多的虚假的玩家不停登陆登出服务器，甚至用虚假玩家进行跑图等消耗资源的事情，从而消耗服务器的CPU、内存、网络资源并最终导致服务器崩溃或反映迟缓无法正常连接。下面分点列一下各种不同的攻击手段（主要针对BungeeCord跨服群组，因为我发现经过BC以后比直接使用Spigot更容易被打垮）。

这篇帖子就不介绍诸如使用“/co l”查OP密码、用各种商店插件或者骨粉BUG刷物品等等这种原因导致的安全漏洞，这里主要介绍最近出现的、危害较大的、主要集中于BungeeCord群组的安全漏洞和解决方案。Mod服务器和使用专用验证客户端的服务器不在讨论之列，Mod服务器可以通过改压测器源码也达到攻击目的，专用客户端理论上比较安全。

1.使用“md_5”游戏名进入群组，然后利用管理员权限使用 /end 命令关闭BungeeCord端，或者 /server 等指令跳转到其他服务器，然后OP自己或其他小号，然后做一些乱七八糟的事情。

这个攻击手段最没技术含量，其实这个和老生常谈的没有删除玩家的“/server”权限本质是一回事。应该很多使用BC跨服的服主都知道如果给了玩家 “/server <服务器名>” 的权限，就可以在没登陆的情况下直接跳转到其他服务器，如果其他服务器没有布置登陆插件的话，这时候就相当于绕开了登陆插件。如果玩家使用了OP的账号，这种情况下就直接可以使用子服务器的OP权限了。

而之所以使用"md_5"这个游戏名，是因为和/server权限是默认分配给所有玩家一样，md_5这个游戏名是默认的bungeecord服务器管理员（因为就是他写的bc）

打开你的bungeecord文件夹根目录下的config.yml，看最顶端

groups:
md_5:
- admin

复制代码

想必看到这里你应该懂了，因为这个ID是BC的管理员，所以直接绕过了登陆插件的判定，可以使用很多的BC管理命令，包括/end这种关闭群组端的命令。

解决方案也很简单：

2.BC权限设置得当，管理员也删除了，但是仍然发现有人绕过了登陆插件到了子服务器取得OP权限
这种问题比较隐蔽，也是最近才发现的。有的群组服务器设置了登陆服务器，并且强制玩家只能先从登陆服务器进入群组，其他子服务器的spigot.yml里面设置了 bungeecord: true ，也就是不能直接用IP+端口访问到子服务器，而是需要通过BC端。
然后，这些服务器在登陆服务器设置了authme等登陆插件，其他子服务器没设置，并且也关闭了/server等命令权限而使用牌子或星门等传送方式。但是，却发现有人竟然能神不知鬼不觉的绕过了登录服务器直接进入了子服务器，并用OP账号做了乱七八糟的事情。
这个问题是为什么呢？
其实，bungeecord: true 只是限制了想登入此服务器必须通过bungeecord端，但是他并没说这个BC端是在哪里的！
也就是说，其实这些人是在自己电脑本地部署了BungeeCord端，然后直接指向了子服务器，从而能直接不验证密码登入进去。
事实上，我记得在1.6的时代spigot.yml里面bungeecord: true这附近还有个设置源IP的选项，但是1.7的时候不见了，可能是为了一些多BC指向同子服务器方便吧，但是这给了一些熊孩子可乘之机，让他们不是用密码便登录了OP的账号。
解决方案：

3.BungeeCord遭受大规模压测攻击时处理缓慢或崩溃
这个是遭受到来自专业服务器的大流量、高效率压测器，或者来自一堆肉鸡的共同攻击时出现的问题。
因为所有连入子服务器的连接都要先经过BC，从而导致BC端的压力非常大。正常情况下BC只需要很少的内存即可流畅运行，但是在被万数级别的并发攻击时，即使你服务端上面有各种反攻击手段，但是因为BC端是直接通过所有数据的，消耗会骤升，然后proxy不稳定以后，服务器的正常玩家连接也就不稳定了，即使没宕机，也差不多等于被攻击成功了。
我尝试过调整bungeecord端的connection_throttle: 4000连接延迟，但是我发现这个是无效的！也许是因为压测器的假人仅仅是初次握手的缘故吧，具体原因不清楚，已经向md_5反馈了，但是因为md_5多次表示不支持盗版模式，所以可能不了了之。
甚至我在子服务器封禁攻击IP的情况下（BC端没封禁IP功能），都因为并发攻击数量太大而导致BC端处理不过来信息的情况。
解决方案（对网页面板/软件后台服务器无效）：

4.普通单服务器遭到大规模压测
因为单服务端的处理性能有限，所以也许并不需要很大规模的压测就可以让你挂掉，也是中小服务器服主最常见的压测攻击。原理就是利用大量的假人登入登出来消耗服务器资源。
解决方案：

5.利用服务端的TAB补全命令功能来消耗资源
如果你的服务端是craftbukkit，那么貌似这种攻击是无解的。这种攻击是因为攻击者发现用压测被防火墙拦截无效，所以使用了所谓的“穿透”攻击，也就是模拟单人或者少量的假人进入服务器，然后利用在聊天栏打出“/”后再按TAB能自动补全命令的功能，来不停的消耗服务器的资源。这种攻击方法并不只局限在按TAB上面，也可以不停的刷/list 或者/glist（BC群组）等命令来消耗服务器资源。
如果你的服务端是spigot或caruldron的话，你就可以通过合理的设置来避免这种攻击。
解决方案：

6.通过刷服务器Motd信息和服务器Logo来消耗服务器带宽
Motd就是你在客户端的服务器列表里面看到的服务器名下面的显示的一行字，一般服务器都将其设置为彩色的一串，有的用插件将其设置为了可变化的，每次刷新都得到不同的信息。
Logo就是1.7及以上的服务器在客户端的服务器列表里面左边显示的那个方形图片。也就是服务端根目录下的server-icon.png
因为这个特性，攻击者可以用程序来模拟获取motd和logo，然后如果模拟的并发数量很大，那么服务器会发送大量的信息给攻击者，从而导致带宽被占用。
这种攻击方式我还没真实验证过，所以不确定是否真的有效，下面给出的解决方案也基于理论并未实测。
理论上为了获取motd图片需要发送很多连接，而且这种方式连接数多了才对服务器有效，所以应该能被防火墙识别
解决方案：

7.利用服务端发送当前延迟的ping来消耗服务器CPU与内存
这种方式的特点是攻击后服务端无任何显示，且CPU和内存急剧飙升
这里有个帖子详细介绍了这种攻击方法：http://www.mcbbs.net/thread-402883-1-1.html
我这里简要介绍下，本攻击通过不停获取对方服务器的延迟ping来消耗对方服务器的CPU与内存
这是开始攻击前的服务器状态

然后开始攻击
服务器CPU瞬间打满（测试服务器为双核），内存开始稳步增加
5秒后，内存增加到了顶峰，CPU略有下降

然后停止攻击，CPU降为正常值，内存因为Java的回收机制太差，无法释放

至此已经完成了整个攻击过程，如果服务器人多或者是性能差的话，这时候应该已经蹦服了

对于攻击者来说总共只花了十来秒，但是服务器的内存却得不到释放
解决方案：

8.对使用BungeeCord跨服的服务器伪造IP，从而登陆OP账号（2015.2.22更新）
这个安全漏洞由@1277832129 发现并进行了测试。
因为经过BungeeCord端以后，真实IP会被转发，用了Spigot端开启bungeecord: true选项后，可以从BC端获取真实IP。
现在这种攻击方式就是，伪造BC端发给Spigot的数据包，从而可以伪造出任意IP地址登陆子服务器。
如果你的整个群组服务器暴露在公网环境下（也就是可以直接端口号访问到子服务器，即使不能登陆进去，只要访问到就在此列），而且只有登陆服务器加装了登陆插件，那么攻击者通过伪造一个虚假的IP地址（比如说本地IP），就可以用OP用户名登陆到子服务器，然后就能不输入密码直接登陆子服务器获取OP权限
解决方案：

9.使用Spigot1.8.3/官服1.8.4 之前版本的服务器，可能被伪造客户端发NBT数据包攻击蹦服（2015.4.19更新）
1.8.4是一次安全更新，详细信息在这里：http://www.mcbbs.net/thread-434972-1-1.html
由于游戏存在NBT数据传输的漏洞，所以有可能会出现有攻击者通过发送大量的嵌套NBT数据来崩掉服务器的可能性。
解决方案：

Linux下使用iptables来防御的具体实现方法请看这篇帖子(z25096708提供):http://www.mcbbs.net/thread-404025-1-1.html

作者: zhh0000zhh 时间: 2015-1-30 23:52
楼主以各种姿势表达了对网页面板/软件后台服务器的歧视。。。

作者: SkyCatcher 时间: 2015-1-30 23:54

zhh0000zhh 发表于 2015-1-30 23:52
楼主以各种姿势表达了对网页面板/软件后台服务器的歧视。。。

确实没想出啥好的解决方案来，因为网页面板的控制权限太低了，除了装插件以外没其他手段了，根本控制不到服务器的防火墙

作者: zhh0000zhh 时间: 2015-1-30 23:54

SkyCatcher 发表于 2015-1-30 23:54
确实没想出啥好的解决方案来，因为网页面板的控制权限太低了，除了装插件以外没其他手段了，根本控制不到 ...

咳咳，就像各种姿势网络无法连接MC官网一样。。。
我一般会说，，请与网络服务提供商联系并取得解决方案。。咳咳

作者: SkyCatcher 时间: 2015-1-30 23:57

zhh0000zhh 发表于 2015-1-30 23:54
咳咳，就像各种姿势网络无法连接MC官网一样。。。
我一般会说，，请与网络服务提供商联系并取得解决方案 ...

{:10_492:}其实即使是网页面板的主机上面进行防御，但是因为每个租户服务器情况不同，所以可能出现无法全面覆盖的情况，所以还是没想出什么好的解决方案

作者: PETER·篠 时间: 2015-1-30 23:58
以深刻借鑒。

作者: zhh0000zhh 时间: 2015-1-30 23:59

SkyCatcher 发表于 2015-1-30 23:57
其实即使是网页面板的主机上面进行防御，但是因为每个租户服务器情况不同，所以可能出现无法全 ...

那就是服务器提供商要各种姿势宣传的问题了

作者: ad54683745 时间: 2015-1-31 00:10
好帖啊，好帖，对我们服主太有用了

作者: csj3120 时间: 2015-1-31 00:11
MOTD的压力并不是太大主要是图片
和a8 隆还有几个人一起研究了一下压测顺便测试了一下
最有效的是直接发送一个握手包这样服务器会等待你发送用户名等信息过去
你可以想象1000线程让服务器等待然后卡死的场景吧……

作者: manageryzy 时间: 2015-1-31 00:12
模拟真实玩家跑图也是可以进行流量攻击啊
此外如果使用tcp syn攻击也是可以的呢

作者: SkyCatcher 时间: 2015-1-31 00:12

csj3120 发表于 2015-1-31 00:11
MOTD的压力并不是太大主要是图片
和a8 隆还有几个人一起研究了一下压测顺便测试了一下
最有效的是直接 ...

这种看样子也只能防火墙级别才能防御了，或者使用反代程序

作者: gzhsuny 时间: 2015-1-31 00:13
win7或08之后的windows防火墙可以通过修改入站规则完全屏蔽某个IP，不过好像做不到限制连接数。至于之前的xp或者03系统嘛，那个防火墙的配置简直是看不懂啊...

作者: SkyCatcher 时间: 2015-1-31 00:14

manageryzy 发表于 2015-1-31 00:12
模拟真实玩家跑图也是可以进行流量攻击啊
此外如果使用tcp syn攻击也是可以的呢 ...

模拟跑图的话，如果量不大没什么关系，量大了还不如直接登入登出来的方便……
syn攻击的话，对于MC服务器来说影响其实不大，但是现在有了协议漏洞以后就可以被熊孩子用来DoS攻击了

作者: 985266808czh 时间: 2015-1-31 00:20
{:10_493:}表示今天就有人刷人数结果把服给卡崩了，辛亏做好了防护措施，不过楼主这帖值得顶！

作者: 山鸡 时间: 2015-1-31 00:21
火钳刘明压测软件层出不穷服务器也没有太好的办法去制止、

作者: csj3120 时间: 2015-1-31 00:25
直接封了IP直接方便(防火墙上

作者: SkyCatcher 时间: 2015-1-31 00:27

csj3120 发表于 2015-1-31 00:25
直接封了IP直接方便(防火墙上

封IP的话要手动，还是不够及时
linux在这方面先天优势，能用iptables限制单IP连接数，win只能用软件

作者: csj3120 时间: 2015-1-31 00:29

SkyCatcher 发表于 2015-1-31 00:27
封IP的话要手动，还是不够及时
linux在这方面先天优势，能用iptables限制单IP连接数，win只能用软件 ...

IPTables直接无视了依然可以打(小孩不乖试过了

作者: SkyCatcher 时间: 2015-1-31 00:31

csj3120 发表于 2015-1-31 00:29
IPTables直接无视了依然可以打(小孩不乖试过了打他来着

是不是规则没写好？
理论上限制了单IP的并发连接的话压测就失去意义了，要是用tab刷资源的形式的话，就不是压测的问题了

作者: csj3120 时间: 2015-1-31 00:33

SkyCatcher 发表于 2015-1-31 00:31
是不是规则没写好？
理论上限制了单IP的并发连接的话压测就失去意义了，要是用tab刷资源的形式的话，就不 ...

不会在后台有显示要是tab的话直接banip就没事了-.-(最后把IP封了 4个人的233

作者: manageryzy 时间: 2015-1-31 00:43

SkyCatcher 发表于 2015-1-31 00:14
模拟跑图的话，如果量不大没什么关系，量大了还不如直接登入登出来的方便……
syn攻击的话，对于MC服务器 ...

其实好多包是可以利用的，jvm那种东西效率什么的就根本不要想

作者: SkyCatcher 时间: 2015-1-31 00:44

manageryzy 发表于 2015-1-31 00:43
其实好多包是可以利用的，jvm那种东西效率什么的就根本不要想

鉴于我子服务器banip的情况下都能把我bungee打垮，我对java的效能有了深刻的体会

作者: 咸鱼气功王 时间: 2015-1-31 01:04
怎么感觉开服务器越来越难了，，，

作者: SkyCatcher 时间: 2015-1-31 22:37
今天还看到一些用握手包来尝试攻击的方式，具体信息等成功以后再来发布吧

作者: 940461793 时间: 2015-2-1 12:43
如果把md_5这个ID封禁是不是也可以起到很好的效果

作者: SkyCatcher 时间: 2015-2-1 17:08

940461793 发表于 2015-2-1 12:43
如果把md_5这个ID封禁是不是也可以起到很好的效果

bungee端没封禁选项的

作者: 940461793 时间: 2015-2-1 17:49
登陆服ban了，不久进不去了吗

作者: SkyCatcher 时间: 2015-2-1 18:01

940461793 发表于 2015-2-1 17:49
登陆服ban了，不久进不去了吗

进不去照样能耗你资源，量大了就撑不住了

作者: fh2471 时间: 2015-2-1 18:07
看看是什么东西

作者: Grandiose 时间: 2015-2-3 16:40
对每个服主而言都是个福音，防御了那些[自以为高B格！爱装逼！熊孩子！]的人们，辛苦了:3

作者: GreatGBL 时间: 2015-2-4 22:57
本帖最后由 GreatGBL 于 2015-2-4 23:05 编辑

非常感谢

前几天我的服就被“2.BC权限设置得当，管理员也删除了，但是仍然发现有人绕过了登陆插件到了子服务器取得OP权限” 这个黑了

我还找了好久原因，没有任何头绪
所有该设置的都设置了
简直要崩溃，以为真的有不可思议的能力

这么一说就明白了。。。非常感谢天空酱
国外都已经万人同服了，国内的服务器还几乎和2年前一样原地踏步，因为一些人的精力全部用在攻击上了

作者: SkyCatcher 时间: 2015-2-5 19:51
新增第7种攻击方式，这种方式是无痕攻击，建议各位还是注意一下

作者: leavessoft 时间: 2015-2-5 20:10
真的，太过分！不知道发那些程序的人是怎么想的

作者: ylmars 时间: 2015-2-6 14:28
同一IP最大连接限制多少比较合适？

作者: caoli5288 时间: 2015-2-6 23:33
你关于tabcomplete和motd漏洞蹦服的原理理解都有问题。tc漏洞那样做不算修复，攻击者稍微修改代码可以绕过，现在版本的protect通过注入到PlayerConnection对象实现了彻底封堵这个漏洞。
motd漏洞，我只能说你拿到的攻击器是手下留情，我可以给你演示一种单线程，一瞬间打蹦的方法。这个难以用插件修复，我已发布修复了这个漏洞的1.7.10服务端，修复代码也已提交给spigot社区，已commit。
修复PING/MOTD崩服漏洞的1.7.10服务端发布
http://www.mcbbs.net/thread-403578-1-1.html

作者: SkyCatcher 时间: 2015-2-6 23:49

caoli5288 发表于 2015-2-6 23:33
你关于tabcomplete和motd漏洞蹦服的原理理解都有问题。tc漏洞那样做不算修复，攻击者稍微修改代码可以绕过 ...

一瞬间打蹦不就是第七种那个ping的方式么，bungeecord和pc-proxy都能有效防御吧。用插件的据说只要让右边的ping不显示就行了，这种插件我没测试过

作者: feiyifan999 时间: 2015-2-7 07:42
我想问下那个动态motd在哪里可以找到？（水龙头官方他丫的上不去QAQ）

作者: SkyCatcher 时间: 2015-2-7 09:46

feiyifan999 发表于 2015-2-7 07:42
我想问下那个动态motd在哪里可以找到？（水龙头官方他丫的上不去QAQ）

那个我没用过，我用的是代理防御。你可以找给出的原帖作者要

作者: U1U420039 时间: 2015-2-7 14:20
我倒是有点好奇如何对付模拟玩家？是不是模拟玩家对于大锅服务器是不是基本无效？

作者: SkyCatcher 时间: 2015-2-7 14:23

U1U420039 发表于 2015-2-7 14:20
我倒是有点好奇如何对付模拟玩家？是不是模拟玩家对于大锅服务器是不是基本无效？ ...

压力测试软件模拟假人，对mod服一样的攻击

作者: DarcJC 时间: 2015-2-7 14:28
花了半个小时整理的，希望能放到本帖里
http://www.mcbbs.net/thread-404025-1-1.html

作者: SkyCatcher 时间: 2015-2-7 21:29

z25096708 发表于 2015-2-7 14:28
花了半个小时整理的，希望能放到本帖里
http://www.mcbbs.net/thread-404025-1-1.html

好的，已加

作者: cheng000 时间: 2015-2-8 00:27
最近熊孩子骤增啊，感觉好多都是源于那两个吧

作者: imoeer 时间: 2015-2-8 19:03
关于第二种里提到的1.6的时代spigot.yml里面bungeecord: true这附近还有个设置源IP的选项，我测试了1.6的bungeecord: true开启后还是可以使用ip+端口的形式连入，不知是什么情况

作者: SkyCatcher 时间: 2015-2-8 19:05

imoeer 发表于 2015-2-8 19:03
关于第二种里提到的1.6的时代spigot.yml里面bungeecord: true这附近还有个设置源IP的选项，我测试了1.6的bu ...

源IP填127.0.0.1
bungeecord这一项只是为了获取真实IP

作者: imoeer 时间: 2015-2-8 19:13

SkyCatcher 发表于 2015-2-8 19:05
源IP填127.0.0.1
bungeecord这一项只是为了获取真实IP

{:10_494:}这样的话，两台物理服务器的情况下不能用BC当前端啊

作者: SkyCatcher 时间: 2015-2-8 19:14

imoeer 发表于 2015-2-8 19:13
这样的话，两台物理服务器的情况下不能用BC当前端啊

那你填前端服务器的IP不就好了

作者: imoeer 时间: 2015-2-8 19:27

SkyCatcher 发表于 2015-2-8 19:14
那你填前端服务器的IP不就好了

这个我试验过
把server-ip修改为前端的ip，后果是子服务器无法启动。
报The exception was: java.net.BindExcption：Gannot assign requested address: bind

作者: SkyCatcher 时间: 2015-2-8 20:13

imoeer 发表于 2015-2-8 19:27
这个我试验过
把server-ip修改为前端的ip，后果是子服务器无法启动。
报The exception was: java.net.Bin ...

那就不要改server.properties，只改spigot.yml呢

作者: Byepast 时间: 2015-2-8 20:38

zhh0000zhh 发表于 2015-1-30 23:52
楼主以各种姿势表达了对网页面板/软件后台服务器的歧视。。。

不是歧视的问题……
本来面板/后台就是对一些基础指令的包装。包装有限，虽然方便了使用，自然也麻烦了进一步的管理。

作者: 852834700 时间: 2015-2-10 19:25
提示: 作者被禁止或删除内容自动屏蔽

作者: huanghongxun 时间: 2015-2-12 19:06
如果发动大量肉鸡攻击的话。。

作者: BakaSullivan 时间: 2015-2-14 01:26
版主您好，我的服务器系统是windows server 2008r2，我对防火墙软件很无知，请问您有推荐的防火墙软件吗？免费的收费的都可以

作者: SkyCatcher 时间: 2015-2-14 10:49

YURIpese 发表于 2015-2-14 01:26
版主您好，我的服务器系统是windows server 2008r2，我对防火墙软件很无知，请问您有推荐的防火墙软件吗？ ...

收费的金盾，免费的安全狗，只能抵挡假人攻击，其他类型无效

作者: BakaSullivan 时间: 2015-2-14 11:22

SkyCatcher 发表于 2015-2-14 10:49
收费的金盾，免费的安全狗，只能抵挡假人攻击，其他类型无效

像您说的限制每个IP连接数的设置我不懂，是免费的"安全狗"就可以做到还是需要收费的"金盾"呢？另外我可以加您好友请教一些问题么？

作者: SkyCatcher 时间: 2015-2-14 11:23

YURIpese 发表于 2015-2-14 11:22
像您说的限制每个IP连接数的设置我不懂，是免费的"安全狗"就可以做到还是需要收费的"金盾"呢？另外我可以 ...

那个需要linux，用iptables
不接受咨询

作者: 849588414 时间: 2015-2-14 17:36
提示: 作者被禁止或删除内容自动屏蔽

作者: SkyCatcher 时间: 2015-2-22 13:55
更新了第8点，跨服群组有被伪造IP攻击的漏洞

作者: 魁魅 时间: 2015-2-22 22:56
感觉可以总结为腐竹太懒不愿意在子服务器安装登录插件造成的

作者: SkyCatcher 时间: 2015-2-22 23:15

魁魅发表于 2015-2-22 22:56
感觉可以总结为腐竹太懒不愿意在子服务器安装登录插件造成的

那不是懒。能不安装登陆插件的才是有点技术的服务器，因为每个服务器都有登陆对玩家体验是一件非常糟糕的事情

作者: 魁魅 时间: 2015-2-22 23:39

SkyCatcher 发表于 2015-2-22 23:15
那不是懒。能不安装登陆插件的才是有点技术的服务器，因为每个服务器都有登陆对玩家体验是一件非常糟糕的 ...

{:10_492:}反正我的服务器只有主城才有登录插件即使他们到其他服也不怕
http://www.mcbbs.net/thread-413504-1-1.html
完美防御一切指令 TMI这类没有进行测试不过应该也会被防御下来

作者: SkyCatcher 时间: 2015-2-22 23:40

魁魅发表于 2015-2-22 23:39
反正我的服务器只有主城才有登录插件即使他们到其他服也不怕
http://www.mcbbs.net/thread-41 ...

你了解的东西太少，遇到以后就会明白的……

作者: 魁魅 时间: 2015-2-22 23:40

SkyCatcher 发表于 2015-2-22 23:15
那不是懒。能不安装登陆插件的才是有点技术的服务器，因为每个服务器都有登陆对玩家体验是一件非常糟糕的 ...

另外个人觉得有条件的服务器可以尝试着将服务器的数据库迁移至类似于腾讯云西部数码这类的数据库商处
不知道是不是错觉自从搬到外部以后压测各种无效包括最新的压测动态MOTD的工具

作者: SkyCatcher 时间: 2015-2-22 23:41

魁魅发表于 2015-2-22 23:40
另外个人觉得有条件的服务器可以尝试着将服务器的数据库迁移至类似于腾讯云西部数码这类的数据库商处
不 ...

没价值，不用数据库的服务器也一样的被打。
除非你服务器的CPU内存带宽之类的无上限的加……
但是即使这样做，jvm虚拟机处理速度总是有限的，服务器不卡是不可能

作者: 魁魅 时间: 2015-2-22 23:45

SkyCatcher 发表于 2015-2-22 23:41
没价值，不用数据库的服务器也一样的被打。
除非你服务器的CPU内存带宽之类的无上限的加……
但是即使这 ...

{:10_526:}不要这样打击我OAO

作者: 魁魅 时间: 2015-2-22 23:47

SkyCatcher 发表于 2015-2-22 23:41
没价值，不用数据库的服务器也一样的被打。
除非你服务器的CPU内存带宽之类的无上限的加……
但是即使这 ...

唉不过国人的素质真是没话说不想着如何把一个服务器往好里发展光把心思用在各种BUG上有些明明很好的插件就因为熊孩子不敢用非要等到出了防御插件才敢加入服务器

作者: 魁魅 时间: 2015-2-22 23:50

SkyCatcher 发表于 2015-2-22 23:40
你了解的东西太少，遇到以后就会明白的……

{:10_525:}熊孩子现在基本手段就这些压测全名OP 压测的话只能靠安全DOG这类的- -全名op貌似只能限制他使用了毕竟这个插件即使OP使用/op也是需要密码的

作者: SkyCatcher 时间: 2015-2-23 00:42

魁魅发表于 2015-2-22 23:50
熊孩子现在基本手段就这些压测全名OP 压测的话只能靠安全DOG这类的- -全名op貌似只能限制他 ...

其实安全汪对新的压测也没用的

作者: 魁魅 时间: 2015-2-23 00:48

SkyCatcher 发表于 2015-2-23 00:42
其实安全汪对新的压测也没用的

{:10_524:}金盾+冰盾+安全dog+360节点+服务器硬防+动态MOTD+指令密码

作者: SkyCatcher 时间: 2015-2-23 00:50

魁魅发表于 2015-2-23 00:48
金盾+冰盾+安全dog+360节点+服务器硬防+动态MOTD+指令密码

没用的，协议攻击的意思就是，这种算正常通讯，防火墙不会拦截

作者: 魁魅 时间: 2015-2-23 00:53

SkyCatcher 发表于 2015-2-23 00:50
没用的，协议攻击的意思就是，这种算正常通讯，防火墙不会拦截

{:10_496:}总之以后会有防御办法的

作者: 7024 时间: 2015-2-24 01:27
好顶赞，已经学习了

作者: DarcJC 时间: 2015-2-24 12:32
版主，第八条。直接的解决方法，给子服务器加装登录插件，且把某些插件的自动登录选项关闭

作者: SkyCatcher 时间: 2015-2-24 13:11

z25096708 发表于 2015-2-24 12:32
版主，第八条。直接的解决方法，给子服务器加装登录插件，且把某些插件的自动登录选项关闭 ...

这种当然对后面几条都防御了。但是这种对大型服务器来说很降低用户体验的，他们肯定是不愿意这么做

作者: DarcJC 时间: 2015-2-24 22:06

SkyCatcher 发表于 2015-2-24 13:11
这种当然对后面几条都防御了。但是这种对大型服务器来说很降低用户体验的，他们肯定是不愿意这么做 ...

也是，，，，，，，，
不过我的服务器都是全部用登录插件的。。。。。。。。。。。
我在搞一个Bungeecord的插件，想验证BC转发的来源地址。。。。
估计要到暑假....

作者: SkyCatcher 时间: 2015-2-24 23:29

z25096708 发表于 2015-2-24 22:06
也是，，，，，，，，
不过我的服务器都是全部用登录插件的。。。。。。。。。。。
我在搞一个Bungeecord ...

BC和spigot自带的功能

作者: DarcJC 时间: 2015-2-25 00:19

SkyCatcher 发表于 2015-2-24 23:29
BC和spigot自带的功能

不。。。。
我说限定一个IP，只有从这里转发过来的数据才会被接受。。。
【其实我是想通过一个握手协议来弄。。。{:10_492:}

作者: SkyCatcher 时间: 2015-2-25 12:11

z25096708 发表于 2015-2-25 00:19
不。。。。
我说限定一个IP，只有从这里转发过来的数据才会被接受。。。
【其实我是想通过一个握手协议来 ...

其实server.properies里面的ip就是这个功能……

作者: zariba 时间: 2015-2-25 15:22
认真拜读了，的确很有效。感谢lz

作者: larsan 时间: 2015-3-3 15:35
楼主辛苦！国内mc圈需要更多像楼主这样的人站出来

作者: netgamin 时间: 2015-3-18 22:33
看了你的文章，真是受益匪浅。

作者: 799371437 时间: 2015-3-20 20:43
亲测大规模压测限制同时连接数为1无效依然崩服

作者: SkyCatcher 时间: 2015-3-20 20:51

799371437 发表于 2015-3-20 20:43
亲测大规模压测限制同时连接数为1无效依然崩服

拥有足够的肉鸡的话，属于cc/ddos类型，这种就是完全正常的访问，意思就是你服务器容纳不了这么多玩家。当然得崩溃

作者: 799371437 时间: 2015-3-20 21:07

SkyCatcher 发表于 2015-3-20 20:51
拥有足够的肉鸡的话，属于cc/ddos类型，这种就是完全正常的访问，意思就是你服务器容纳不了这么多玩家。 ...

玩家首先全部掉线然后刷新服务器显示500名玩家然后双击一直登入中过一会就崩了。
bungeecord显示都是sb开头的假人而且是多线程的
反正我只开一个服务器= =bungeecord主要是起到隐藏服务器是1号端口的
干脆直接不用bungeecord了 spigot自带防护功能

作者: SkyCatcher 时间: 2015-3-20 21:11

799371437 发表于 2015-3-20 21:07
玩家首先全部掉线然后刷新服务器显示500名玩家然后双击一直登入中过一会就崩了。
bungeecord显示都是s ...

你给BC的内存过低，服务器配置不够

作者: 799371437 时间: 2015-3-21 08:19

SkyCatcher 发表于 2015-3-20 21:11
你给BC的内存过低，服务器配置不够

16g内存我只用了8G...

作者: 799371437 时间: 2015-3-21 08:21

SkyCatcher 发表于 2015-3-20 21:11
你给BC的内存过低，服务器配置不够

他一攻击就是五六百人上线，谁扛得住啊

作者: wasdwsio 时间: 2015-3-23 10:43
大大好·· 你第七条说的动态motd插件哪里有啊可以发给一个吗 1.7.2的
我的服务器就碰到这情况了老是攻击我！！！

作者: uiopwsp 时间: 2015-3-26 22:41
十分感谢！

作者: KZBBYCM 时间: 2015-3-29 20:11
请问对“IP并发限制”和“流量限制”的合理数值的区间大概是多少呢？

作者: 呵呵@yujun 时间: 2015-3-31 13:11
看到sky的名字我果断进来了

作者: SkyCatcher 时间: 2015-4-19 00:32
4.19更新，1.8.4之前版本可能被客户端发包攻击

作者: 494308843 时间: 2015-4-21 12:10
这里的数字是你必须输入多少个字母才可以启用tab补全，例如你设置为3，那么输入/tpa 这么长的命令以后再按TAB才有效，如果只是/tp 然后按TAB是不补全命令的。设置为0是关闭自动补全功能

在我服务器上  设置0  没有效果
服务器  水龙头
改为-1  才生效

作者: chenxiutao030 时间: 2015-4-29 11:06
好方法，顶一个！

作者: -3- 时间: 2015-5-17 00:10
提示: 作者被禁止或删除内容自动屏蔽

作者: 红菜头糕 时间: 2015-5-21 12:22
请问LZ租的172服务器可以换上修复的服务端吗，是网页面板/软件后台的，如果可以请教一下换的方法

作者: SkyCatcher 时间: 2015-5-21 14:16

SS菜鸟君发表于 2015-5-21 12:22
请问LZ租的172服务器可以换上修复的服务端吗，是网页面板/软件后台的，如果可以请教一下换的方法 ...

需要联系服务商，你自己是无法更换的

作者: 红菜头糕 时间: 2015-5-22 20:20

SkyCatcher 发表于 2015-5-21 14:16
需要联系服务商，你自己是无法更换的

那请问更换的话服务器文件可以得到保留吗，比如世界文件夹和插件这些

作者: SkyCatcher 时间: 2015-5-22 23:01

SS菜鸟君发表于 2015-5-22 20:20
那请问更换的话服务器文件可以得到保留吗，比如世界文件夹和插件这些

理论上没问题