iT邦幫忙

1

請問如何針對UDP Flooder 2.00這個DDoS攻擊工具建立防火牆規則嗎?

  • 分享至 

  • xImage

各位達人好!
我們所玩的遊戲被中國犯罪者使用UDP Flooder 2.00這個DDoS攻擊工具,長期對亞洲伺服器發動攻擊,經過多年的追查終於知道他們是用什麼軟體來發動攻擊的,只是伺服器供應商已經是被攻擊到只剩下一口氣在那邊苟延殘喘,對於如何設定防火牆規則是很難去做積極的應對,請問有高手能夠分享如何針對這個軟體進行防火牆規則的設定嗎?
感激不盡!

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

0
cmwang
iT邦大師 1 級 ‧ 2019-12-27 18:18:40

UDP先天上的弱點就是很難防止IP Spoofing,除非來源端ISP就把Src address不屬於自己所發出的UDP封包濾掉,不然一進了Internet,其他ISP是很難濾掉這類封包的(因為要付出的代價不低,又收不到$$,那誰會自願做慈善事業啊)....

7
Ray
iT邦大神 1 級 ‧ 2019-12-27 23:17:20

錢掏出來就擋住了啊....

Layer 3/4 的 Flooding 只要在 Server IP 前端加一層 CDN 或是流量清洗, 很容易就可以濾掉, 跟 Layer 7 Application DDoS 相比, 這已經算是簡單防禦的事情了; 問題只在於: 你付多少錢給 CDN 或清洗業者? 付的錢不夠多, 他們就不願意幫你洗那麼多惡意流量.....What is a UDP flood attack?

擋 DDoS 的原則永遠是「決戰境外」, 在 IP Transit upstream 那關就要濾掉, 不要讓惡意流量進入你們的線路頻寬內, 一旦進來了, 甚麼神都擋不住....遇到 Flooding 攻擊, 調你們自己的防火牆是沒用的, 要想辦法在上游就過濾掉, 所以, 你們的上游是誰?....Advanced DDoS Protection

你們知道自己被打多大的流量嗎? 來源是哪裡? 頻率是多快? 封包型態是甚麼? 如果連這個都不知道的話, 代表負責維運伺服器的團隊失職, 沒有掌握到正確資訊....流量估不出來, 相對也估不出成本, 當然不知道該花多少錢才擋得住....(看看人家遇到難題時, 掌握多少資訊: Backend 台灣 (Backend Tw))

看看最新的 DDoS 即時攻擊地圖吧!!
全世界到處都在被打, 只有你們擋不住?
Digital Attack MapTop daily DDoS attacks worldwide
Kaspersky: CYBERTHREAT REAL-TIME MAP
NETSCOUT Cyber Threat Horizon

如果自己搞不定, 趕快花錢找資安專家進場來幫忙, DDoS 最終就是在比誰的資金多? 誰的技術有創意? 錢夠多, 撐得夠久, 才能存活下來...
Arbor DDoS Protection
Anti-DDoS protection

為何人家被打 200Gbps 流量還可以存活?
https://ithelp.ithome.com.tw/upload/images/20191227/20026603RETYxBK30o.png
被打 150Gbps 也可以活:
https://ithelp.ithome.com.tw/upload/images/20191227/20026603AvEepO0AYh.png
破 800Gbps 照樣活下來:
https://ithelp.ithome.com.tw/upload/images/20191227/20026603KuhyW98tsu.png

對岸連 1.2Tbps 都能擋下來, 人家怎麼辦到的? 你們比他慘嗎?
实战分享:如何成功防护1.2T国内已知最大流量DDoS攻击
(它們連攻擊型態的比例都可以分析出來, 你們有誰去分析嗎?)

人家維運團隊自建 ELK 來分析防火牆的 Log, 你們有沒有?
https://ithelp.ithome.com.tw/upload/images/20191227/200266033ymByjpsG7.png
以上這些, 都是擔任 Infra 和 Security 維運的團隊要負責處理的, 遊戲商除了寫程式的攻城獅之外, 負責 Infra/Security 的團隊在哪裡?

這個已經不是程式設計師的專業範疇了, 會寫程式的人不見得懂深度的網路和安全協定, 需要另一種專業人士來處理: 要不就是自建 Infra 維運團隊, 要不就是買別人的維運團隊, 或是買別人的維運服務, 才有足夠的專業知識來解決這些問題...軍火買不夠, 怎麼跟人打仗?

(不要問我有沒有不花錢就可以解決的辦法?..........就是沒有...)

看更多先前的回應...收起先前的回應...

這個回答中肯到我都感動流淚了/images/emoticon/emoticon02.gif
可惜的是一堆中小企業的老闆連「防毒軟體」都捨不得花,這筆防護費用,願意付的又有多少呢?/images/emoticon/emoticon67.gif

gpxjordan iT邦新手 5 級 ‧ 2019-12-30 12:18:47 檢舉

請讓我把這件事情的來龍去脈用最簡單的方式來說明清楚,發生狀況的遊戲名稱為:戰地風雲4,但全球排名伺服器的業務是外包給第三方伺服器供應商,亞洲最主要的伺服器供應商為i3D.NET這間歐盟公司,透過玩家自費租用伺服器來維持各區域伺服器的運作。

但是EA在開發網站的時候犯了一個關鍵性的錯誤,就只是為了要實現透過網頁來啟動遊戲的目標,他們寫了一個把所有伺服器資訊,都能透過瀏覽器的[檢視原始碼]直接查詢,就算伺服器供應商的主機的IP位址,都有設定IP反查,但是在EA那邊還是必須要填寫真實的IP位址跟通訊埠,造成無法躲避的情況。

對於消費型的伺服器,我認為主機商能夠付出多大的成本在防護這塊,畢竟在這3年來他們一直受到大規模的DDoS攻擊,只能說該死的共匪,就只是一群透過網頁來惡作劇的小屁孩,就算花了半小時變更通訊埠,大概也撐不了幾個小時就被再次鎖定攻擊了。

相對的其他兩款沒有使用網頁端的遊戲,就沒發生這樣的問題,這算是落井下石的情況,所以看能不能手動設定防火牆規則來盡量避免了。

Ray iT邦大神 1 級 ‧ 2019-12-30 14:09:38 檢舉

請讓我把這件事情的來龍去脈用最簡單的方式來說明清楚:

目前所有 Internet 的通訊, 都是依賴 IP 來完成的, 即便網頁上沒有寫出 IP, 他的底層還是要被換算出 IP 才能啟動通訊. 所以, 任何的遊戲, 不管是不是網頁型的, 我們一定都可以抓出他的伺服器 IP....

只需要在遊戲進行中, 輸入這個 Windows 指令, 我們就能知道哪隻程式正在跟哪一個 IP 通訊:

netstat -nb

你自己應該親自動手試試看上面的指令....不需要學會微積分/量子物理/解剖學/六法全書, 一位有 10 歲以上智力的人, 會輸入上面 11 個字母, 就能夠輕鬆看到目前連線中的遊戲伺服器 IP 位址....

你以為把 IP 從網頁上藏起來, 別人就找不到嗎?

問題不在能不能被人找出 IP, 因為大家都知道: IP 一定會被找到, Google, Facebook, Line....世界最大的遊戲商, 所有 IP 都可以被找出來....

他們根本不怕 IP 被找到, 為什麼只有你這個遊戲會怕?

gpxjordan iT邦新手 5 級 ‧ 2019-12-30 22:07:46 檢舉

我必須要說,這是跟方便性有關,當他們不需要太高程度的網路技巧,只要在瀏覽器,按下右鍵選擇[檢視原始碼]就能直接搜尋,哪需要輸入指令?

事實上,您所提供的指令無法直接查詢正確的伺服器IP資訊,這些反而是直接在網頁上就能搜尋到的,我也必須承認說有其他工具,也能夠查詢連線的IP位址跟通訊埠。

但是有一個大前提,就是必須要自己加入伺服器來取得,請注意一個關鍵重點,目前的情況是連登入都不需要登入就能直接查詢,這樣的責任問題是在EA而不是在伺服器供應商。

我也可以負責任的說,只要我想要攻擊,我也可以輕易的對戰地風雲V的亞洲伺服器發動DDoS攻擊殭屍程式,只要搭配我所說的網路IP位址跟通訊埠查詢工具,還有UDP Flooder 2.00這個DDoS攻擊工具。

但是這個容易帶來風險,因為這代表我必須要用我的帳號,直接去登入伺服器跟查詢IP位址和通訊埠,並且發動DDoS攻擊,根據目前和主機商的確認UDP Flooder 2.00只需要一台電腦一個IP位址,就能夠發動DDoS攻擊。

但是能夠讓他使用的帳號肯定是有限的,就算被攻擊也能夠變更通訊埠躲一段時間,而不是馬上又被發現,可是目前的情況是連重度智障的白癡,都有辦法發動DDoS攻擊,為什麼要用這麼高明的技巧,來幫大陸的犯罪者說話?

我只能說這個遊戲在中國是非法的,就算在中國也沒辦法得到法律協助,也不能成為這些傢伙發動DDoS攻擊的正當性,更不能因為沒有錢去購買流量清洗的防護,就當作是主機商要被責怪的理由,畢竟每個月2000多的租金,要他們負擔多少防護的成本?

如果沒有辦法針對特定軟體進行防護措施,就當作我從來沒有提過這件事,這只是會讓我看清EA這間公司,只會把協力廠商當作是犧牲品一樣看待,設計不該存在的網站,只會收取伺服器軟體授權費,將所有責任全部推給協力廠商,自己卻撇得一乾二淨,讓人感到不恥而已。

可是目前的情況是連重度智障的白癡,都有辦法發動DDoS攻擊⋯」,如果連重度白癡都可以輕易攻入,那你們的系統是紙糊的嗎?/images/emoticon/emoticon52.gif
既然你都說明在對岸是非法的,而你又解決不了問題,指引你ㄧ條明路「解決不了問題,那就解決非法公司吧!」
最近博弈公司抄很凶,警察杯杯年底缺業績!

gpxjordan iT邦新手 5 級 ‧ 2020-01-08 11:29:35 檢舉

如果你搞不清楚狀況,請你閉嘴!

  1. Battlelog網站是由EA所設計的,因此主機商跟伺服器擁有者沒有人可以變更這個網站的程式碼,所以當你在批評「如果連重度白癡都可以輕易攻入,那你們的系統是紙糊的嗎?」我必須要告訴你,這個跟主機商無關。

  2. 戰地風雲4在中國是非法遊戲的論點,就單純只是政治因素跟沒有辦法在中國登記註冊才造成的結果,這是中國單方面的認定,這跟亞洲甚至是其他國家的法律無關,更不用說在其他國家都是合法的遊戲。

  3. 所謂的紙糊系統,我希望你們這些只會冷嘲熱諷的,能夠使用同樣的工具去攻擊戰地風雲5的亞洲伺服器,來觀察看看在相同的設定下能不能幹掉戰地風雲5的伺服器,你們再來告訴我什麼是紙糊的標準?

追根究柢,還不就是方便性所造成的結果,落井下石好玩嗎?

小財神 站方管理人員 ‧ 2020-01-08 12:11:09 檢舉

Hi,

請大家理性發言唷!

我要發表回答

立即登入回答