Dlaczego u nas to tak wygląda a nie inaczej :)
Jak nazwa tematu wskazuje, będzie to coś w rodzaju lekcji, informacji, a także przestrogi dla wszystkich graczy serwerów
( w tym głównie MTA ).
Na wstępie zaznaczam, iż będę posługiwał się różnymi źródłami i informacje nie mają na celu nikogo obrazić
bądź też zdyskredytować.
Najczęściej gracze naszego serwera MTA pytają o kwestie zabezpieczeń, adresu IP, o sprawach sieciowych itd.
Niestety, nie wierzą oni, że to nasza sieć w odróżnieniu od wielu innych posiada wiele praktycznych i rozsądnych rozwiązać, a to wszystko dzięki doświadczonej kadry administratorskiej.
I. Dlaczego każdy serwer posiada inny adres IP? Nie lepiej na jednym?
Odp. Zgadza się, że dla Was graczy byłoby to praktyczniejsze, ale od strony administratorskiej - nie.
Wyobraźmy sobie sytuację. Mamy właśnie kilka serwerów na tym samym IP, ale o różnych portach:
191.67.23.52:27015
191.67.23.52:27016, 2017 itd....
Jak wcześniej wspomniałem, graczom łatwiej będzie taki adres IP serwera zapamiętać, tym bardziej, jeśli kilka serwerów podoba się i gracz zamierza je dodać do ulubionych. Niestety, w kwestii technicznej w pojedynkę na samoistnym dedyku nie ma szansy się to obronić. Jedynie, jeśli oferta w hostingu / serwerowni zabezpiecza dokładnie Twoją maszynę lub też wykupisz pakiet anty-ddos, który kosztuje sporo!
A wyobraźmy sobie sytuacje, kiedy serwery mają różne, indywidualne adresy IP i stoją na różnych maszynach. To już jest bardziej skomplikowane dla potencjalnego hackera, gdyż w takiej sytuacji może ucierpieć tylko jeden ( albo dwa serwery ) przez, np. 5-15 minut. A w sytuacji, kiedy wszystkie serwery są na tym samym IP, to wszystkie będą cierpieć. Jest to wtedy większy stres dla właściciela takich serwerów, a co więcej dla graczy, którzy nie zagrają na ulubionym serwerze.
---
Kilkanaście miesięcy temu Valve wprowadziło dla serwerów CS:GO tokeny GLST. Jeszcze wcześniej przed tokenami był system blokad danych adresów IP, gdzie wykrywało zabronione modyfikacje, np. plugin na kosy czy też skiny broni. Była to ogromna bolączka nie tylko dla właścicieli hostingów, ale i również serwerów.
Pamiętam sytuację, kiedy z naszego IP korzystało kilka serwerów. Wystarczyło, że jeden z nich o innym porcie miał zabronione modyfikacje i szlag trafiał całe IP. Stąd musieliśmy zmieniać adres IP serwera TP: http://fragujemy.com/topic/32141-blokada-adresacji-serwera-tp-csgo/
Dzięki tokenom GLST, tylko dany token przypisany do konkretnego serwera jest banowany. Wygodniejsze, prawda?
Takie rozwiązanie, gdzie jest jedno IP, a różne porty wykorzystywane jest głównie na serwerach MMORG, czyli np. metin2. Każdy kanał ( ch1, ch2, ch3... ) ma to samo IP, ale różne porty. I ma to sens, bo dzięki temu łatwiej jest konfigurować, np. czat globalny. I nie ma sensu na każdy kanał używać innego adresu IP, bo i tak wszystko stoi na jednym adresie IP ( client ). Więc w razie ataku, leży cały metin właściciela.
Podsumowując: dzięki różnym, ale indywidualnym adresom IP, czyli takim, gdzie dany adres jest używany tylko przez jeden serwer, mamy gwarancję, że podczas ataku DDoS obejmie on tylko cząstkę, kawałek naszej społeczności, a nie całość. Ma to tylko praktyczne rozwiązanie w grach MMORG typu metin2.
II. Dlaczego nie korzystacie z jednego dedyka dla wszystkich serwerów? Lepiej by się opłacało.
Odp. Tak, koszty byłyby niższe, ale to znowu nierozsądna polityka.
Z racji tego, iż staramy się świadczyć usługi na wysokim poziomie, potrzebna jest stabilność i ciągłość w działaniu całego systemu. Jeśli na dedyku postawilibyśmy:
serwery gier
ts3
sklep
stronę WWW ( forum )
inne dodatki
tak znowu wracamy do punktu wyjścia: wszystko będzie leżeć. Takie rozwiązanie stosuje nasza konkurencja MTA: niceshot.eu.
Trzeba się zastanowić: czy tam jest aby na pewno bezpiecznie? Teraz tak, później przy większej rotacji graczy niestety nie.
Sieć Fragujemy.com ma tak duże zaplecze graczy i popularność, którą zyskała sobie na przestrzeni lat, że ataki na nasze serwery są na porządku dziennym. Taka sytuacja nie ma do końca miejsca na wspominanym przeze mnie niceshot.eu, bo gdyby tak było to już dawno wszystkie serwery byłyby wyłączone!
Podsumowanie: okazuje się, że praktycznie więcej dopłacimy do serwera dedykowanego, bo jeśli stawiamy na jakość to niestety będzie trzeba zakupić maszynę specjalną pod serwery i forum. Nie licząc konfiguracji kernela, od którego zależy również wszystko ( zabezpieczenia, parametry, stabilność itd. ).
III. Dlaczego u nas jest bezpieczniej, a nie u konkurencji?
Odp. Dlatego, że my wiemy co robimy dzięki doświadczeniu!
Konkurencja postawiła praktycznie wszystko w jednym DataCenter ( jest to Poznań - dedyk w hostingu biznes-host.pl, który ma własną serwerownie ). My z kolei mamy niektóre dodatki w różnych lokalizacjach, np.:
serwery cs 1.6 / csgo ( PL - eTOP / ATMAN )
serwer TS3 ATMAN ( PL - VPS + inny hosting )
serwer MTA ( Francja - OVH )
WWW ( PL - inny hosting )
Serwer TS3 jest jedną z najbardziej atakowanych aplikacji w Europie. Dlatego wiele hostingów albo się specjalizuje w ofertach serwerów głosowych albo wiedzą, na co się porywają i mają doświadczenie. Konkurencja jak wspomniałem, ma wszystko na wierzchu i wygodniej, bo mogą sterować wszystkim za pomocą jednego panelu. Ale z bezpieczeństwem nie ma to nic wspólnego!
Konkurencja stawia również na tym samym dedyku serwery CS:GO i MTA - to jest bardzo nierozsądne z uwagi na to, że serwery CS:GO powinny być na oddzielnej powierzchni. Serwer CS:GO powinien mieć cały rdzeń fizyczny przeznaczony dla siebie! Nie można zatem stawiać na nim dwóch serwerów CS:GO by tylko upchać miejsce... A co jak zabraknie mocy procesora dla CSGO? Tym bardziej, że Valve nie postarało się i nie wprowadziło dla serwerów CS:GO wielowątkowości. Dlatego na wielu serwerach CS:GO skacze niemiłosiernie VAR, bo serwer generuje takie obciążenie, że nie ma skąd pobrać zasobów...
Tak samo jest w kwestii MTA. Tym bardziej, jeśli rozmawiamy tutaj o DayZ, który jest totalnie kiepską modyfikacją. Przy refreshu itemów zużycie procesora sięga nawet 150% rdzenia. Oczywiście można zrobić tak, aby nie generowało tyle obciążenia, lecz będzie się to wiązało z tym, że odświeżanie itemów będzie trwać nawet do 10 minut bez wiedzy graczy. I takie prawdopodobnie wprowadzimy...
Podsumowując: konkurencja zapchała dedyk serwerami CS:GO, MTA i TS3, a to skutkuje ogólnym pogorszeniem jakości serwerów. Na razie tego nie widać, gdyż większość serwerów nie generuje jeszcze takiego obciążenia z racji niskiej frekwencji. Ale co będzie, jak wszystkie serwery skoczą w rankingu albo Valve wyda aktualizację CS:GO, która podniesie ( tak jak rok temu ) obciążenie serwerów o 20%? To czysty overselling, którego my trzymamy się z dala.
PS. Aby serwery CS:GO ze 128 TR były bardzo dobrej jakości, obciążenie maszyny nie może przekraczać zaledwie 30-35%. Dlatego mamy 2 serwery w ofercie PREMIUM ( DD2 i DEATHMATCH ) i jest zdecydowana różnica w jakości gry!
IV. Podsumowanie.
Za ochronę przed atakami odpowiada w głównej mierze serwerownia ( atman, eTOP, greendata, Śląsk Data Center itd... ). W obecnej chwili Polskę nie stać na to, aby stosować takie metody zabezpieczeń przed DDoS jak na zachodzie. Wiąże się to z tym, że np. trzymanie serwerów TS3 w polskich serwerowniach mija się z celem. Chociaż istnieje jeden hosting, który jakoś daje radę - Hosteam ( własnie tutaj mamy swojego VPS i na nim postawiony TS3 ). I widać, że mają coraz to gorsze problemy z utrzymaniem jakości, a wszystko przez serwerownię ATMAN, która boryka się z wieloma problemami...
Obecnie znane są głównie dwie metody obrony przed takimi atakami w Polsce:
a) Filtrowanie - próba wygaszenia ataku lub też odcięcia danego łącza i zastąpienia tego dodatkowym łączem
b) Blackholing - metoda polega na wygaszaniu adresu IP ( staje się on niewidoczny głównie dla zagranicznych graczy )
Oba sposoby są stosowane również w biznes-host, gdzie dedyka ma szanowna, wspomniana przeze mnie, konkurencja. Niestety, poziom tych zabezpieczeń w porównaniu z, np. eTOP czy ATMAN jest jeszcze gorsze. Przekonaliśmy się o tym sami na własnej skórze pod koniec grudnia ubiegłego roku ( http://fragujemy.com/topic/35016-kilka-s%C5%82%C3%B3w-o-ostatnich-wydarzeniach/ ). Nie ma tam żadnej gwarancji, że atak DDoS zostanie zatrzymany... Klient dostanie po dupie na hostingu współdzielonym, dlatego biznes-host proponuje przejście na VPS. Dlatego czeka nas konfiguracja iptables ( blokowanie konkretnych adresów IP ). Po przejściu na VPS inni klienci nie ucierpią, ale Ty za to masz się sam martwić o zabezpieczenie swojej usługi - idealna polityka hostingu i jednocześnie serwerowni, prawda?.. Pół żartem pół serio pisząc....
Dlaczego zdecydowaliśmy się na MTA we Francji? Dlatego, że poziom zabezpieczeń OVH jest wysoki. Zanim atak dojdzie na nasz serwer MTA to może zostać "wygaśnięty" w czasie lub skumulowany w chmurze. Należy pamiętać, że OVH posiada również 70% łączy za granicą, więc łatwiej im sterować takimi atakami ( wpływ na to również ma Telia, ale o tym później ).
Podsumowując: masz u nasz gwarancję, że systemy ochronne naszych serwerów są skuteczniejsze dzięki serwerowniom. W razie ataku, tylko niewielka część naszej społeczności może ucierpieć.
PS. Szanowna konkurencja nawet dla strony WWW nie korzysta z https://www.cloudflare.com/. Dzięki temu dana strona WWW jest ukryta za chmurą, co za tym idzie potencjalny atakujący nie zna rzeczywistego adresu IP strony WWW. Wystarczy, że odpalicie cmd i wpiszecie tracert niceshot.eu i macie rzeczywiste IP.
[ UWAGA! ]
Broń Boże nie zachęcam Was do atakowania konkurencji czy też jej dyskredytowania.
Wszelkie tego typu zabiegi będą przez nas surowo karane.
Jeśli macie również jakieś pytania do nas, kierujcie śmiało :)
Pozdrawiam
