基岩版服务器UDP端口攻击解决方案（适用于BDS/LLBDS/LL3/NK等一系列基岩版服务器）

Ucraft

前言：最近，针对于基岩版服务器的端口攻击案例越来越多，而防御插件甚少，防御措施较为缺乏，本教程因此而诞生。
观前提醒：请用电脑/电脑UA/论坛电脑版模式阅读以获取最佳体验


本教程适用对象：
BDS/LLBDS/Nukkit等一系列依赖UDP端口运行的受到UDP端口攻击的基岩版服务器腐竹
本教程采取手把手教学，内含20余张详细的流程介绍图片，尽可能做到清晰易懂
本教程全程无需用到第三方付费内容，靠系统自带的组件和服务器插件实现防御，如果您财大气粗，花钱去找专业人士和购买专业防御包来解决问题或许更有效果
本教程共约2000汉字，加上排版总计1.3万余字节
本教程整个流程预计需要10-20分钟
如果遇到了不懂的地方，欢迎回帖提问，我将尽我所能予以回答
由于缺少样本，且大都为本人亲历总结，
因此本教程可能对超大流量的UDPFlood攻击、分布式的UDPFlood攻击并没有显著作用，需要进一步获取样本资料研究并予以判定
如果您看完本教程得以解决/未解决问题，都希望您能在回帖区发布您的宝贵经验，谢谢。
————————————————————————————

需要用到的工具：

BDS防火墙插件ShrBox/BDSFirewall at 0.2.0 (github.com)

2.15.0的LLBDSv2Releases · LiteLDev/LiteLoaderBDSv2 (github.com)

1.20.11的BDS https://www.minebbs.com/bds/version/19837/download

服务器Windows操作系统环境（本教程的操作系统以Windows服务器操作系统为主）

————————————————————————————

服务器端口攻击，服务器是什么症状？

首先，打开服务器的任务管理器，选择上方栏【性能】，查看网络
在服务器软件关闭的情况下，服务器会有1Mbps甚至多得多的下行带宽占用（不典型）
在服务器软件开启的情况下，即使服务器里面没有人，服务器也会有3Mbps甚至多得多的上行带宽占用（典型）

其次，当在服务器配置文件中把端口改成其他端口后，服务器开启后的异常上行流量将消失。

————————————————————————————

服务器端口攻击，客户端是什么症状？
最典型的，在服务器列表界面能显示服务器的MOTD，但加入服务器时卡在正在加入服务器，无反应直至正在与服务器断开连接。

————————————————————————————

总的来说，UDP端口攻击有着两个典型特征：
①服务器开启后的明显异常上行带宽
②客户端列表能显示Motd，但无法正常进入服务器

————————————————————————————

受到UDP端口攻击的危害：
威胁服务器网络安全，导致玩家很难正常进入服务器、经常掉线。
由于UDP端口攻击的成本较低、攻击效果较好，
故近期较为容易受到此类型的攻击！

————————————————————————————

那么，如果确认是端口攻击，有什么办法防御吗？
本教程将给出一个本人总结的可行的方案。
首先，基岩版服务器端口攻击最头疼的问题
是几乎没有软件能够有效的检测、阻止。
这时候，我们必须借助一些针对性质的工具对其进行防御。

很幸运，LL（曾）有过大佬制作过这种网络攻击防御的插件
但很不幸的是，这个插件仅发布过一版本就停止了更新。
但不幸中的万幸是，该插件的防御逻辑在现行基岩版服务器仍然是有利用价值的（获取攻击者的IP）

这也是本期教程的目的，教你使用这个插件配合Windows自带的本地安全策略来防御网络攻击。

————————————————————————
先介绍原插件的使用流程，
走一遍流程是必不可少的，
这样才可获取攻击服务器的IP。
第一步：首先，下载以下的插件、软件：

BDS防火墙插件ShrBox/BDSFirewall at 0.2.0 (github.com) 2.15.0的LLBDSv2Releases · LiteLDev/LiteLoaderBDSv2 (github.com) 1.20.11的BDS https://www.minebbs.com/bds/version/19837/download

第二步：按照一般方法组建好LLBDS服务端

（解压BDS、LLBDSv2，把他们合并为同一个文件夹，确保PEditor.exe和bedrock_server.exe在同一个文件夹后，运行PEditor.exe后得到bedrock_server_mod.exe即可）

第三步：把BDSFirewall插件解压后得到的dll文件移动到/plugins文件夹下
第四步：把server.properties中的端口改为之前服务器受到攻击的端口
第五步：启动服务器 ！

如果这个插件还在继续更新的话，那么本期教程应该到此结束
但很遗憾的是插件停止了更新，接下来将是重要内容——把攻击服务器的IP彻底拉黑
——————————————————————————————————
你在启动服务器后，
一定会看到该插件在控制台报出的攻击IP（黄体字）
记得复制下来备用哦
—————————————————————————————————————





需要拉黑攻击IP，我们必须用到Windows自带的 本地安全策略 了



第0步：启动“本地安全策略”
1、点击Windows开始菜单
2、找到“Windows管理工具”
3、找到“本地安全策略”项目打开

第1步：新建需要拉黑的IP的筛选器
右键“IP安全策略...”
然后点击第2个选项管理IP筛选器列表

点击弹出窗口的左下角添加选项
会再弹出一个窗口，直接再次点击添加即可（此窗口的名称和介绍可以不用管，当然如果为了批量化管理可以设置名称和介绍）

之后会弹出一个向导，连续点击两次下一页（第二个窗口的介绍可以不用填），来到这样的界面

源地址请选择

否则其他玩家进不去了别怪我没说~

还记得你刚刚复制的攻击IP吗，粘贴到下方栏中后点击下一页

下一页是选择目标地址

选择“我的IP地址”即可，然后点击下一页

这页是选择协议类型，建议选择“任何”即可

然后点击下一页，应该就能完成第一步向导了，然后点击完成。



第2步：新建筛选器操作
再次回到主菜单，右键左侧栏IP安全策略...选择第二项

然后选择顶部栏第二项

然后选择左下角添加

和之前一样，连续点击两次下一页即可


到了下一页，千万记得按如图所示选择，别选错了哦~

然后直接下一页直至点击完成



第三步：创建一个IP安全策略
接下来就是第三步了

右键主菜单左栏IP安全策略...，选择第一项

这里可以无脑点直至完成为止，为了方便在完成页面可以勾上编辑属性

然后你会得到这样的窗口

点击左下角添加
连续点击三次下一页（前三页按照默认配置即可）
直到此页

这里请勾选上你刚刚新建的筛选器列表
然后点击下一页
到了下一页，也一并勾选上你新建的操作

然后完成，会转跳到这个页面

勾选上你新建的列表即可



最后一步：防火墙启动！

如图所示，右键选择分配

然后他右下角就绿了


好了，这时候你再去看看服务器任务管理器，
你就会发现，几十Mbps的上行占用就没了。



如果对方切换了攻击IP（这种端口攻击一般仅为单IP攻击，攻击者的可用IP一般有限，无需过于担心）
则再次启动上面搭建好的LLBDS端，获得他的新攻击IP，然后右键IP安全策略...管理IP筛选器...

选择新IP筛选器列表

选择编辑
然后选择添加，按照上面第一步添加第一个攻击IP的方法完成添加新的攻击IP即可

点击完成，确定，关闭后即可





至此，本期教程的主体部分结束
在食用完了本期教程内容后：
你的服务器在没人的情况下，上行带宽将从几十Mbps降低到2Mbps以内，并且可以正常进入，
如果还是不能进入，那么可能是你漏看了步骤，或者是你服务器受到的攻击类型并非UDP端口攻击，快回去仔细排查吧，
如有疑问，欢迎回帖讨论。
（牢记关于服务器受到UDP端口攻击的两个典型症状：①服务器开启后的明显异常上行带宽②客户端列表能显示Motd，但无法正常进入服务器）


本教程系本人原创，以供基岩版服务器UDP端口攻击的防御措施参考，本人发布平台：苦力怕论坛（Ucraft）；未经允许不得转载。

syfmc01

不错不错，实用教程！

yjxfn

66666666666

jiarong2022

@Ucraft 可以试试用这个代替观前提醒（你应该能看到吧）：https://klpbbs.com/thread-134640-1-1.html