Мой Minecraft сервер ддосят: что делать прямо сейчас

Без паники. Давай разберёмся.

Если ты читаешь это, скорее всего твой сервер прямо сейчас лежит, игроки пишут в дискорд "чё за лаги", а ты судорожно гуглишь. Знакомая ситуация, через это проходил каждый владелец более-менее популярного сервера.

DDoS-атака на Minecraft сервер - это не конец света. В большинстве случаев атаки прекращаются через 10-30 минут, если атакующий видит, что ты не реагируешь и не платишь. Главное - не делать глупостей прямо сейчас.

Шаг 1: Убедись, что это действительно DDoS

Прежде чем бить тревогу, проверь несколько вещей. Не каждый лаг - это атака.

Признаки DDoS-атаки:

• Сервер полностью недоступен (не пингуется, не подключиться)
• TPS в норме, но игроки не могут зайти
• В консоли сотни подключений с разных IP за секунды
• Хостинг/VPS провайдер прислал уведомление об аномальном трафике
• netstat -an | wc -l показывает тысячи соединений

Это скорее всего НЕ DDoS:

• Лаги только у некоторых игроков (проблема маршрутизации)
• TPS падает до 5-10 (тяжёлые плагины или мир)
• Сервер работает, но дёргается (нехватка RAM или CPU)
• Всё упало после установки нового плагина

Если у тебя просто лаги, а не DDoS - проверь timings, потребление памяти и нагрузку на CPU. Не нужно искать атаку там, где её нет.

Шаг 2: Быстрые временные меры

Если ты уверен, что это DDoS, вот что можно сделать прямо сейчас. Это не решит проблему, но может дать тебе передышку.

Включи whitelist. Самый простой способ отсечь ботов - включить вайтлист на время атаки. Да, новые игроки не смогут зайти, но хотя бы текущие будут играть.

/whitelist on

Ограничь rate-limit на уровне iptables. Если у тебя VPS или дедик, можно ограничить количество новых подключений:

iptables -A INPUT -p tcp --dport 25565 -m connlimit --connlimit-above 3 -j DROP
iptables -A INPUT -p tcp --dport 25565 -m recent --set --name mc
iptables -A INPUT -p tcp --dport 25565 -m recent --update --seconds 60 --hitcount 10 --name mc -j DROP

Не меняй порт. Частый совет из форумов 2015 года - "просто поменяй порт". Это не работает. Атакующий найдёт новый порт за минуту через сканер. Ты только потеряешь игроков, которые не узнают о смене порта.

Не перезагружай сервер каждые 30 секунд. Серьёзно. Каждая перезагрузка - это новые логи, потеря данных, путаница. Один раз перезагрузил, подождал 5 минут, смотришь на результат.

Шаг 3: Нормальная защита

Временные костыли не спасут от серьёзной атаки. Если тебя ддосят регулярно, нужно решать проблему нормально.

Reverse proxy (обратный прокси). Принцип простой - игроки подключаются не напрямую к твоему серверу, а к промежуточному серверу, который фильтрует трафик и пропускает только легитимные пакеты. Атакующий видит только IP прокси, а не твой реальный IP.

Есть два пути:

1. Поднять самому. Можно настроить свой прокси на отдельном VPS. Но нужно разбираться в фильтрации, писать правила, следить за обновлениями атак. Для L7 (application layer) атак на Minecraft нужна специфическая фильтрация протокола - простой nginx тут не поможет.

2. Использовать готовый сервис. Специализированные сервисы вроде MineGuard уже знают, как выглядит нормальный Minecraft трафик и как выглядит атака. Фильтры обновляются, поддерживаются новые версии протокола, и тебе не нужно быть сетевым инженером.

Что бы ты ни выбрал, ключевой момент - скрыть реальный IP сервера. Если атакующий знает твой настоящий IP, никакой прокси не поможет, потому что он просто обойдёт его.

Шаг 4: Прячем реальный IP

Это, пожалуй, самый важный шаг, и его чаще всего делают неправильно.

Что нужно сделать:

1. Используй домен, а не IP. Игроки должны подключаться через play.myserver.com, а не через 123.45.67.89. SRV-запись в DNS укажет на защищённый IP прокси.

2. Настрой DNS правильно. A-запись домена должна указывать на IP прокси, не на реальный сервер. SRV-запись _minecraft._tcp.play.myserver.com указывает порт.

3. Проверь утечки IP. Даже если ты настроил прокси, IP может утекать через:

   • Старые DNS записи (проверь историю через SecurityTrails или аналоги)
   • Query-ответы от плагинов, которые показывают IP в MOTD
   • Панель управления (Pterodactyl, Multicraft), доступную по IP
   • Почтовый сервер на том же IP
   • Другие сервисы/сайты на том же сервере

4. Если IP уже утёк - меняй. Да, это неудобно. Но если атакующий знает твой IP, единственный способ - получить новый у хостера и настроить всё заново, на этот раз не светя его нигде.

Как проверить, что IP не утекает:

# Проверяем, что домен указывает на прокси, а не на реальный сервер
dig +short play.myserver.com

# Проверяем SRV запись
dig SRV _minecraft._tcp.play.myserver.com

Результат dig должен показывать IP прокси, а не твоего сервера.

Шаг 5: После атаки

Атака закончилась, сервер работает. Но расслабляться рано.

Проверь логи. Посмотри, когда началась атака, какой тип трафика шёл, с каких IP. Это поможет понять, был это школьник со стрессером на 5 минут или что-то серьёзнее.

# Смотрим подключения за последний час
grep "logged in" logs/latest.log | tail -100

# Если есть доступ к серверу - смотрим сетевые логи
dmesg | grep -i "drop\|flood\|syn"

Обнови всё. Серьёзно. Ядро сервера, плагины, Java. Старые версии часто имеют уязвимости, которые упрощают атаку.

Настрой мониторинг. Поставь алерты на аномальный трафик. Лучше узнать об атаке из уведомления в Telegram, чем от злых игроков в дискорде.

Поговори с хостером. Если ты на shared-хостинге и тебя ддосят, хостер может просто отключить твой сервер, чтобы не страдали другие клиенты. Узнай заранее, какая у них политика по DDoS. Некоторые хостинги предлагают базовую защиту, другие просто вырубят тебя без предупреждения.

Типы атак и как они выглядят

Не все DDoS одинаковые. Понимание типа атаки поможет выбрать правильную защиту.

L3/L4 атаки (сетевой уровень)

SYN Flood. Самая распространённая атака. Тысячи поддельных TCP-запросов на установку соединения. Сервер пытается ответить каждому и захлёбывается.

Признаки: netstat показывает тысячи соединений в состоянии SYN_RECV. Сервер полностью недоступен.

UDP Flood. Поток мусорных UDP-пакетов забивает канал. Особенно актуально для серверов с query на UDP (порт 25565).

Признаки: входящий трафик в десятки-сотни раз выше нормы. В iftop видно поток с множества IP.

Amplification (DNS/NTP/Memcached). Атакующий отправляет маленький запрос на публичные серверы с подделанным обратным адресом (твоим IP). Серверы отвечают тебе пакетами в 50-100 раз больше запроса.

Признаки: огромный входящий трафик с портов 53 (DNS), 123 (NTP), 11211 (Memcached).

L7 атаки (уровень приложения)

Bot Join Flood. Сотни ботов одновременно пытаются подключиться к серверу. Каждый проходит handshake, отправляет login, и сервер тратит ресурсы на обработку.

Признаки: в консоли сотни "... logged in" или "... lost connection" за секунду. TPS может упасть, потому что сервер обрабатывает фейковые подключения.

Null/Invalid Packet Attack. Отправка невалидных пакетов Minecraft протокола. Плохо написанные плагины могут крашиться от таких пакетов.

Признаки: ошибки декодирования пакетов в логах, краши плагинов, иногда краш всего сервера.

Slowloris для Minecraft. Медленные подключения, которые держат соединения открытыми максимально долго, занимая все слоты.

Признаки: сервер показывает 0/100 слотов, но реальных игроков на сервере нет. Все слоты заняты "мёртвыми" соединениями.

Нормальный сервис защиты фильтрует все эти типы автоматически. MineGuard, например, анализирует Minecraft протокол на уровне пакетов и отсекает невалидный трафик до того, как он дойдёт до твоего сервера.

Распространённые ошибки во время атаки

За годы работы с серверами повидал всё. Вот чего точно НЕ нужно делать:

"Заддошу в ответ." Нет. Просто нет. Во-первых, это незаконно. Во-вторых, атакующий использует ботнет/стрессер, у него нет "своего сервера", который ты можешь положить. В-третьих, ты усугубишь ситуацию.

Платить за прекращение атаки. Если кто-то пишет "заплати 50$ и я перестану" - не плати. Заплатишь - будут просить ещё. Это как кормить чайку на пляже: прилетят все остальные.

Публиковать IP сервера в открытых списках. Мониторинги типа minecraft-server-list.com показывают IP твоего сервера всем. Если тебя ддосят - убери сервер из таких списков или используй только доменное имя.

Покупать "анти-DDoS" плагин для Minecraft. Плагин работает на уровне приложения. Когда идёт L3/L4 атака, трафик забивает канал ДО того, как дойдёт до Java. Плагин физически не может помочь с сетевой атакой. Он может помочь только с L7 ботами, и то частично.

Переезжать на "анти-DDoS хостинг" не разобравшись. Не все "анти-DDoS" хостинги одинаковые. Многие просто перепродают OVH с их базовой защитой, которая хорошо работает для веба, но плохо для Minecraft. Minecraft - это TCP с нестандартным протоколом, и стандартные веб-фильтры с ним не справляются.

Менять хостера каждую неделю. Видел ребят, которые переехали 5 раз за месяц. Каждый раз атакующий находил новый IP за день, потому что владелец светил его в дискорде или через DNS. Проблема не в хостере, проблема в утечке IP.

Чеклист: быстрые действия при DDoS

Распечатай это или сохрани в закладки. Когда начнётся атака, открываешь и идёшь по пунктам.

• Проверить, что это действительно DDoS, а не проблема с сервером
• Включить whitelist если атака на L7 (боты)
• Не перезагружать сервер больше одного раза
• Написать хостеру если атака серьёзная
• Не публиковать реальный IP нигде
• После атаки - настроить нормальную защиту через прокси
• Сменить IP если он был скомпрометирован
• Настроить DNS через домен с SRV-записью
• Проверить, что IP не утекает через другие сервисы

Итого

DDoS на Minecraft сервер - это неприятно, но не фатально. Большинство атак - это школьники со стрессерами за 10$ в месяц, которые сдуются через полчаса. Но если атаки регулярные и серьёзные, нужна нормальная инфраструктурная защита.

Три главных правила: не свети IP, используй прокси, не паникуй. Остальное - детали.

Если хочешь разобраться глубже в том, как работает защита Minecraft серверов, почитай другие статьи в нашем блоге. А если нужна защита прямо сейчас, MineGuard настраивается за 5 минут - достаточно прописать DNS.