Minecraft(我的世界)中文论坛
标题: 1.8.4发布的真正原因
作者: lichi2050 时间: 2015-4-18 02:32
标题: 1.8.4发布的真正原因
本帖最后由 lichi2050 于 2015-4-18 18:04 编辑
嗯好,我们开始吧。 首先大家应该已经知道1.8.4发布了 (这里是1.8.4的帖子)。不过我又要和你们说一大堆的事情了。
首先我和大家说说为什么1.8.4叫做 “security-release” 即 “安全-发布” , 其实在24小时前 一个名为 ammar2 的发布了这个
(等下我会全部介绍),首先说说这位 ammar2,其实他是Bukkit和Spigot的一位开发者。2年前,他在开放时发现了一个巨大的漏洞,可以简单的将一个服务器崩溃。
由于事情的严重度,2013年7月10日他立刻通知了Mojang,希望能尽快修复这个漏洞。当时的稳定版本是1.6.2.可惜Mojang没有给予满意的回复。
- 2013年7月28日:他直接去和一位Mojang员工交流,并且详细的介绍了这个漏洞,并且将写好的代码直接证明。
- 2013年8月19日:他又通知了一遍,Mojang回复说他们目前正在修复中
- 2013年9月24日:他又尝试了一遍,可是Mojang回复说已经交给别人了
- 2013年10月25日:又尝试了一遍,可惜没有收到回复
- 2013年10月27日:同样没收到回复
ammar2 决定等待看看。
2年后(1.7和1.8大版本都出了后),他终于忍不住了,决定公开这个漏洞,“威胁”Mojang尽快修复。
漏洞介绍:
这个漏洞会直接让服务器的CPU和内存到最高值(根据情况而言),直到让服务器崩溃。原理就是Minecraft多人是一款传输数据的游戏,比如说你登录服务器的时候,服务器会把你背包内容的数据传输到你的客户端内。
Minecraft的物品生成所谓的 metadata 数据,这些会影响物品的自定义信息,这些信息都是NBT格式,和JSON差不多(这样懂的人应该多点了吧)。
给个例子吧:(一本书的NBT数据)- tag: {
- author: "ammar2",
- title: "猫",
- pages: ["猫好可爱", "我喜欢猫"]
- }
这个漏洞就是采用了这个传输系统,玩家的客户端内可以简单的创造一些简单的NBT数据(数量多+生成快),可是到了服务器那里可就难咯,因为服务器要记住的数据太多了 (而且都是垃圾数据)。
ammar2选择弄一个List数据带5层的子数据(不知道为什么粘贴代码后会乱码,所以我只好载图了,你们可以去原帖复制 )(不乱了 YEAH!!)
- rekt: {
- list: [
- list: [
- list: [
- list: [
- list: [
- list: [
- ]
- list: [
- ]
- list: [
- ]
- list: [
- ]
- ...
- ]
- ...
- ]
- ...
- ]
- ...
- ]
- ...
- ]
- ...
- }
总共有300个表列(list),每一个list拥有10个子list数据,也就是说 10^5 * 300 = 30,000,000
总共30,000,000的数据。但这不是最重要的,这些数据大概是26.6Mb大小,但是在传输的时候,数据会被压缩,大概变成39Kb,但是服务器收到数据时会解压输入,那么数据就会重新变成26.6Mb了,你想象一下服务器的CPU和内存吧。。
这个漏洞存在在Minecraft所有的版本(旧版本-1.8.3)
ammar2建议2种方式来防御这个漏洞
- 限制客户端可以传输的NBT数据数量
- 限制每一个数据的大小和形式
ammar2用Python软件创造了一个代码,你只需要玩家的帐号和密码,登录服务器后就可以启动漏洞。
代码在此:https://github.com/ammaraskar/pyCraft/tree/nbt_exploit
ammar2发布这个代码前也是深思熟虑后才公开的。毕竟他也不想这样毁了许多服务器和玩家,但是一直这样下去也不是办法,毕竟这个BUG大概也有其他人发现了吧。而且Mojang过了这么久都没修复,他认为Mojang已经不是当初的小公司了,现在Mojang的身价已经非常高了,所以这种严重的漏洞必须而且尽快被修复。
Mojang当然也非常快就发表了他的说法
他们说这个漏洞本来已经被修复了,可是在重写部分Minecraft数据时不知道怎么回来了。(0.0)
Dinnerbone说ammar2没有使用正确的程序来通知Mojang(他好像是和Grum邮件反馈的)。
Dinnerbone说是ammar2的错误。
同时Mojang直接来个紧急会议,希望在最短的时间内发布1.8.4(还真在24小时内发布了。厉害)。
所以1.8.4的更新才会叫做“security-release”。
嗯。
作者: 星E君 时间: 2015-4-18 03:06
- rekt: {
- list: [
- list: [
- list: [
- list: [
- list: [
- list: [
- ]
- list: [
- ]
- list: [
- ]
- list: [
- ]
- ...
- ]
- ...
- ]
- ...
- ]
- ...
- ]
- ...
- ]
- ...
- }
我怎么没乱码呢。。
作者: zhangcl 时间: 2015-4-18 03:10
虽然说不懂程序 但是 这个是在说 这个bug对 这个版本一下的 服务器 都有用???
作者: a8105 时间: 2015-4-18 03:25
新的攻击手段...
不知道熊孩子和正义的大触哪个先弄出来攻击/防御手段...
作者: lichi2050 时间: 2015-4-18 03:33
不知道啊。。。呜呜 (我再试试)
作者: 天端服务器 时间: 2015-4-18 06:27
提示: 作者被禁止或删除 内容自动屏蔽
作者: 练习册 时间: 2015-4-18 06:36
这种人就是一些比较好的_(:з」∠)_
誰让他们不看邮箱
作者: 鳥妖 时间: 2015-4-18 06:55
熊孩子看到这个帖子可能也看不懂
熊孩子:啥啥啥,他写的都是啥
作者: lanyusuixin 时间: 2015-4-18 07:36
Dinnerbone说ammar2没有使用正确的程序来通知Mojang(他好像是和Grum邮件反馈的)。
Dinnerbone说是ammar2的错误。
我看到这个就笑了,前面已经有回复说在修复了,结果到头来还是重新出现bug,而且过错在提交bug的人的身上……
作者: sky_Xiao_Pang 时间: 2015-4-18 07:43
我勒个去 mojang好拖......这么大的bug 虽然对mojang公司没什么太大威胁 但是对多人游戏有威胁.....【他们不要命了】{因为有官方服务器啦}
作者: rtrty 时间: 2015-4-18 07:53
真是一个大的漏洞,到现在我还不知道呢。还好之前我没开服务器,就怕这个bug呀!
作者: bffd 时间: 2015-4-18 08:12
这锅推的.....话说国内很多服都会遭殃吧,毕竟很少有能更新到1.8.4的
作者: 霸气灬小帅 时间: 2015-4-18 09:21
熊孩子肯定看不懂,因为我这个不是熊孩子的都看不懂
作者: 墨黎莫离 时间: 2015-4-18 09:28
希望所有人都看不懂,希望所有人都看不懂。因为很重要所以说两遍(尤其是熊孩子)
作者: 筱帥 时间: 2015-4-18 10:05
我直接把183的端换成184不会有问题吧
作者: 七舅姥爷 时间: 2015-4-18 10:12
这么说,1.8.4以下的服务器岂不是很危险?
作者: 苏黎世° 时间: 2015-4-18 11:21
1.8.4正式版本出来了?
作者: rongqaq 时间: 2015-4-18 11:29
真是好笑 明显是他们那的错 还说是玩家的错 这位玩家要不是发现而且告诉了他们这个大BUG 而且还坚持了这么久 就不奖励而是告诉他没有使用正确的程序来通知Mojang!?这样谁还会告诉他们什么BUG?
作者: lqx123 时间: 2015-4-18 11:32
那个..第5行的“他在开放时”是不是应该改为“他在开发时”?
作者: leaf_complex 时间: 2015-4-18 11:34
那1.8.4以前的服务器是不是得遭殃了
完了。。。希望赶快出修复插件
作者: GURU_HURU 时间: 2015-4-18 11:44
现在我们可以去毁灭服务器了666666 ←^_^→
作者: Feb26_1994 时间: 2015-4-18 11:45
ammar2/Dinnerbone"这个锅我不背 都是你的错"
作者: 可口可乐dseg 时间: 2015-4-18 11:52
我现在有了一种去黑人家服务器的感觉。。。。。。
作者: shenmadetoufa 时间: 2015-4-18 12:07
=。= 估计会有修复包吧.
作者: 北极喧嚣丶 时间: 2015-4-18 12:54
你们的世界我不懂
作者: 哈鱼 时间: 2015-4-18 13:01
熊服最新方法,虽然我看不懂╮(╯▽╰)╭
作者: officeyutong 时间: 2015-4-18 13:59
刚试了下 只对正版或没登陆插件的服有用
这个python程序会和你要正版账号和密码 然后登陆上去后进去服务器
如果是正版服的话目测进去直接崩 但是盗版服的话 登陆插件在登陆前不接受一切数据的
作者: 250=mo 时间: 2015-4-18 14:11
为什么看这类新闻我会觉得很“刺激”……
作者: 。—。 时间: 2015-4-18 14:17
难道要把demo写成客户端插件让大家去随意破坏吗...{:10_493:}
作者: 840196733mw 时间: 2015-4-18 14:22
我也认为很有可能啊,1.8除非用插件,不然op随便一条指令就可以让服务器读档了,不过1.8.4以下的可能会有插件或者别的方式修补吧
作者: 江米条 时间: 2015-4-18 14:41
orz朋友你太天真了
作者: 樱雪冰蕊 时间: 2015-4-18 14:59
看完这个帖子、我突然发现熊服务器原来是这么简单0.0
作者: huanghongxun 时间: 2015-4-18 15:09
看来还得再解压数据包的时候卡掉过大数据。。
作者: sic1 时间: 2015-4-18 15:55
这么说之前的服务器维护是在修这个么
作者: 九尾· 时间: 2015-4-18 17:07
{:10_512:}代码怎么用教教我!QAQ@lichi2050
作者: 。—。 时间: 2015-4-18 17:15
话说回来,为啥一篇[逸闻]要放在主页推荐的另一篇[版本资讯]前面呐...管理大大都这么喜欢八卦吗...
作者: ajcxsu 时间: 2015-4-18 17:18
。。。。国服遭殃的节奏QWQ那么CB服务器要灭绝了
有种MOJANG故意让CB灭绝的赶脚QWQ忽然发现了什么重要的事情
作者: chyx 时间: 2015-4-18 18:03
@kongbaiyo 这是不是就是我上次不小心用27个物品把cbl服弄蹦的原因?@乙烯_中国
作者: chyx 时间: 2015-4-18 18:08
mojang说过多次发邮件不管用
作者: Minecraftian 时间: 2015-4-18 18:31
多谢分享信息。
作者: TResult 时间: 2015-4-18 19:56
给ammar2点个赞!
作者: shxq 时间: 2015-4-18 19:59
熊孩子看到这个帖子
作者: 1572217712 时间: 2015-4-18 21:21
这些代码怎么发才是重点。。
作者: lichi2050 时间: 2015-4-18 21:39
(还是别教比较好)。。。 这样可以解救不少服务器(本来使用教程都写好了的)
作者: 九尾· 时间: 2015-4-18 21:41
{:10_512:}教教我吧!QAQ
作者: 🍞bread 时间: 2015-4-18 21:52
于是部分技术熊就开始黑以前版本的服务器
作者: pacerrecap 时间: 2015-4-18 22:05
好顶赞233333
另外Mo是Mb的法语式写法,法语中的byte叫做octet,所以是o。建议改成Mb防止大家看不懂。
作者: 1277832129 时间: 2015-4-18 22:50
本帖最后由 1277832129 于 2015-4-18 23:57 编辑
然后 其实这个在linux可以用iptable解决
Win的话 得用啥能限发包速度 大小的安全狗
有些人发现 好神奇诶 这招还能打hypixel 我虽然没试过 但是可以告诉你 你如果是在国内用这招打
由于网速慢 影响基本不大 所以hypixel基本不会管你 所以看上去才有效果 如果你发的快了 数据大了 会自动封掉ip的
作者: lichi2050 时间: 2015-4-19 01:06
已修改(法语使用惯了)没注意这细节。。。
作者: antecer 时间: 2015-4-19 09:23
尼玛,你让广大1.8.4以前的MOD服怎么活?!要是有熊孩子学会了这招,岂不是进一个崩一个?
作者: gopnik 时间: 2015-4-19 09:43
mojang也真是的,有漏洞都不修
作者: xcc 时间: 2015-4-19 10:53
服务器真是悲哀
作者: PM0203 时间: 2015-4-19 10:56
不懂~~~QWQ,
作者: Yaossg 时间: 2015-4-19 14:06
BUG_JANG一贯作风
作者: chyx 时间: 2015-4-19 16:01
更新不就好啦^_^
作者: ban.com 时间: 2015-4-19 17:31
上面说1.6.2是最稳定的版本哦!
就是说1.6.2不会被攻击?
我也想求ammar2做一个防御的插件
Mojang吧版本修改一下
要不然就是不负责
服关了可以在开?
作者: 1219378524 时间: 2015-4-19 17:33
我会告诉你我都没看懂吗。。
作者: lichi2050 时间: 2015-4-19 17:39
上面说的是 当时(也就是2年前)最稳定版本是1.6.2
作者: ban.com 时间: 2015-4-19 17:53
那就是说1.6.2不会被攻击?
作者: antecer 时间: 2015-4-19 18:39
更新了就没有那些mod了,还玩什么?
作者: tjjlb 时间: 2015-4-19 19:49
MOJANG有时效率还是好慢啊……
作者: GTH2000 时间: 2015-4-19 20:56
好像可以用bungeecord插件来解决吧
作者: tsd1 时间: 2015-4-19 21:47
熊孩子也有懂技术的
作者: 失落の灵谛 时间: 2015-4-19 23:50
我得赶快去摧毁服务器了= =
作者: chyx 时间: 2015-4-20 01:10
玩原版呵~ 有红石有cb玩不够~
作者: linkun66666 时间: 2015-4-20 08:47
服务器灭绝计划开始23333
作者: GhostAngelJQ 时间: 2015-4-20 10:29
这样多好,应该被修复!
作者: 可耐君 时间: 2015-4-20 11:05
感谢LZ,这次终于长见识了,怪不得一个视频实况主说我的世界更新到1.8.4了,原来是真的呀,非常感谢![diamond_gem]
作者: xiaopiyou 时间: 2015-4-20 14:16
那1.8.4版本之前的服务器都要被强大的小学生毁了。。
作者: yjddbf 时间: 2015-4-20 21:42
{:10_566:}现在这更新速度这么快啊
作者: 苏黎世° 时间: 2015-4-21 11:00
看不懂 - -
作者: liux135 时间: 2015-4-21 14:33
真是恐怖 估计现在那些专门收钱攻击服务器的人又有新手段攻击了
作者: qwedsaqseesq 时间: 2015-4-21 18:33
还好1.8.4修复了,不然后果真是可怕。。。
作者: 小翁の大大 时间: 2015-4-21 18:54
对了=-=我在籽岷大大视频里看到有个人说这个里面的那个提出问题的人是它朋友。。。
作者: 阿有 时间: 2015-4-21 19:35
现在还在玩 1.8的 _(:зゝ∠)_
作者: 我被盗号 时间: 2015-4-21 20:35
先收藏下
作者: 1649494165 时间: 2015-4-21 21:05
小学生表示不服 (你觉得我会告诉你我是小学生 而且还看不懂吗)
作者: 流星 时间: 2015-4-22 17:39
就好像是故事片里面一个人发现了漏洞被无视,然后变成骇客毁掉了整个系统么
作者: 或守藍冉OAO 时间: 2015-4-22 18:39
虽然有些地方看不懂,但是大致阐述的意思我还是理解了,总体来说就是垃圾数据太多,导致服务器承受不住后崩溃是吗?
作者: xiaopiyou 时间: 2015-4-22 21:57
额 好吧 你牛
作者: 灵老湿 时间: 2015-4-23 13:06
{:10_513:}
作者: 代罪羔羊 时间: 2015-4-23 14:27
这个"直接让服务器的CPU和内存到最高值(根据情况而言),直到让服务器崩溃。"这个问题到现在才找到,1.7的服务器的问题就是在这里!
作者: kunxian888 时间: 2015-4-23 16:08
这样一来盗版服务器倒是会手忙脚乱了
作者: siong2360 时间: 2015-4-23 17:44
我擦 mojang好奇怪......这么大的bug 虽然对mojang公司没什么太大威胁 但是对多人玩家有危险啊OAO!!
作者: junjun 时间: 2015-4-23 21:31
本帖最后由 junjun 于 2015-4-23 21:34 编辑
一点也不用恐慌,这个BUG极好修复,我们只要把NBT不给任何玩家使用,因为必须要玩家可以创造NBT才行(也可是背包编辑器)如果你在某些创造服务器打开背包(如果你的背包里面有大量的NBT数据)你打开背包的速度很慢这也是这个BUG的功劳,其实我也在以前发现过但并没有举报。我相信大量的玩家在1.8.4之前都知道这个BUG。
作者: 1.3806 时间: 2015-4-24 19:56
看上去很好玩
作者: 1.3806 时间: 2015-4-24 21:05
http://tieba.baidu.com/p/3715285496?pn=0&
攻击已经出来了
作者: 4one_R 时间: 2015-4-24 22:39
1.3806 发表于 2015-4-24 21:05
http://tieba.baidu.com/p/3715285496?pn=0&
攻击已经出来了
假的哈哈哈
作者: qhxnd 时间: 2015-4-24 22:58
Norch肿么了?????
作者: 1.3806 时间: 2015-4-24 23:31
Notch已经不管事了
作者: 爱笑的2003 时间: 2015-4-25 09:24
原来,,,,,,,,
作者: 琉星X 时间: 2015-4-25 10:17
完全看不懂,不过好像是什么bug
作者: Koke_Cacao 时间: 2015-4-25 11:01
这在生存模式不可能创造出这样的物品吧
作者: shunmiaoxiaolin 时间: 2015-4-25 12:35
提示: 作者被禁止或删除 内容自动屏蔽
作者: Arthas2234 时间: 2015-4-25 17:45
那1.8.4一下版本的服务端都会有问题?岂不是又要来一次类似之前MOTD Ping一样的攻击?目前有人做这个漏洞的补丁插件么?
作者: vampire1126 时间: 2015-4-26 08:19
太高端了吧我表示实在是有点看不懂,求解释233333333333333333333333333333333333333
作者: mcjava 时间: 2015-4-26 09:52
NBT数据怎么用
作者: sk89q 时间: 2015-4-26 16:02
令人发愁
作者: ufof 时间: 2015-4-26 22:45
@a20001017 这个不属于逸闻
作者: 飞灬将 时间: 2015-4-26 23:49
额 高冷的mojang....