Обсудим Защита от бот атак

Здравствуйте обитатели rubukkit. Думаю многим интересна тема защиты сервера от бот атак. Речь идет не о плагинах включающих вайтлист или проверяющих ип на специальных сайтах. Хотел бы затронуть тему "защитного сервера". Почти на каждом популярном проекте стоит такая защита (есть платные, есть от хостинга).

Суть защиты: средствами bungeecord игрок сначало попадает на проверяющий сервер, проходит проверку и после этого перенаправляется на "главный" сервер.

В этой теме хотел бы рассмотреть такие вопросы:
1. Лучшее ядро "проверяющего сервера".
2. Наличие уже готовых и бесплатных плагинов для такого решения.
3. Лучший алгоритм проверки на "человечность".

 

1. Spigot
2. Бесплатных не видел, из платных могу посоветовать SrvGuard
3. Капча (Символы, написанные на карте нужно написать в чат), аля SrvGuard

 

1) BungeeCord
2) AnBot (вот только выкладывали)
MH-Guard
3) Алгоритм - при появлении игрока - генерируешь дорожку из красной шерсти и просишь игрока пройти по ней. Если оступается - бот, игрок спокойно проходит.
Дорожка для каждого своя, генерируется в 2 блока шириной и ведёт в портал. Ошибится не возможно, но боты будут тупить.

 

В итоге 100% ботов пройдет, а игроки промажут .

 

На днях собрал примерную защиту.
Переписал свой плагин AnBot под bungeecord. Для spigot он достаточно кривой в плане захода ( если заходит много ботов то время входа игрока очень затягивается) под bungeecord - работает отлично. На случай если боты пройдут защиту имеется капча сервер ( настроенное ядро spigot с чуть доделаным плагином на капчу (почти как на srvguard) автор xDip )). В связке работает отлично.

 

Хм, каким интересно образом они будут видеть генерируемую дорожку?

 

Только если дорожка генерируется появляется еще множество попутных проблем. К примеру заходит не один а 5-10 игроков одновременно. Ну и нагрузка которая ляжет на сервер будет не меньше чем от тех ботов.

 

Хм, логично. Но ведь с помощью ProtocolLib возможно сделать так, чтобы каждый игрок видел свои блоки. Разве нет?

 

Получим такой же эффект как и от различных orebfuscator'ов.

 

Спасибо за ответ.

 

Бот определит цвет без проблем, обсуждать тут нечего.
Пока что рулят капчи на карте и капчи картинками. Хотя идея с кнопками и картинами туфта, 40% боту нажать правильную кнопку всегда остается.
Так же рулит geoip база, отсеиваются все бесплатные и дешевые прокси для ботов.
P.s бан по ip на сервере защиты создает серьезную уязвимость. Если собрать ботнет из рашки, улетят в бан все ip провайдеров рашки.

 

А капчи из случайных блоков?

 

Проходили уже, считать блоки так же легко для бота. Особенно их палит пакет который их ставит, даже чанк читать не придется.[DOUBLEPOST=1453403699,1453403449][/DOUBLEPOST]И помимо всего нужно писать кастомное ядро на сервер защиты, ибо ядро отвалится уже при 300-500 подключениях в сек. Банжа отвалится при 1к подключениях. Особенно нагружает создание оффлайн uuid. Сяпки моджангам за это.

 

<<нужно писать кастомное ядро>> Есть туториалы или инфа об этом, можно узнать? Очень интересна тема написания кастомного ядра для приёма ботов. Искал и на наших и на зарубежных сайтах ничего толкового не находил. Или лучше копать уже говорые исходники и вырезать "мусор"?

 

Кто то пишет на жабе - кто то на питоне вообще. По сути там не сервер совсем, а прокси с передачей пакетов клиентам.

 

Не жалко. Но гораздо интереснее слелать свое)

 

Идея интересная. Но для реализации серёзной антибот защиты нужно иметь ядро, которое выдержит этих ботов. Пересмотрел кучу разнообразных решений начиная от cuberite (c++) заканчивая PartyCraft (C#). Лучше обыкновенного spigot не нашёл. Тут уже ручками придётся переписывать готовое либо с нуля писать. Инфы на эту тему очень мало и это главная проблемма.

 

Ничего там не отваливается, нагружает соединение с бекенд сервером, которое создается на каждого бота.
Защиту надо делать на стороне банжи.

На wiki.vg достаточно инфы для написания ядра.

 

Это наоборот в разы проще. (про предметы)
Мы сделали это недавно, зайдите на любой топовый сервер и посмотрите, если вам интересно
Аналог гугловской рекапчи с "выберите предметы такие как этот"

 

Да, не все так легко, как казалось пару месяцев назад. В любом случае, капча - это самое последнее на что нужно идти, когда нет идей\денег\рук. Банально потому, что порой боты ее распознают лучше, чем люди.