LimboAPI - Виртуальные сервера для Velocity! 1.1.0

[hevav]

hevav добавил(а) новый ресурс:

ElytraProxy - Прокси-сервер основанный на Velocity, со встроенной авторизацией и защитой от ботов

ElytraProxy

You must be registered for see links

Сверхкастомизированный Minecraft прокси-сервер основанный на Velocity, со встроенной авторизацией и защитой от ботов...

Узнать больше об этом ресурсе...

 

[Xezard]

Сам я эту прокси в действии не смотрел, но хочу предупредить наперёд всех пользователей - пробежался глазами по некоторым патчам, в некоторых из них имеются ссылки на личные проекты автора которые отображаются / выводятся игрокам. Если хотите использовать на продакшене без изменений - учитывайте этот момент.

Ну и антибот система, конечно, превосходная:

Вам необходимо зарегистрироваться для просмотра изображений-вложений

 

[BlackBaroness]

1. Метрика заменена на неадекватную, с рекламой своего проекта

Вам необходимо зарегистрироваться для просмотра изображений-вложений

2. Авторизация на уровне Moon, в целом. Используется тяжелый и не эффективный алгоритм хеширования (это к Moon не относится, они не знают о существовании хеша), но вот кэширование данных сделано хорошо

Немного непонятно, для кого сделан этот форк. Потому что делать форк и первым делом менять во всём коде название на своё, писать за вечер свою авторизацию, супер простой антибот и при этом позиционировать это, как ультра прокси нового поколения... И при этом ещё и прописывать в метрике, чтобы у каждого сервера было 9999999 игроков, 99999999 серверов и "чекай мать" архитектура

Не представляю себе человека, который будет использовать этот рекламный билборд

Из плюсов - база данных интересно сделана, но без возможности настроить аргументы. На этом, наверное, всё

 

[hevav]

Ну и антибот система, конечно, превосходная

супер простой антибот

1) В Aegis есть примерно такое же
2) В последних патчах вынесли запрещенные никнеймы в конфиг, скоро отсортируем патчи
3) Также имеется Captcha, Falling Check, проверка пакетов ClientSettings и MC|Brand

В некоторых из них имеются ссылки на личные проекты автора которые отображаются / выводятся игрокам.

Имеется только ссылка на GitHub на VirtualServer и информация в команде /elytraproxy. Примените все патчи и посмотрите сами.

Вам необходимо зарегистрироваться для просмотра изображений-вложений

1. Метрика заменена на неадекватную, с рекламой своего проекта

И при этом ещё и прописывать в метрике

Данный патч тоже был перезаписан другим, на данный момент в метрике id ElytraProxy. Сейчас я объединил патчи связанные с метрикой, скоро отсортируем и остальные.

2. Авторизация на уровне Moon, в целом. Используется тяжелый и не эффективный алгоритм хеширования (это к Moon не относится, они не знают о существовании хеша), но вот кэширование данных сделано хорошо

BCrypt самый эффективный алгоритм хеширования что я видел. Тяжелый - согласен, но брутить данный хеш сложнее всего. То что тяжелый - не имеет значения, если есть защита от ботов.

Немного непонятно, для кого сделан этот форк

Я еще не видел публичных форков Velocity с антибот системой

 

[BlackBaroness]

BCrypt самый эффективный алгоритм хеширования. Тяжелый - согласен, но брутить данный хеш сложнее всего. То что тяжелый - не имеет значения, если есть защита от ботов.

Вам стоит изучить эту тему получше и выяснить, что BCrypt слишком мало исследован, чтобы о таком утверждать. Если цель - защититься от брута тяжелым алгоритмом, лучше взглянуть на PBKDF2, если уж совсем жестить - scrypt

BCrypt очень популярен в кругах, далёких от темы криптографии. Почему - непонятно, ведь он сейчас практически нигде не используется. Да, он раньше был стандартом в утилите crypt в Linux, например. Только вот эта утилита давно уже считается устаревшей и небезопасной. Blowfish, который использует BCrypt, устарел (сейчас актуален Twofish), поэтому все слова о его надёжности можно считать лишь мифом.

Ну а кто разбирается в теме, не использует алгоритмы выше и фанаты таких прелестей как Whirlpool или BLAKE2B

Я еще не видел публичных форков Velocity с антибот системой

Если ваша основная фишка - антибот, то, возможно, стоит сконцентрироваться на ней. Антибот штука полезная, занять место на рынке опенсурса нетрудно, если сделать её хорошо

 

[SiMmiMo]

Защита от ботов через Falling Check, Captcha и проверку пакетов ClientSettings + MC|Brand

Это все давно есть на рынке, что-то новое нужно придумывать, если пилить уж.

 

[hevav]

Это все давно есть на рынке, что-то новое нужно придумывать, если пилить уж.

В ElytraProxy защита от ботов жрет меньше всего CPU при атаке. Таблицу с тестами и с информацией чем тестировал я оставил в посте.
Также в этом прокси Falling Check идет с рандомными координатами, в отличие от банжи славика.
Ну и не стоит забывать что это не форк BungeeCord, а форк Velocity

Авто объединение сообщений: 27 Июл 2021

Насколько я помню, Славик начинал переписывать свой ботфильтр под Velocity.

Да, однако на данный момент его Velocity-BotFilter поддерживает максимальную версию только 1.17, может только спавнить на виртуальном сервере, и в нем не работает конфиг .
Я взял некоторые его наработки виртуального сервера себе в прокси, немного поправил (убрал PreparedPacket, ибо по факту он нифига не кеширует, по любому клонировать ByteBuf приходится; сделал VirtualSessionHandler для удобства) и в целом сделал чтобы оно работало. (написал FallingCheckHandler, BotFilterSessionHandler, и AuthSessionHandler которые extends VirtualSessionHandler)

Авто объединение сообщений: 27 Июл 2021

лучше взглянуть на PBKDF2, если уж совсем жестить - scrypt

да..

tl;dr bcrypt is better than PBKDF2 because PBKDF2 can be better accelerated with GPUs. As such, PBKDF2 is easier to brute force offline with consumer hardware. srcypt tried to address bcrypt's shortcommings, but didn't succeed all the way. Argon2 is too new to tell.

 

[SiMmiMo]

Я, кстати, Славику давно предлагал добавить к защите возможность банить на уровне машины через ipset.
Там при входящих пакетах (хоть миллион в секунду с разных айпишников и миллиону в "бане" в сете) нагрузка будет около 0% и не будет спама в логи.

 

[hevav]

Я, кстати, Славику давно предлагал добавить к защите возможность банить на уровне машины через ipset.

Видел такое в Aegis, планировал такое сделать в ElytraProxy, но забыл..
Скоро сделаем

 

[BlackBaroness]

да..

PBKDF2 используется повсеместно. BCrypt... Где он используется? В пакетах линукса, которые уже не используются?
В источнике, на который ты ссылаешься, Томас написал:

Why bcrypt is not optimally secure

The bcrypt authors were working in 1999. At that time, the threat was custom

You must be registered for see links

with very low gate counts. Times have changed; now, the sophisticated attacker will use big FPGA, and the newer models (e.g. the Virtex from Xilinx) have embedded RAM blocks, which allow them to implement Blowfish and bcrypt very efficiently. Bcrypt needs only 4 kB of fast RAM. While bcrypt does a decent job at making life difficult for a GPU-enhanced attacker, it does little against a FPGA-wielding attacker.

This prompted Colin Percival to invent

You must be registered for see links

in 2009; this is a bcrypt-like function which requires much more RAM. This is still a new design (only two years) and nowhere nearly as widespread as bcrypt; I deem it too new to be recommended on a general basis. But its career should be followed.

What NIST recommends

NIST has issued Special Publication SP 800-132 on the subject of storing hashed passwords. Basically they recommend PBKDF2. This does not mean that they deem bcrypt insecure; they say nothing at all about bcrypt. It just means that NIST deems PBKDF2 "secure enough" (and it certainly is much better than a simple hash !).

Ну и нельзя забывать, что брут будет простым на любом алгоритме, это зависит только от пароля игрока. Пароль 1111 будет пробручен, как бы он не хешировался. Это займёт несколько секунд на любом компьютере. Даже если BCrypt будет собираться целую секунду, я могу перебрать его по словарям за пару дней, это если не брать машину. А в словарях ненадёжные пароли как раз и есть

Поэтому имеет смысл предпринимать меры по предотвращению брутфорса, использованию слабых паролей и самого слива БД (это уже не на совести разработчика, об этом должен думать админ). И тем временем использовать хорошо изученные алгоритмы, не имеющие коллизий и устойчивые к атакам разного рода. Даже SHA1 (правда, коллизии в нём есть) с длинным и сложным паролем будут ОЧЕНЬ долго перебираться.

23 февраля 2017 года специалисты из

You must be registered for see links

и

You must be registered for see links

объявили о практическом взломе алгоритма, опубликовав 2

You must be registered for see links

-файла с одинаковой контрольной суммой SHA-1. Это потребовало перебора 9 × 10¹⁸ вариантов, что заняло бы 110 лет на 1

You must be registered for see links

.

You must be registered for see links

Я не пытаюсь сказать, что BCrypt ненадёжен. Но я считаю, что о нём слишком мало информации, чтобы говорить о том, что он лучше всех

 

[hevav]

Я не пытаюсь сказать, что BCrypt ненадёжен. Но я считаю, что о нём слишком мало информации, чтобы говорить о том, что он лучше всех

Не понимаю причину твоего недовольства моим продуктом. Еще больше не понимаю после того как увидел что у тебя в группе ВК пентест через и пишется.

Спойлер: =)

Вам необходимо зарегистрироваться для просмотра изображений-вложений

 

[BlackBaroness]

ВК пентест через и пишется.

пентестер написал, сейчас поправлю

Не понимаю причину твоего недовольства моим продуктом

Речь не о тебе и не о продукте, я не занимаюсь хейтом. Просто дискуссия по поводу этого алгоритма, не более

 

[Xezard]

PBKDF2 используется повсеместно. BCrypt... Где он используется? В пакетах линукса, которые уже не используются?
В источнике, на который ты ссылаешься, Томас написал:



Ну и нельзя забывать, что брут будет простым на любом алгоритме, это зависит только от пароля игрока. Пароль 1111 будет пробручен, как бы он не хешировался. Это займёт несколько секунд на любом компьютере. Даже если BCrypt будет собираться целую секунду, я могу перебрать его по словарям за пару дней, это если не брать машину. А в словарях ненадёжные пароли как раз и есть

Поэтому имеет смысл предпринимать меры по предотвращению брутфорса, использованию слабых паролей и самого слива БД (это уже не на совести разработчика, об этом должен думать админ). И тем временем использовать хорошо изученные алгоритмы, не имеющие коллизий и устойчивые к атакам разного рода. Даже SHA1 (правда, коллизии в нём есть) с длинным и сложным паролем будут ОЧЕНЬ долго перебираться.



Я не пытаюсь сказать, что BCrypt ненадёжен. Но я считаю, что о нём слишком мало информации, чтобы говорить о том, что он лучше всех

О каком там переборе идёт речь, не подскажешь? Банальное использование соли отсекает возможность подбора пароля через радужные таблицы.

 

[BlackBaroness]

О каком там переборе идёт речь, не подскажешь? Банальное использование соли отсекает возможность подбора пароля через радужные таблицы.

Атака по радужным таблицам шла бы быстрее, естественно. Но я имею ввиду просто обычное хеширование словаря. Точно так же, как когда сервер проверяет валидность пароля

 

[Xezard]

Да и причём тут используется алгоритм "везде" или используется "не везде".
Это твой личный показатель качества алгоритма, или как?
BCrypt используют многие CMS при шифрования паролей пользователей, когда речь заходит о том, чтобы связать серверную часть и сайт, например.

Да и аргумент вида "гугл разработчики обошли алгоритм используя свои мощности" весьма сомнителен (касательно SHA-1), учитывая в какой сфере ведётся данное обсуждение.

Но я имею ввиду просто обычное хеширование словаря. Точно так же, как когда сервер проверяет валидность пароля

Отлично, вот мы и выяснили что баронес готовит пароли без соли.

 

[BlackBaroness]

Отлично, вот мы и выяснили что баронес готовит пароли без соли.

Мы не решаем за пользователей, использовать соль или нет. Но по умолчанию Double Salted Tiger 128

Вам необходимо зарегистрироваться для просмотра изображений-вложений

Да и аргумент вида "гугл разработчики обошли алгоритм используя свои мощности" весьма сомнителен (касательно SHA-1), учитывая в какой сфере ведётся данное обсуждение.

Ну так это была просто цитата, показывающая, что даже обычные алгоритмы сложные

Авто объединение сообщений: 27 Июл 2021

Это твой личный показатель качества алгоритма, или как?

Если нужно оценить алгоритм, важно иметь информацию о его криптоанализе. Какие исследования проводились, какие атаки были придуманы и какие из них оказались дельными.
Я читаю о Whirlpool и узнаю, какие атаки есть и реальны ли они вообще. О BCrypt информации гораздо меньше
Если у тебя есть, я с радостью изучу, мне самому было бы интересно узнать что-то новое

 

[hevav]

Я читаю о Whirlpool и узнаю, какие атаки есть и реальны ли они вообще. О BCrypt информации гораздо меньше

Ненавижу теорию. Люблю практику. Whirlpool подбирается примерно в 18888 раз быстрее (кстати, красивое число)

Вам необходимо зарегистрироваться для просмотра изображений-вложений

 

[BlackBaroness]

Ненавижу теорию. Люблю практику. Whirlpool подбирается примерно в 18888 раз быстрее (кстати, красивое число)

Я знаю. У меня есть даже JHM бенчмарк для алгоритмов хеширования. Долгий и сложный алгоритм понятное дело, что будет перебираться медленнее

Только вот даже на Bcrypt, судя по твоему бенчмарку, словарь на 1 миллион паролей перебрать раз плюнуть. Поэтому, как я и говорил выше, защитит от перебора только сложный пароль

 

[hevav]

Поэтому, как я и говорил выше, защитит от перебора только сложный пароль

Вот только 472MH/s на Whirlpool достаточно чтобы перебрать все возможные восьмизначные пароли A-Za-z0-9 всего за 128 часов

JHM бенчмарк

А на каком сервере с авторизацией будет хотя бы 1000 заходов в секунду?

 

[BlackBaroness]

Вот только 472MH/s на Whirlpool достаточно чтобы перебрать все возможные восьмизначные пароли A-Za-z0-9 всего за 128 часов

Добавь туда соль и второй Whirlpool, после чего скорость упадёт уже вдвое

Если цель - долгий алгоритм, всегда можно использовать scrypt, его даже сам Томас Порнин похвалил (ещё Argon2 подойдёт)