Ochrona domowego serwera Minecraft przed DDoS: pełny poradnik

Dlaczego domowy serwer to cel

Powiedzmy sobie szczerze. Jeśli twój serwer Minecraft kręci się w domu na starym PC albo dedykowanej maszynce pod biurkiem, jesteś w strefie ryzyka dużo bardziej niż ten, kto wynajmuje VDS za 10 zł.

Powód jest prosty: twoje domowe IP to twój prawdziwy adres w internecie. Nie adres data center z filtracją 1 Tbit/s, ale adres, za którym stoi twój router, komputer, smart TV i telefony całej rodziny.

Domowy kanał to zwykle 100-500 Mbit/s. Żeby go położyć atakiem DDoS, wystarczy strumień 200-300 Mbit/s. To generuje każdy darmowy stresser. A twój dostawca nie będzie filtrował ruchu, łatwiej mu zablokować cię na czas ataku, niż rozkminiać.

Główne zagrożenie: pod uderzeniem cały dom

Wielu myśli: 'No padnie serwer, zrestartuję'. Nie. Gdy DDoS idzie na twoje domowe IP, pada WSZYSTKO. Wi-Fi dla rodziny, praca zdalna, wideorozmowy, streaming. Wszystko.

I to nie jest abstrakcyjne zagrożenie. Na serwerach Minecraft dramy zdarzają się stale. Zbanowali gracza, poszedł się mścić. Przegrał wojnę klanową, zamówił atak. Ktoś po prostu chce się wykazać.

Jeśli masz serwer na hostingu, zadzwonisz do supportu i pomogą. Jeśli serwer w domu, zadzwonisz do dostawcy, który nie ma pojęcia, co to DDoS, i zaproponuje 'zrestartuj router'.

Jak atakujący znajdują twoje IP

Możesz myśleć, że twojego IP nikt nie zna. To nieprawda.

Bezpośrednie połączenie. Gdy gracz łączy się z twoim serwerem po IP, widzi ten adres. Każdy plugin do logów, Wireshark albo nawet standardowy ping pokaże IP serwera.

Shodan i Censys. Te wyszukiwarki nieustannie skanują cały internet. Twój serwer na porcie 25565 zostanie znaleziony w ciągu kilku godzin od uruchomienia. Zaindeksują wersję, MOTD i liczbę graczy.

Discord i fora. Ty sam albo twoi moderatorzy mogliście przypadkowo wrzucić IP na czat. Screenshot z widocznym paskiem adresu, config z IP w pliku logu, skarga do dostawcy, wszystko to wycieki.

Rekordy DNS. Jeśli podpiąłeś domenę bezpośrednio przez rekord A do domowego IP, prosta komenda nslookup go odkryje.

Rozwiązanie 1: Reverse proxy (zalecany sposób)

Istota prosta: między graczami a twoim serwerem stawia się pośredni serwer z mocnym kanałem i filtracją. Gracze łączą się z nim, on filtruje śmieciowy ruch i przesyła czyste pakiety do ciebie do domu.

Jak to działa:

• Gracz łączy się z adresem play.yourserver.com
• DNS kieruje go na chronione proxy
• Proxy sprawdza ruch, odsiewa atak
• Czysty ruch idzie do twojego domowego serwera szyfrowanym tunelem
• Twoje prawdziwe IP jest ukryte przed wszystkimi

To rozwiązanie używają serwisy takie jak MineGuard. Główny plus: nie musisz nic zmieniać w samym serwerze Minecraft, tylko ustawienia DNS i ewentualnie plugin do forwardowania prawdziwych IP graczy.

Plusy:

• Prawdziwe IP całkowicie ukryte
• Filtracja następuje, zanim ruch doleci do ciebie
• Nie obciąża twojego kanału i routera
• Konfiguruje się w 10-15 minut

Minusy:

• Kosztuje (zwykle od 5 USD/mies)
• Dodaje kilka ms pingu (zwykle 2-5 ms, niezauważalnie)

Rozwiązanie 2: VPN/Tunel

Alternatywne podejście to postawić tunel VPN między swoim serwerem a VPS w data center. Gracze łączą się z IP tego VPS, ruch przez tunel idzie do ciebie.

Popularne warianty:

• Tunel WireGuard (najszybszy)
• OpenVPN (łatwiejszy w konfiguracji, ale wolniejszy)
• Playit.gg i podobne serwisy (gotowe rozwiązanie)

Plusy:

• Można skonfigurować za darmo, jeśli masz VPS
• Pełna kontrola nad konfiguracją

Minusy:

• Brak filtracji ruchu, atak po prostu przejdzie przez tunel
• VPS w data center też można zatakować DDoS
• Trudniejsze w konfiguracji i utrzymaniu
• WireGuard dodaje narzut na przepustowość

Szczerze mówiąc, goły tunel VPN bez filtracji to półśrodek. Ukryjesz domowe IP, ale sam serwer i tak będzie padał przy ataku. Ma sens tylko jako tymczasowe rozwiązanie albo w parze z filtracją.

Konfiguracja ochrony krok po kroku

Oto konkretny plan działania, bez lania wody.

Krok 1: Kup domenę

Każda tania domena pasuje. Można za 1-2 USD na Namecheap albo Porkbun. Potrzebna, żeby gracze łączyli się przez nazwę domeny, a nie przez IP. To pozwoli w każdej chwili zmienić IP za proxy bez utraty graczy.

Krok 2: Podłącz usługę ochrony

Zarejestruj się w serwisie ochrony DDoS dla Minecrafta. Dodaj swoją domenę, podaj domowe IP i port serwera. Serwis da ci rekord CNAME albo chronione IP.

Krok 3: Skonfiguruj DNS

W panelu domeny utwórz rekord CNAME wskazujący na adres, który dał ci serwis ochrony. Jeśli serwis dał IP, utwórz rekord A. Usuń wszystkie stare rekordy A z twoim domowym IP.

Krok 4: Skonfiguruj forwardowanie IP

Bez tego kroku wszyscy gracze będą widoczni na serwerze z jednego IP (adres proxy). Musisz zainstalować plugin czytający prawdziwe IP z protokołu proxy.

Dla BungeeCord/Velocity, włącz proxy protocol w configu. Dla Paper/Spigot bez proxy, zainstaluj plugin wspierający proxy protocol.

Krok 5: Ogranicz bezpośredni dostęp

To krytycznie ważny krok, który wielu pomija. Skonfiguruj firewall tak, żeby port 25565 przyjmował połączenia TYLKO z adresów IP serwisu ochrony. Resztę blokuj.

Na Linuxie:

iptables -A INPUT -p tcp --dport 25565 -s IP_PROXY -j ACCEPT
iptables -A INPUT -p tcp --dport 25565 -j DROP

Na Windows - reguły w Windows Firewall. Na routerze - Port Forwarding tylko ze wskazanych IP (jeśli router to wspiera).

Krok 6: Sprawdź

Spróbuj się połączyć bezpośrednio po swoim domowym IP, nie powinno działać. Połącz się przez domenę, powinno działać. Sprawdź przez Shodan, czy twój serwer jest widoczny na domowym IP.

Czego NIE WOLNO robić

Nie przekierowuj wszystkich portów. UPnP i DMZ w routerze to zło. Przekierowuj tylko jeden port (25565) i tylko na jedno wewnętrzne IP. Żadnego DMZ.

Nie rozdawaj IP. Nawet 'zaufanym' graczom. Raz wyciekłego IP nie odzyskasz (dopóki nie dostaniesz nowego od dostawcy).

Nie używaj darmowych VPN. Darmowe serwisy VPN są wolne, niestabilne i często same są źródłem problemów z bezpieczeństwem. Dla serwera gamingowego nie nadają się.

Nie licz na 'ochronę routera'. Domowe routery nie są projektowane do przeciwdziałania DDoS. Funkcja 'ochrona od DoS' w ustawieniach routera to ochrona przed skanowaniem portów, nie więcej.

Nie stawiaj pluginów antybot z niesprawdzonych źródeł. Plugin antybot działa na poziomie aplikacji. Gdy masz zapchany kanał, jest bezużyteczny, bo ruch do pluginu po prostu nie dochodzi normalnie.

Konfiguracja routera i sieci

Nawet z ochroną proxy warto wzmocnić domową sieć.

Wyłącz UPnP. To protokół pozwalający programom automatycznie otwierać porty. Wygodny, ale niebezpieczny. Otwieraj potrzebne porty ręcznie.

Zaktualizuj firmware routera. Poważnie. Wiele routerów latami chodzi na starym firmware ze znanymi lukami.

Zmień hasło do panelu routera. Jeśli wciąż masz admin/admin albo admin/password, trzeba to naprawić od razu.

Użyj osobnej podsieci albo VLAN. Jeśli twój router wspiera VLAN, wydziel serwer w osobną sieć. Jeśli nie wspiera, przynajmniej podłącz serwer kablem, nie po Wi-Fi.

Skonfiguruj DNS-over-HTTPS. To ochroni przed DNS spoofingiem. Większość nowoczesnych routerów to wspiera.

Jeśli IP już wyciekło

Zła wiadomość: jeśli twoje IP już znają, sama ochrona nie wystarczy. Atakujący może bić bezpośrednio po IP, omijając proxy.

Oto co trzeba zrobić:

1. Zdobądź nowe IP od dostawcy. Zadzwoń i poproś o zmianę zewnętrznego IP. U większości dostawców to za darmo. Czasami wystarczy zrestartować router albo wyłączyć go na noc, jeśli masz dynamiczne IP, zmieni się.

2. Najpierw skonfiguruj ochronę, potem zmieniaj IP. Jeśli zmienisz IP i od razu odpalisz serwer bez ochrony, nowe IP wycieknie tak samo szybko.

3. Sprawdź wszystkie wycieki. Poszukaj starego IP na serwerach Discord, forach, listach serwerów. Usuń wszystko, co znajdziesz.

4. Nie podpinaj domeny do nowego IP bezpośrednio. Tylko przez serwis proxy.

Ile to kosztuje: ochrona vs hosting

Policzmy.

Domowy serwer + ochrona:

• Prąd: ~20-60 zł/mies (zależy od sprzętu)
• Domena: ~5-10 zł/mies (albo ~40-100 zł/rok)
• Ochrona DDoS: od 5 USD/mies (~20 zł)
• Razem: ~45-90 zł/mies

VDS/dedykowany serwer:

• Budżetowy VDS (4GB RAM): ~20-60 zł/mies
• Porządny dedyk (32GB RAM): ~120-320 zł/mies
• Ochrona DDoS często wliczona (ale podstawowa)

Dla małego serwera na 10-20 graczy domowy hosting z ochroną może być bardziej opłacalny. Używasz swojego sprzętu, płacisz tylko za ochronę i domenę.

Dla serwera na 50+ graczy lepiej pomyśleć o przenosinach na hosting. Tam i kanał szerszy, i support jest, i ochrona DDoS podstawowa zwykle wliczona w cenę.

Serwisy takie jak MineGuard oferują ochronę od 5 USD/mies, co jest całkiem do zniesienia dla domowego serwera. To tańsze niż za każdym razem dzwonić do dostawcy i prosić o nowe IP.

Podsumowanie

Domowy serwer Minecraft to normalna sprawa. Wiele dużych projektów zaczynało się właśnie tak. Ale bez ochrony IP to rosyjska ruletka: prędzej czy później ktoś postanowi cię położyć.

Minimalny zestaw działań:

• Kupić domenę
• Podłączyć proxy DDoS (MineGuard albo podobne)
• Zamknąć bezpośredni dostęp firewallem
• Nie świecić prawdziwym IP nigdzie

To zajmie 30-40 minut na konfigurację i oszczędzi bólu głowy na cały okres życia serwera. Lepiej spędzić ten czas teraz, niż potem tłumaczyć rodzinie, dlaczego nie działa internet.