Protégez le serveur de jeux contre les attaques DDoS

0

Je suis un vrai noob dans les "discussions de serveur".

J'exécute des serveurs de jeu sur Debian 8 mais le centre de données ne fournit pas de pare-feu physique. Je cherchais donc un moyen de protéger mes serveurs contre le ddos. J'ai bloqué tous les ports sauf le port SSH, les ports GameServer, le port FTP, le port MySQL et le port HTTP ..

J'ai également changé le port SSH, il est donc plus difficile d'attaquer mon serveur avec le port SSH

Le serveur ne renvoie le ping que lorsque je le crie sur le port GameServer, le port SSH, le port HTTP et le port FTP, les autres ports étant bloqués ou accessibles uniquement à partir de l'hôte local.

Mes questions sont:

  1. Est-il possible de masquer l'IP de mon serveur et de répertorier le serveur avec le domaine?
  2. Est-il possible d'utiliser CDN sur un serveur de jeu?
  3. Que puis-je faire pour rendre mon serveur plus protégé?
debian firewall denial-of-service DarkSuniuM
la source

Réponses:

0

Est-il possible de masquer l'IP de mon serveur et de répertorier le serveur avec le domaine?

Non . Un nom de domaine est juste un alias convivial pour une adresse IP. Essayez de taper dans une invite de commande: 

nslookup superuser.com

L'utilisation d'un nom de domaine vous évite de donner l'adresse IP exacte à vos utilisateurs, mais ne cache rien. Même si vous choisissez le serveur à partir d'un écran de sélection de serveur dans le jeu, sans voir son adresse IP ou son nom de domaine, vous pouvez obtenir l'adresse IP en analysant les paquets avec un outil tel que Wireshark.

Est-il possible d'utiliser CDN sur un serveur de jeu?

Là encore non . Un CDN correspond à un contenu statique, tel que des pages HTML ou des fichiers sources JavaScript. Ce que vous pouvez faire est d’équilibrer la charge, mais vous aurez besoin de plusieurs serveurs de jeux. En fonction de votre jeu, rien ne garantit qu’ils fonctionneront ensemble de toute façon.

Que puis-je faire pour rendre mon serveur plus protégé?

  • Choisissez un fournisseur de serveur offrant une protection contre les attaques DDoS. Je loue un serveur chez Kimsufi , ils offrent une protection gratuite contre les attaques DDoS avec tous leurs serveurs (je ne travaille pas pour eux, je ne suis qu’un de leurs clients).

  • Si le logiciel serveur dispose de protections anti-DDoS, assurez-vous qu'elles sont activées (je doute qu'un serveur de jeu en ait, mais par exemple OpenVPN en a)

  • Vous pouvez héberger votre serveur de jeu sur un VPN que vous possédez, mais cela ne fera que déplacer le problème vers le serveur VPN (qui peut toujours bénéficier de davantage de protections anti-DDoS).

  • Assurez-vous que le SSH de votre serveur est durci. Désactiver l’authentification par mot de passe (au moins pour root ) et installer un programme anti-force brute comme fail2ban. Désactivez SSH1 et assurez-vous que les clés RSA (le cas échéant) ont une longueur minimale de 2048 bits.

  • Assurez-vous que votre serveur est à jour. Couru régulièrement apt-get update et apt-get upgrade (ou l'équivalent approprié pour votre système d'exploitation).

  • Bloquez le port FTP, sauf si vous avez une application spécifique qui absolument nécessite FTP, vous pouvez utiliser SFTP pour les transferts de fichiers, qui fonctionne sur le port SSH.

  • Assurez-vous que quoi que vous fassiez avec iptables, tu le fais aussi avec ip6tables. Assurez-vous également qu'après cela, vous avez réellement enregistrer les règles:

    iptables-save & gt; /etc/iptables/rules.v4

    ip6tables-save & gt; /etc/iptables/rules.v6

(peut-être besoin d'être adapté à votre distribution)

Nathan.Eilisha Shiraini
la source
Merci pour votre réponse, mes clients sont iraniens, je dois leur fournir des serveurs à faible ping, car ils ont un mauvais ping sur tous les pays sauf l'Iran, je ne peux pas louer de serveur à Kimsufi ou ailleurs, Louer un serveur avec des ressources physiques Pare-feu et protection contre les attaques DDoS coûtent cher en Iran. La meilleure chose à faire est de définir une règle pour que le serveur Iran Access soit attaqué à chaque fois. Peux-tu me donner un lien sur OpenVPN Software Firewall? Votre réponse a été utile grâce à & lt; 3
DarkSuniuM
OpenVPN n'est pas un pare-feu, c'est un logiciel de réseau privé virtuel (VPN) - essentiellement un logiciel qui émule un réseau local sur Internet. Mauvaise idée si vos utilisateurs ont besoin d'un serveur low-ping, car il ajoute simplement la surcharge du cryptage et de l'encapsulation. Ce n'est pas facile à configurer, je vous suggère de rechercher un tutoriel sur Google si cela vous intéresse toujours. En ce qui concerne les bons pare-feu, je ne pense pas que ce soit mieux que iptables sans affecter également les performances. N'oubliez pas de bien appliquer les règles à la fois iptables et ip6tables et qu'ils sont persistés.
Nathan.Eilisha Shiraini
Je sais, j’ai utilisé le mot Pare-feu parce que vous avez dit qu’il a certaines fonctions pour faire quelque chose comme le pare-feu: D. sur iptables-save , Je n'ai pas utilisé cette commande, mais les règles que j'avais définies fonctionnaient !! Est-ce correct si je règle la limite de connexion sur toutes les adresses IP connectées? c'est possible ? et est-ce que ça m'aide?
DarkSuniuM
Vous n'avez pas besoin iptables-save à appliquer les règles, mais vous en avez besoin pour empêcher la forme de votre serveur oubli eux quand il redémarre. Quant à OpenVPN, ses protections anti-DDoS ne s’appliquent qu’à lui-même, et ajoutent à la surcharge déjà lourde du VPN.
Nathan.Eilisha Shiraini
1
La protection DDoS n'empêchera pas une attaque DDoS 100% du temps. Ainsi, votre serveur ou service peut toujours être victime d'une attaque DDoS. Si cela se produit, vous vous en occupez.
Ramhound