Blog do Craban sobre DDoS (Atualizado em: 25/09)

[The Lockdown]

Como já disseram, não é segredo pra NINGUÉM quem é q ta nukando o server...

TODA vez, TODA vez (sem exceções) que o pau na lomba do Brutinho tenta invadir um servidor começam os kicks... Quem conhece o histórico do cara sabe do que eu to falando, tá mais do que claro que ele é um dos (senão o principal) responsável por esses kicks, mas reportar pra cip sem provas não adianta nada, pelo menos foi isso que constou até agora.

Esses dias aí Elera ficou sem kicks o dia todo... E quando o pessoal foi fazer warzone, e tava td mundo na sala do primeiro boss, kick... Morreu qse td mundo, foram poucos os que se salvaram, não existe coincidência maior.

[Ignus]

Vou tentar lhe explicar da melhor forma na visão de um atacante e de um atacado, um ataque DDoS é sim um ataque impossível de se resolver totalmente, ora e vc pode perguntar e porque os outros jogos conseguiram combate-lo? Eu lhe respondo que é porque eles aumentaram o uplink (conexão de internet, banda seja como vc chame) acima do uplink das máquinas que estão atacando-o, isso junto com outras medidas acabam mitigando um ataque DDoS, não a outra solução.

Nós estamos falando de coisas distintas, mas eu entendi o seu ponto, na realidade eu nem conheço essas ferramentas de DDoS, o que eu sempre achei é que DDoS por flooding você não resolve sempre aumentando a banda. E nesse caso específico do Tibia eu não acho que seja assim não. Você aumenta a banda e resolve quando o seu problema é pequeno, mas com a quantidade de nego hoje seguindo essa galera imbecil eu duvido que o número de zombies seja pequeno. Pra ilustrar, quando eu ainda era consultor de soluções na Embratel o Bradesco era meu cliente e sofria centenas de ataques DDoS pra derrubarem o ibr e nunca teve aumento de banda, a solução era sempre por bloqueio de zombies por parte nossa e contratação de empresas de segurança por parte deles, os caras trabalhavam direto conosco, ligando pedindo informações de programação da fibra dedicada e tal.

Sobre essa parte eu lhe explico que uma ferramenta de ataque DDoS pode ser programada para ser usada certa porcentagem de conexão, se vc não ataca o servidor da Cipsoft com 100% de banda, logo vc não tem sucesso no ataque devido seu uplink ser menor do que o do seu alvo (Servidor Cipsoft). Se vc possui 10 máquinas (estou falando de um número bem baixo) e tem 70 alvos para atacar (70 devido a ser 70 e poucos mundos), ou vc direciona todos os ataques a um único alvo ou não tem efetividade seus ataques e vc não tem sucesso. E vc pergunta, e porque não tem sucesso se atacar os 70 alvos de uma vez? Porque uma máquina sozinha não derruba o seu alvo, é necessário todas outras reforçando, por isso o nome DDoS com, quando se usa apenas uma máquina se chama DoS. E porque não posso pegar todas as 10 máquinas que eu tenho e atacar todos os 70 IP de uma vez? Porque quando se ataca um alvo vc usa toda a banda, se vc configurar para atacar com menos banda vc não tem efetividade pelo motivo que já foi citado acima.

Na realidade o meu ponto é que ele tem tantos zombies atacando, que ter 1~40 ips pra direcionar o ataque não muda nada porque a eficiência é a mesma, olha a quantidade de nego bobo que "segue" esses imbecis.

[LuKa$]

@Ignus

Bradesco, Embratel não são em tempo real e pode ser usadas soluções simples como um cache no próprio servidor, pesquise sobre Varnish e o que ele faz.

Pesquise sobre Camadas OSI e vc vai entender que o ataque que está sendo feito na Cipsoft não é nessa camada na qual vc está se referindo, defender um ataque DDoS em um site é muito mais simples e não requer aumento de banda em alguns casos, em um jogo real time é muito mais dificil porque não se pode aplicar um Varnish por exemplo.

Pense em um ataque DDoS que está sendo feito na Cipsoft como "briga de conexão", quem tem mais vence.

Vou mostrar aqui a tabela de Camadas OSI, quando um ataque é feito a um site é feito na camada 7, em um servidor em tempo real é na camada 4.

[Akuma Nikaido]

Nós estamos falando de coisas distintas, mas eu entendi o seu ponto, na realidade eu nem conheço essas ferramentas de DDoS, o que eu sempre achei é que DDoS por flooding você não resolve sempre aumentando a banda. E nesse caso específico do Tibia eu não acho que seja assim não. Você aumenta a banda e resolve quando o seu problema é pequeno, mas com a quantidade de nego hoje seguindo essa galera imbecil eu duvido que o número de zombies seja pequeno. Pra ilustrar, quando eu ainda era consultor de soluções na Embratel o Bradesco era meu cliente e sofria centenas de ataques DDoS pra derrubarem o ibr e nunca teve aumento de banda, a solução era sempre por bloqueio de zombies por parte nossa e contratação de empresas de segurança por parte deles, os caras trabalhavam direto conosco, ligando pedindo informações de programação da fibra dedicada e tal.



Na realidade o meu ponto é que ele tem tantos zombies atacando, que ter 1~40 ips pra direcionar o ataque não muda nada porque a eficiência é a mesma, olha a quantidade de nego bobo que "segue" esses imbecis.

Ignus, já que tu trabalhou nessa área, será que pode me tirar uma dúvida?

A CIP chegando a descobrir mesmo os responsáveis pelos ataques, e eles sendo brasileiros, há alguma lei que ela possa aplicar pra poder punir legamente os responsáveis? ou só dentro do jogo mesmo?

[Ignus]

@Ignus

Bradesco, Embratel não são em tempo real e pode ser usadas soluções simples como um cache no próprio servidor, pesquise sobre Varnish e o que ele faz.

Pesquise sobre Camadas OSI e vc vai entender que o ataque que está sendo feito na Cipsoft não é nessa camada na qual vc está se referindo, defender um ataque DDoS em um site é muito mais simples e não requer aumento de banda em alguns casos, em um jogo real time é muito mais dificil porque não se pode aplicar um Varnish por exemplo.

Pense em um ataque DDoS que está sendo feito na Cipsoft como "briga de conexão", quem tem mais vence.

Não sei como pode ser muito mais complexo, até consigo entender um pouco o que você coloca, mas é que pra mim a prática parecia muito simples, eles atacavam alguma porta com answer request até dar flood nas respostas e o servidor cair por falta de banda pra manter a conexão dos players e ao mesmo tempo responder os zombies.

É que o meu ponto nisso tudo é a tecnologia de identificação dos botnets e zombies, eu acho que essa é a forma mais adequada pra lidar com o DDoS, muito mais cara, mas é mais adequada imo

Ignus, já que tu trabalhou nessa área, será que pode me tirar uma dúvida?

A CIP chegando a descobrir mesmo os responsáveis pelos ataques, e eles sendo brasileiros, há alguma lei que ela possa aplicar pra poder punir legamente os responsáveis? ou só dentro do jogo mesmo?

É mais pra advogado essa pergunta ehauhueauha, mas eu nunca vi ninguém sendo preso, deve ter alguma lei sobre crimes digitais, mas não é específica, tenta explicar pra 1 juiz de 60 anos o que é um ataque DDoS rsrs, e eu também duvido que tenha alguma efetividade, a PF que é quem na teoria tem mais condições de investigar esse tipo de coisa, infelizmente, ainda não tem tecnologia pra produzir provas apontando X ou Y como autores do crime.

[LuKa$]

Não sei como pode ser muito mais complexo, até consigo entender um pouco o que você coloca, mas é que pra mim a prática parecia muito simples, eles atacavam alguma porta com answer request até dar flood nas respostas e o servidor cair por falta de banda pra manter a conexão dos players e ao mesmo tempo responder os zombies.

Isso, mas no caso de um site, quem "transborda de requests (requisições)" é o apache, nginx, ou o servidor web que estiver suportando a aplicação e não necessariamente a conexão. (Caso syn flood)

No caso de um ataque em servidores com tempo real não há um servidor web desse tipo por trás, porque não é um site. Então quem se "inunda" é o próprio serviço.

Há diversos tipos, há ataques que atacam protocolos especificos, há ataques que forjam sua origem e fazem uma requisição e o alvo fica tentando responder algo que não existe até se inundar e "negar serviço", centenas.

[thiago alves]

Na realidade distribuir um mundo por vários servidores é uma forma de dificultar (e bem) a ação dos atacantes... Não é à toa que as grandes franquias (ele citou as duas maiores) utilizam esse método pra minimizar os impactos dos ataques DDoS.

Também não vi o Craban isentando a CipSoft da culpa. Afinal, eles esperaram a merda acontecer para só então correr atrás do prejuízo. Um plano de modernização da estrutura interna do jogo já deveria existir mesmo que não existissem ataques.

Por outro lado, não posso me esquecer que a CipSoft não é tão grande assim e precisa dosar mais seus recursos (humanos e materiais) em seus projetos...

Olha cara concordo em partes seu que a empresa enfrenta seus problemas e entendo, mas o que me incomoda é a falta de respeito com o consumidor.

1° com esta historia de double xp que só favorece botter e quem passa o dia todo jogando quem joga eventualmente e PAGA para isso acaba sendo duplamente prejudicado, até gostei desta historia do scroll com double xp, mas o minimo que um consumidor exige quando compra um produto "defeituoso" é o ressarcimento ou seja 10 dias de ataques = a mais 10 dias de premium para os consumidores

2° Para bem do tibia seria muito bom o fim dos botter e todos sabemos que da para se acabar com eles pequenas atualizações diárias eu disse PEQUENAS já resolveria o problema, agora ficar dando mass ban em 10% dos botter isso não conta pq cada botter deve ter umas 20 accs

EU GOSTARIA DE SER MAIS BEM TRATADO PELA POR ESTA EMPRESA POIS SOU CLIENTE PAGANTE DELES A MAIS DE 8 ANOS ME SINTO DESRESPEITADO TODO DIA QUE LOGO!!!!!

[LuKa$]

http://www.flogao.com.br/brutinhoelera/144407230

Flog do cara que estão acusando de ser o responsável pelos ataques.

Taiiky é o nome do char do tal de "brutinho", acho que esse video aqui prova que é ele mesmo que está fazendo isso tibiacast:recording:994382 basta jogar isso no navegador e assistir.

[Sir Begin]

Vou tentar lhe explicar da melhor forma na visão de um atacante e de um atacado, um ataque DDoS é sim um ataque impossível de se resolver totalmente, ora e vc pode perguntar e porque os outros jogos conseguiram combate-lo? Eu lhe respondo que é porque eles aumentaram o uplink (conexão de internet, banda seja como vc chame) acima do uplink das máquinas que estão atacando-o, isso junto com outras medidas acabam mitigando um ataque DDoS, não há outra solução.



Sobre essa parte eu lhe explico que uma ferramenta de ataque DDoS pode ser programada para ser usada certa porcentagem de conexão, se vc não ataca o servidor da Cipsoft com 100% de banda, logo vc não tem sucesso no ataque devido seu uplink ser menor do que o do seu alvo (Servidor Cipsoft). Se vc possui 10 máquinas (estou falando de um número bem baixo) e tem 70 alvos para atacar (70 devido a ser 70 e poucos mundos), ou vc direciona todos os ataques a um único alvo ou não tem efetividade nos seus ataques e vc não tem sucesso. E vc pergunta, e porque não tem sucesso se atacar os 70 alvos de uma vez? Porque uma máquina sozinha não derruba o seu alvo, é necessário todas outras reforçando, por isso o nome DDoS, quando se usa apenas uma máquina se chama DoS. E porque não posso pegar todas as 10 máquinas que eu tenho e atacar todos os 70 IP de uma vez? Porque quando se ataca um alvo vc usa toda a banda, se vc configurar para atacar com menos banda vc não tem efetividade pelo motivo que já foi citado acima.

É possível derrubar um servidor apenas com uma máquina mas se deve ter uma maior conexão do que o servidor atacado o que é impossível (nesse caso) porque no caso da Cipsoft deve se rodar no minimo a uns 6 - 10 GB de uplink, somando isso a 70 e poucos servidor a 6 GB cada, teriamos o maior ataque DDoS da história da Internet ocorrendo, o que não está acontecendo.. por isso a necessidade de várias máquinas auxiliando no ataque para na junção de todas acabar tendo um uplink maior.

O que empresas de hosting anunciam sobre "proteção contra ataques DDoS" é porque eles redirecionam o seu trafego de dados quando toma um ataque para um servidor com um uplink altissimo, mesmo assim se o ataque forma acima do uplink do servidor da empresa de hosting, ele acaba sofrendo a sobrecarga de conexão.

Distribuir os servidores em diversos hosts é a solução para acabar com os mass kicks de todos mundos ao mesmo tempo para sempre, o que pode acontecer é um kick em um mundo especifico, mas já melhoraria muito.

Pelo que entendi, eles estão atacando as rotas, por isso derrubam "varios" servidores ao mesmo tempo. Não sei se, mesmo aumentando o numero de servidores (sendo um para cada action ou lugar do mapa), isso iria alterar algo... Ao meu ver, aumentar o numero de servidores não alteraria

[LuKa$]

Pelo que entendi, eles estão atacando as rotas, por isso derrubam "varios" servidores ao mesmo tempo. Não sei se, mesmo aumentando o numero de servidores (sendo um para cada action ou lugar do mapa), isso iria alterar algo... Ao meu ver, aumentar o numero de servidores não alteraria

No caso de atacarem as rotas, se forem vários servidores em diferentes localidades seriam vários rotas diferentes, atualmente todos os servidores USA e os Europeus, cada um passa pelas mesmas rotas, o USA em uma, e Europeu em outra, se derrubar a rota dos USA, cai todos mundos USA, e dos Europeus a mesma coisa.

Não estou falando de aumentar um servidor para cada ação dentro do jogo, e sim para pegar um mundo por exemplo Antica e transferir para o hosting A, pegar o mundo Aldora e transferir para o hosting B e assim por diante.