Netty - 如何抵御 DDOS？

Question

Netty - 如何抵御 DDOS？

dry*_*ygu 5 java sockets ddos game-development netty

我使用 netty 4.1 作为 MMORPG 游戏的 NIO 套接字服务器。它多年来一直运行良好，但最近我们遭受了 DDOS 攻击。我为此奋斗了很长时间，但目前，我对如何改进它没有更多的想法。Ddoser 正在通过来自世界各地数千个 IP 的新连接发送垃圾邮件。在网络层面上很难切断它，因为攻击看起来与普通玩家非常相似。与 HTTP 服务器上的攻击相比，攻击并不是很大，但足以使我们的游戏崩溃。

我如何使用netty：

public void startServer() {

    bossGroup = new NioEventLoopGroup(1);
    workerGroup = new NioEventLoopGroup();

    try {
        int timeout = (Settings.SOCKET_TIMEOUT*1000);
        bootstrap = new ServerBootstrap();

        int bufferSize = 65536;
        bootstrap.group(bossGroup, workerGroup)
                .channel(NioServerSocketChannel.class)
                .childOption(ChannelOption.SO_KEEPALIVE, true)
                .childOption(ChannelOption.SO_TIMEOUT, timeout)
                .childOption(ChannelOption.SO_RCVBUF, bufferSize)
                .childOption(ChannelOption.SO_SNDBUF, bufferSize)
                .handler(new LoggingHandler(LogLevel.INFO))
                .childHandler(new CustomInitalizer(sslCtx));


        ChannelFuture bind = bootstrap.bind(DrServerAdmin.port);
        bossChannel = bind.sync();

    } catch (InterruptedException e) {
        e.printStackTrace();
    } finally {
        bossGroup.shutdownGracefully();
        workerGroup.shutdownGracefully();
    }
}

Run Code Online (Sandbox Code Playgroud)

初始化器：

public class CustomInitalizer extends ChannelInitializer<SocketChannel> {

    public static  DefaultEventExecutorGroup normalGroup = new DefaultEventExecutorGroup(16);
    public static  DefaultEventExecutorGroup loginGroup = new DefaultEventExecutorGroup(8);
    public static  DefaultEventExecutorGroup commandsGroup = new DefaultEventExecutorGroup(4);

    private final SslContext sslCtx;

    public CustomInitalizer(SslContext sslCtx) {
        this.sslCtx = sslCtx;
    }

    @Override
    public void initChannel(SocketChannel ch) throws Exception {
        ChannelPipeline pipeline = ch.pipeline();

        if (sslCtx != null) {
            pipeline.addLast(sslCtx.newHandler(ch.alloc()));
        }

        pipeline.addLast(new CustomFirewall()); //it is AbstractRemoteAddressFilter<InetSocketAddress>
        int limit = 32768;        
        pipeline.addLast(new DelimiterBasedFrameDecoder(limit, Delimiters.nulDelimiter()));
        pipeline.addLast("decoder", new StringDecoder(CharsetUtil.UTF_8));
        pipeline.addLast("encoder", new StringEncoder(CharsetUtil.UTF_8));

        pipeline.addLast(new CustomReadTimeoutHandler(Settings.SOCKET_TIMEOUT));

        int id = DrServerNetty.getDrServer().getIdClient();
        CustomHandler normalHandler = new CustomHandler();
        FlashClientNetty client = new FlashClientNetty(normalHandler,id);
        normalHandler.setClient(client);

        pipeline.addLast(normalGroup,"normalHandler",normalHandler);

        CustomLoginHandler loginHandler = new CustomLoginHandler(client);
        pipeline.addLast(loginGroup,"loginHandler",loginHandler);


        CustomCommandsHandler commandsHandler = new CustomCommandsHandler(loginHandler.client);
        pipeline.addLast(commandsGroup, "commandsHandler", commandsHandler);

    }
}

Run Code Online (Sandbox Code Playgroud)

我使用了 5 个组：

bootstrap bossGroup - 用于新连接
bootstrap workerGroup - 用于传递消息
正常组 - 对于大多数消息
loginGroup - 用于繁重的登录过程
命令组 - 用于一些繁重的逻辑

我正在监视新连接和消息的数量，以便我可以立即查明是否存在攻击。在攻击期间，我不再接受新连接：我在自定义防火墙（ AbstractRemoteAddressFilter ）中返回 false。

protected boolean accept(ChannelHandlerContext ctx, InetSocketAddress remoteAddress) throws Exception {
    if(ddosDetected())
       return false;
    else
        return true;
}

Run Code Online (Sandbox Code Playgroud)

但即使我立即断开新连接，我的工作组也变得超载。工作组的待处理任务（所有其他组都很好）正在增长，这导致普通玩家的通信时间越来越长，最后，他们被套接字超时踢掉。我不知道为什么会发生这种情况。在服务器正常使用期间，最繁忙的组是登录组和普通组。在网络级别服务器上是好的 - 它仅使用其带宽限制的 10% 左右。攻击期间 CPU 和 RAM 使用率也不是很高。但在这样的攻击几分钟后，我的所有玩家都被踢出了游戏，并且无法再连接。

有没有更好的方法可以立即断开所有传入连接并保护已连接的用户？

Answer 1

Nor*_*rer 1

我认为您需要通过例如 iptables 在内核级别“修复此问题”。否则，您只能在接受连接后关闭连接，这在这种情况下听起来不够好。

归档时间：	7 年，2 月前
查看次数：	1237 次
最近记录：	7 年，2 月前