[問題] 線上遊戲伺服器的防火牆

作者SLS530 (。)

站內NetSecurity

標題[問題] 線上遊戲伺服器的防火牆

時間Sun Aug 10 11:15:00 2014

※ [本文轉錄自 LoL 看板 #1JvibLsv ] 作者: SLS530 (。) 看板: LoL 標題: Re: [心得] 召喚師高峰會討論內容(文長) 時間: Sun Aug 10 09:22:26 2014 ※ 引述《themostgood (themostgoodman)》之銘言： : 哈摟~大家好 : 小的有幸參予這次英雄高峰會，以下是個人抄下的筆記+個人記憶 : 有錯請指出 : 首先和大家講沒分組討論的問答 : 一.伺服器狀況/DDOS/Drophack : 2012/2 發現海外線路不穩定 : 2012/4 設置海底電纜專門海外線路 : 2012/10 TPA得冠，所以人群湧入 : 2013/3 將伺服器加入OCP，估測可以增加50%的容納玩家數量(OCP這點就有待專家解說) : 2013/9/28 開始常常有DDOS攻擊，而原本都只使用WINDOWS內建防火牆，而後來購入其他 : 防禦管道(和其他防毒軟體合作，如小雨傘之類的) 這裡透露出 LOL 伺服器的 OS 是 Windows ？！不清楚遊戲界是怎樣生態，不過追求效能的資訊公司應該不會選 Winodws 當 OS 原本只用 WINDOWS 內建防火牆，這防護等級比一般玩家還弱 Windows + 內建防火牆，難怪被人輕鬆攻擊 : 而後來也不斷添購額外防禦機制 : 共花了9062萬加量在英雄聯盟的設備上面。 : 另外伺服器設備本身並不相通用，所以並沒有因為有新代理，伺服器換過去的現象 : 而Garena的硬體事實上很少出錯(但還是有類似泡麵打翻之類的事情，他們在這邊有特別 : 說道歉，但很強調很少發生硬體出錯，大多是被攻擊) : 而至於補償，也有特別道歉，因為他們發現到一個情況就是「一補償就很有可能惡意再次 : 攻擊」一補償就很可能遭惡意再攻擊？問題不在補償只要你無法防禦，就是一直會被攻擊如果駭客有能力癱瘓伺服器，那麼補償對他們來說根本不值得一提吧！ -- -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.246.147.133 ※ 文章網址: http://www.ptt.cc/bbs/LoL/M.1407633749.A.DB9.html

推 z904612 : 內建防火牆....難怪被攻擊去年才開始投資也太扯 08/10 09:40

→ z904612 : 人潮湧入一年以上了伺服器才想到要提高防禦??? 08/10 09:41

→ Glyph : windows server跟你家用機用的windows是兩樣東西-_- 08/10 09:42

Windows Server採用圖形化介面，比起單純的命令列介面，本來就多耗費效能請問有錯嗎？

推 luckyman8078: 有請三樓開釋 08/10 09:45

噓 onlysophisca: 不一樣但是漏洞還是一堆 08/10 09:45

推 z904612 : 不一樣但是還是很好攻擊跟其他的防禦比起來 08/10 09:48

推 ZongYan : 推補償說法 08/10 09:49

→ Glyph : windows server是專門用來管理架設server的 08/10 09:49

→ Glyph : 兩者搞一起誤以為是家用的windows防火牆 08/10 09:51

→ Glyph : 然後說比一般人家裡還弱，這兩個兜不起來 08/10 09:52

→ Glyph : 再來說很好攻擊啥的，台灣一堆server用linux架的 08/10 09:52

或許 Windows server 內建防火牆很厲害？有規模的網路公司，防火牆應該都是獨立機器吧？ ※ 編輯: SLS530 (111.246.147.133), 08/10/2014 09:57:07

→ Glyph : 畢竟免費又不用遷就微軟的規範，防護力也沒好到哪 08/10 09:53

→ Glyph : 如果沒有人特別針對攻擊的話，內建的綽綽有餘 08/10 09:53

推 z904612 : G大可是都已經知道有人針對了他們處理也太慢了 08/10 09:54

→ Glyph : 有人特別搞你的話，你只能見招拆招，不停補防 08/10 09:54

→ hoe1101 : 開完高峰會晚上伺服就爆炸，我懷疑黑衣人有出席 08/10 09:55

→ hoe1101 : 高峰會 08/10 09:55

→ Glyph : 看前文已經花9000多萬了，這就跟PS4 Xbox的防盜一樣 08/10 09:56

推 z904612 : 而且似服器被攻擊頻率跟其他很多人玩得相比差太多 08/10 09:56

→ Glyph : 反正你就是陣型擺開給人家破，再補防 08/10 09:56

→ z904612 : 不被講話才怪吧伺服器品質就是讓大家感覺很爛 08/10 09:57

推 Glyph : 第一個你知道防火牆原理是啥嗎? 08/10 09:58

防火牆的作用就是管制封包的進出可能LOL以前沒人玩，所以一台機器就可以全包吧？是這樣嗎？

→ Glyph : 第二個伺服器這種規格的機器，圖形介面的效能差跟 08/10 09:59

→ Glyph : 身上一個細胞的份量差不多 08/10 09:59

那是不是有差別？還是完全沒差別？「追求效能」，就是要最好的效能，有講錯嗎？我可沒說 Windows Server 爛到不堪使用喔！ ※ 編輯: SLS530 (111.246.147.133), 08/10/2014 10:04:06

→ Glyph : 對啦9999999是比1000000000差1沒錯 08/10 10:00

推 kidincar : 有些玩家重視的就是補償 08/10 10:01

推 Glyph : 你以為那9000多萬沒有捕到防火牆機器要怎花到這錢 08/10 10:02

→ Glyph : 你隨便去找身邊認識的網路工程師，問被駭客針對攻擊 08/10 10:03

→ Glyph : 要怎防，每個都馬是皺眉頭 08/10 10:03

要完全防止DDOS基本上是無解只是過去的防護也太陽春了...這種事真的不適合說出來阿

推 MisuzuXD : 是說怎麼每個人都伺服器專家... 08/10 10:04

※ 編輯: SLS530 (111.246.147.133), 08/10/2014 10:07:00

→ Huff : 推 Glyph 08/10 10:04

→ MisuzuXD : 感覺好像出一張嘴把他們工程師當白癡一樣 08/10 10:05

→ Glyph : 我說的是摸過這塊的基本常識這東西變專家知識了? 08/10 10:05

→ MisuzuXD : 不是我不是說你... 08/10 10:05

→ Glyph : 是啊抱歉我誤會你意思 08/10 10:05

→ MisuzuXD : 我是不懂這個不過LOL是G社目前的台柱根本沒道理 08/10 10:06

→ Glyph : 我其實不想淌這渾水但是說防護比一般人還弱太過了 08/10 10:06

→ MisuzuXD : 故意擺爛吧...讓玩家觀感不好反而害到其他遊戲推廣 08/10 10:07

→ Glyph : 我朋友是pixnet跟kkbox的網路工程師我以前也跟他 08/10 10:07

→ Glyph : 學用linux架server 跟寫網頁 08/10 10:08

→ Glyph : 所以跳出來釐清一些誤區而已 08/10 10:08

→ Glyph : 這東西時序在於他們被攻擊前只用內建綽綽有餘 08/10 10:09

→ Glyph : 這點其實是ok的被攻擊後花了9000多萬補防也是在拚 08/10 10:11

→ Glyph : 但是ddos跟防衛之戰就像盜版跟防盜之戰一樣 08/10 10:11

推 MisuzuXD : 了解謝謝G大 08/10 10:12

→ Glyph : 說實在話我跟我這幾位朋友家機根本沒裝防毒軟體 08/10 10:12

→ Glyph : 確切明瞭你下載東西的來源安全性用手動防火牆監控 08/10 10:14

→ Glyph : 電腦的輸入輸出其實根本很難中毒 08/10 10:14

→ Glyph : 防護陽春真的不至於基本上可以擋下絕大部分攻擊了 08/10 10:16

推 mark0708 : 只能說會被攻擊用什麼firewall都沒用 08/10 10:16

→ Glyph : 是低樓上正解 08/10 10:17

推 SlamKai : 防不勝防見招拆招 08/10 10:17

推 neverlight : 一堆程式大師覺得用win的東西就是該死啊 08/10 10:17

→ Glyph : 這就像你被動防禦值90 90以下攻擊無效 08/10 10:17

→ Glyph : 但是遇到高於其上的你就只能用主動技能跟操作應對 08/10 10:18

→ Glyph : 但是不管怎樣挨打的一方就是吃虧只能說樹大招風 08/10 10:19

推 neverlight : 不過以g社應變速度用什麼都一樣啦 08/10 10:19

→ Glyph : 以台灣的玩家數量之大來說伺服器每多一個要付錢的 08/10 10:20

→ Glyph : 防範機制都要有覆蓋全部伺服器的規模金錢支出 08/10 10:21

推 mark0708 : 再說了 e04鍵盤手都覺得DDoS很好防 08/10 10:21

→ mark0708 : 很好防一堆paper在research什麼 08/10 10:22

推 z904612 : 玩家不爽的點是在應變速度太慢吧 08/10 10:22

→ mark0708 : 再說了你能確定你的電腦不是DDoS攻擊的一員嗎 08/10 10:22

→ mark0708 : 很多人都不知道自己的電腦成為殭屍電腦 08/10 10:22

→ mark0708 : 等到網管跟你說你才驚覺: 啊! 什麼原來我電腦中毒 08/10 10:23

→ evildark : 重點是g社連剛開機大家一起登入遊戲都能理解成ddos 08/10 10:24

推 z904612 : 達克講的也是一個問題點我也覺得這個很扯 08/10 10:26

推 Glyph : G社的確是犯蠢好幾次包括代打處理粗糙賽事出包 08/10 10:26

→ Glyph : 但是現在談的不是他們家技術部一次兩次的蠢 08/10 10:27

→ Glyph : 是G社提出的長期間與ddos的戰爭至少我有看到誠意 08/10 10:28

→ Glyph : 但是現有讓我不滿的是代打根本摸透你行政規則 08/10 10:28

→ Glyph : 你的抓代打根本抓不到大尾的永ban無啥惡意的小玩家 08/10 10:29

→ Glyph : 之後自己戰隊便宜行事那你怎對得起便宜行事的玩家 08/10 10:30

推 z904612 : 看現在工作室和代打這麼興盛就知道根本沒抓到大支的 08/10 10:30

→ Glyph : 對玩家要求比自家戰隊還嚴那不如大赦天下 08/10 10:31

→ Glyph : 還有就是綁競時通聊聊但優化有夠糟 08/10 10:31

→ Glyph : 聊聊吃效能競時通根本沒針對win8.1優化 08/10 10:32

→ Glyph : 我剛升8.1時狂lag 狂lag 最後查一下才知道是競時通 08/10 10:32

→ Glyph : g社工程師在os釋出新版本時根本沒有應對 08/10 10:33

→ Glyph : 最後還是用手動加批次檔解決那一般玩家怎辦? 08/10 10:34

→ evildark : 鄉民知道的g社會不知道?只是那些太熟又太大尾不敢動 08/10 10:45

推 Glyph : 比起大尾我覺得根本就是朋友情面過不去了... 08/10 10:46

→ Glyph : 代打的如果都是台灣高端玩家而G社長期耕耘電競 08/10 10:46

→ Glyph : 接觸的也都是台灣高端玩家台灣高端多少人而已 08/10 10:47

→ Glyph : 再加上朋友的朋友關係網一路牽扯出去 08/10 10:48

→ yeh19921026 : 原po已經臉腫到強制中離了 08/10 10:48

→ Glyph : 我只能為不過是給兄弟姊妹或朋友用一下帳號被ban的 08/10 10:49

→ Glyph : 人抱不平... 08/10 10:49

→ yeh19921026 : 你再說下去他就刪文了人家只是想裝一下懂 08/10 10:51

→ Sweet83921 : 人家google點皮毛想秀被G大打臉惹 08/10 10:52

遊戲公司伺服器只用 Winodws 內建防火牆運作一年以上去問一下資安相關從業人員看看是不是貽笑大方，再來打我臉吧！ ※ 編輯: SLS530 (111.246.147.133), 08/10/2014 10:55:28

→ liltwnboiz : Glyph: 兩者搞一起誤以為是家用的windows <------- 08/10 10:57

推 Glyph : 喔可是那一年lol除了不停加開server負荷流量外 08/10 10:57

→ Glyph : 可以問問版眾s2大家的回憶有現在的不爽嗎 08/10 10:58

→ Glyph : 而遭受攻擊後不停加購花了9000多萬的現在又如何 08/10 10:59

→ Glyph : 而且樓上版友拉回重點了 08/10 11:00

如果 Windows server 內建防火牆是個正確決定那為何還需要花9000多萬加購防護？我沒有否定G社後來的努力 G社最初的防護很弱，而且還是他們自己爆出來的不懂你辯護的理由是什麼？G社從頭到尾都沒錯？ ※ 編輯: SLS530 (111.246.147.133), 08/10/2014 11:06:17

→ Glyph : 我一開始只想說的是不要張飛打岳飛兩碼子事混談 08/10 11:01

推 Glyph : http://www.coctec.com/subject/about/203239.html 08/10 11:03

推 pb1370 : G大你打人家臉輕點，我怕你手痛 08/10 11:03

→ Glyph : 隨便google一篇server防範的相關注意 08/10 11:03

→ Glyph : 我要跟你說的是server包括網管管機器的 08/10 11:05

→ Glyph : 是用手動監測掃描注意內部有無偷渡程式等保護的 08/10 11:06

→ Glyph : 我前面就說了我自己根本沒用防毒軟體用內建防火牆 08/10 11:07

→ Glyph : 跟監測軟體而已我也沒中過啥毒 G社說只用sever內建 08/10 11:08

→ Glyph : 的防火牆你以為它們技術部就只要掛著程式像你桌機 08/10 11:09

→ m567745m : 效果怎樣有目共睹 08/10 11:09

→ Glyph : 一樣掛個防毒就維護資安喔? 我跟你說基本上除非是系 08/10 11:09

→ Glyph : 統上重大漏洞，基本上server軟體提供的保護措施 08/10 11:11

→ Glyph : 加上熟手操作可以處理大部分的網路問題了 08/10 11:11

→ Glyph : 但是遇到針對性的攻擊再怎麼防範都是痛成本無上綱 08/10 11:13

→ sunen : 喔喔喔上八掛惹多久會被刪 08/10 11:13

推 QKMAI : 一般來說防火牆只負責擋IP和Port,所以一般都是 08/10 11:13

→ QKMAI : 預設只允許特定ip和port的,但如果應用程式需要 08/10 11:14

→ QKMAI : 像sql的1433或vnc的5900等等,因為需要而開啟時 08/10 11:14

※ 發信站: 批踢踢實業坊(ptt.cc) ※ 轉錄者: SLS530 (111.246.147.133), 08/10/2014 11:15:00

→ asdfghjklasd: 找到爛SI跟爛IT ,我是有玩AVA的 08/12 01:03

推 nightfall988: 推G大~ 08/12 10:30

推 chenghuan47: 說真的DDoS這問題真的無解 08/13 19:53

→ chenghuan47: 加強防火牆設備掛掉的是防火牆 08/13 19:53

→ chenghuan47: 就只能加強設備效能了 08/13 19:53

→ chenghuan47: 但現在DDoS問題爆開一堆屁孩找軟體來DDoS 08/13 19:54

→ chenghuan47: 建議Garena把曾經發動攻擊的IP永久封鎖吧 08/13 19:54

→ chenghuan47: 至於用Windows Server我是沒什麼意見 08/13 19:55

→ chenghuan47: 用Windows Server的不外乎是不會用Linux 08/13 19:55

→ chenghuan47: 我自己管的Server一台Windows Server 2008R2 08/13 19:55

→ chenghuan47: 另外一台是FreeBSD 應該是我還不太會用 08/13 19:56

→ chenghuan47: Windows Server比較好設定會用桌面板的都會用 08/13 19:56

→ chenghuan47: 但是如果要論效能的話 Linux完勝 08/13 19:57

→ chenghuan47: 如果熟悉Linux 同樣配備 Linux效能也比較好 08/13 19:57

推 asdfghjklasd: 誰跟你說擋DDoS只能用Firewall?????? 08/14 01:46