Hallo Community,
ich stehe vor der Herausforderung, FiveM-Server vor DDoS-Angriffen zu schützen, und möchte meine Erkenntnisse und Schwierigkeiten mit euch teilen.
Wir haben bereits Filter für TCP und UDP implementiert, aber der Schutz vor Layer 7-Angriffen erweist sich als deutlich kniffliger als erwartet.
Um den FiveM-Server vor HTTP-Floods zu verteidigen, ist die Einrichtung eines Proxys wie Nginx unerlässlich, da es sonst nicht möglich ist, sich effektiv vor den Server zu schalten. Aktuell habe ich einen Reverse Proxy speziell für HTTP eingerichtet, und bisher scheint das gut zu funktionieren.
Bei der Analyse des Traffics mittels tcpdump ist mir aufgefallen, dass die GET-Anfragen der Spieler für "/info.json" und "/dynamic.json" über den Proxy zum Server geleitet werden. Allerdings besteht eine kritische Schwachstelle, da Anfragen an "/client" via POST direkt zur Server-IP gehen und nicht über den Proxy geroutet werden.
Trotz zahlreicher Versuche konnte ich dieses Problem bisher nicht vollständig lösen. Diese potenzielle Schwachstelle könnte nicht nur für mich, sondern auch für andere Anbieter, die DDoS-Schutz für das Spiel bereitstellen, äußerst relevant sein.
Es ist mir bewusst, dass Post-Floods seltener auftreten als Get-Floods, aber dies ändert nichts an der Problematik. Die einzige Lösung, die ich derzeit sehe, besteht darin, einen umfassenden Proxy zu nutzen, der nicht nur HTTP, sondern auch TCP und UDP über Nginx routet. Dies hat jedoch den Nachteil, dass der FiveM-Server nicht mehr die echten IPs der Spieler sieht, sondern nur noch die IP des Proxys.
Es stellt sich die Frage, ob dieses Problem bereits bekannt ist und welche Lösungen dafür existieren. Gleichzeitig hinterfrage ich die Entscheidung, bei der Entwicklung auf HTTP zu setzen, da es sich als schwer zu schützen erweist. Vielleicht wäre es sinnvoller gewesen, sich auf TCP und UDP oder sogar nur UDP zu konzentrieren. Eine alternative Überlegung könnte sein, den HTTP-Server an einen separaten Port zu binden, um den Zugriff über die Firewall auf bestimmte IPs zu beschränken.
Die Sicherung von FiveM-Servern vor DDoS-Angriffen scheint aktuell so gut wie unmöglich. Ich bin gespannt auf eure Erfahrungen und mögliche Lösungsansätze!