Kỹ thuật ngăn chặn khách hàng không chính thức trong chơi game mạng?

Trong các trò chơi mạng nhiều người chơi, có những kỹ thuật nào tồn tại để cố gắng đảm bảo rằng người dùng đang kết nối với ứng dụng khách chính thức chứ không phải một số ứng dụng khách bị hack?

Tôi nhận ra có lẽ không có cách nào chắc chắn để làm điều này, nhưng tôi quan tâm đến các kỹ thuật có thể được sử dụng để giảm thiểu vấn đề.

Tôi đặc biệt quan tâm đến bất kỳ kỹ thuật nào có thể được sử dụng cho các trò chơi dựa trên web, nhưng tôi tưởng tượng hầu hết có thể được áp dụng nói chung.

Cảm ơn bạn!

Đó là vấn đề thú vị, nhưng tôi nghĩ bạn đang đặt câu hỏi sai ở đây. Hãy để tôi bắt đầu từ việc phát hiện phương pháp tiếp cận khách hàng bị hack:

Nếu ứng dụng khách của bạn được thực thi về phía người dùng, anh ta có thể làm bất cứ điều gì anh ta muốn với mã của bạn (cho đến khi nó quá phức tạp đối với anh ta, nhưng sẽ luôn có ai đó thông minh hơn trong dòng). Mọi thứ bạn có thể làm như mã hóa mã hóa tin nhắn giữa máy khách và máy chủ, tạo chứng chỉ ứng dụng khách hoặc thậm chí khiến máy khách tính toán tổng kiểm tra, có thể và cho đủ thời gian, sẽ bị dịch ngược và bẻ khóa. Tôi đã thấy một phần mềm đi kèm với một dongle, dongle này có một phần mã của ứng dụng, nhưng để có thể thực thi nó, dongle trước tiên đã kiểm tra crc của ứng dụng nếu nó không được xử lý .. tất nhiên sau một thời gian dongle bị hack quá .. cộng với nếu bạn thực hiện cập nhật phần mềm, bạn cần gửi lại dongle ..

Ngoài ra, người dùng có thể sử dụng ứng dụng khách của riêng bạn để gian lận - bằng cách mô phỏng chuyển động chuột và nhấp chuột chẳng hạn.

Vì vậy, câu hỏi nên là - làm thế nào để phát hiện một người chơi bot?

Ở đây bạn có một vài lựa chọn - đo thời gian giữa các lần nhấp, đo tốc độ di chuyển của chuột - chuột có di chuyển chính xác từ điểm A đến điểm B nhiều lần và đánh chính xác cùng một dây không? Chuyển động của người dùng có thể lặp lại? Nếu khi tài nguyên mà người dùng đang thu thập bị cạn kiệt, người dùng sẽ chuyển sang hành động khác hay anh ta chờ tại chỗ hàng giờ? Vào cuối ngày, bạn kết thúc việc viết mã nhận dạng mẫu.

Trong các trò chơi mạng nhiều người chơi, có những kỹ thuật nào tồn tại để cố gắng đảm bảo rằng người dùng đang kết nối với ứng dụng khách chính thức chứ không phải một số ứng dụng khách bị hack?

Tôi không nghĩ rằng đây là cách đúng đắn để tiếp cận điều này hoặc ít nhất không phải là điều duy nhất bạn nên quan tâm.

1. Hãy chắc chắn rằng bạn chỉ gửi thông tin cụ thể của khách hàng cho mọi khách hàng (ví dụ: khách hàng không cần biết quái vật nào có thể thả, chỉ cần gửi thông tin sau khi giết nó và chỉ cho các khách hàng được chỉ định)

2. Thực hiện hầu hết các tính toán ở phía máy chủ (định vị, v.v.). Khách hàng đang thực hiện các tính toán của riêng mình NHƯNG không bao giờ có thể gửi các giá trị của riêng mình chỉ bằng hành động của mình. Máy chủ phải kiểm tra xem hành động này có hợp lệ không và nó sẽ ảnh hưởng đến trò chơi như thế nào.

3. 1 và 2 thường được kết hợp với dự đoán. Máy khách và máy chủ cố gắng dự đoán một số hành vi nhất định. Ví dụ, ứng dụng khách di chuyển trình phát nhưng cứ sau x giây hoặc ms. nhận được một sự điều chỉnh của máy chủ

4. Tính phí người dùng cho tài khoản của họ không dành cho khách hàng, theo cách này, người dùng có thể nắm giữ phiên bản bẻ khóa nhưng không thể chơi mà không có tài khoản.

Với 2 bạn có thể chắc chắn rằng không có hack tiền, hack vị trí hoặc hack tường, v.v. nhưng bot luôn là vấn đề của nhiều công ty. Ngay cả những tên công ty lớn như Blizzard cũng gặp rắc rối với điều đó. Những gì bạn có thể làm là giới hạn thời gian có thể phát trên mỗi tài khoản, để ai đó không thể trực tuyến hơn 540 giờ mỗi tháng. Tôi nhớ một bot sử dụng giá trị màu của quái vật + đầu vào chuột để farm XP. Một cách khác là cung cấp một chương trình bổ sung để kiểm tra các ứng dụng đang chạy và truy cập bộ nhớ khác nhưng điều này mang đến một số vấn đề mới.

Chỉnh sửa:

Các bài viết được viết rất tốt cho người mới bắt đầu: http://gafferongames.com/networking-for-game-programmer/what-every-programmer-needs-to-ledge-about-game-networking/

Không có cách nào thực sự rõ ràng để đảm bảo rằng "khách hàng chính thức" đang chạy; bất kỳ cơ chế nào như vậy sẽ dựa vào mã xác thực truyền lại một số loại "bí mật" cho máy chủ, có thể được thiết kế ngược, cho đủ thời gian. Về cơ bản, điều này xảy ra khi một phần mềm chống hack nói với máy chủ rằng máy khách vẫn ổn.

Chỉnh sửa: để giải thích một chút về phần trên, hãy xem xét mã xác thực phía máy khách. Nó có hai công việc rất khó: kiểm tra xem mã gốc đang được sử dụng (và không có gì khác có thể can thiệp vào mã gốc một cách linh hoạt / tại thời gian chạy (!)) Và truyền lại kết quả này cho máy chủ, theo cách như vậy rằng giao tiếp này không thể bị làm giả. Trong khi phần đầu tiên cực kỳ khó khăn, phần thứ hai hoàn toàn không thể.

Nếu bạn có thể cập nhật cả máy khách và máy chủ một cách thường xuyên, thì bạn có thể chuyển đổi bí mật một cách thường xuyên, với hy vọng làm cho các cracker khó theo kịp. Tuy nhiên, trong tất cả khả năng, trừ khi bạn thay đổi cách mã hóa / thực hiện bí mật, nó có thể bị bẻ khóa rất nhanh một lần nữa. Về cơ bản, đó là một cuộc chạy đua vũ trang giữa bạn và bất cứ ai muốn phá vỡ nó - người có nhiều thời gian và tiền bạc hơn để giải quyết vấn đề.

Khi đã chấp nhận phần đó, chúng ta có thể làm gì khác không? Trong một thế giới hoàn hảo, với sức mạnh và băng thông vô hạn, bạn có thể chỉ cần liên tục chuyển trạng thái giữa máy khách và máy chủ và để máy chủ chạy mô phỏng hoàn hảo những gì đang xảy ra trên máy khách. Mô hình này sau đó có thể được sử dụng để xác nhận các hành động mà khách hàng đang tuyên bố đang thực hiện. Điều này sẽ không phát hiện xem con người hay bot đang chơi, nhưng nó sẽ có thể xác thực xem khách hàng có yêu cầu một phát bắn xảy ra qua tường hay một số hành động không thể tưởng tượng được khác.

Có đủ dữ liệu trên máy chủ cũng là bước đầu tiên để phát hiện hành vi bất thường - có lẽ là quá nhanh đối với con người, v.v ... Rõ ràng là tình huống mô phỏng hoàn hảo thường không khả thi, nhưng có thể sử dụng một số mô hình ước tính thu nhỏ nhiều tình huống.

Bạn không chỉ định loại trò chơi, vì vậy tôi sẽ nghiêng nhiều về các game RPG / MMO. Nhưng rất nhiều điều này có thể và không áp dụng cho các game FPS, Chiến lược và Hành động. Cách các công ty trò chơi nhiều người chơi lớn như Blizzard giải quyết vấn đề này trong các trò chơi của họ là:

1. Thực hiện tất cả các tính toán và hành động trò chơi phía máy chủ, máy khách chỉ là một thiết bị đầu cuối câm và đồ họa. Vì vậy, nếu người chơi đang sử dụng một ứng dụng khách khác, điều đó thực sự không quan trọng về mặt trò chơi, họ không thể lừa đảo vật lý của trò chơi.
2. Kiểm tra các chương trình / máy khách bot rõ ràng bằng cách tìm kiếm các hành động rõ ràng của máy tính như sự lặp lại hoàn hảo của các sự kiện nhấp chuột và chuyển động chuột.
3. Kiểm tra các chương trình / máy khách bot không rõ ràng và cảnh báo người kiểm duyệt trong trò chơi về vấn đề này.

Sau đó, chúng xuất hiện trong trò chơi (nếu có thể, đối với các trò chơi tương tự như Starcraft 2 thì không) hoặc nói cách khác là xem / nói chuyện với người chơi về hành động của họ như một 'kiểm tra của con người'. Hoặc ít nhất đó là cách nó nên được xử lý. Blizzard khá tốt về điều này nhưng trong lịch sử các công ty MMO khác thì không.

Kiểm tra các bot không rõ ràng không dễ, nhưng một số quy tắc cơ bản cần tuân theo bao gồm

• Tìm kiếm người chơi, chỉ với một chút thay đổi, đang thực hiện các hành động tương tự lặp đi lặp lại. Cái này có thể đang ngồi ở một nút tài nguyên trong MMO và nuôi nó khi nó xuất hiện trở lại, hoặc nó có thể đang chạy trong vòng tròn giữa các gói đạn / đạn trong FPS và không bao giờ đi chệch khỏi một đường cụ thể và luôn sử dụng cùng một khẩu súng. (Các bot tối ưu phụ trong FPS rất hiếm, nhưng nếu trò chơi của bạn có một bậc thang để leo lên trong đó số lượng trò chơi quan trọng hơn là tài năng của người chơi như một số FPS hiện đại có, bot sẽ trở nên có giá trị trở lại)
• Tìm kiếm người chơi thực hiện cùng một chiến lược hoặc chiến lược chính xác lặp đi lặp lại trong một RTS. Có một số đơn hàng xây dựng nhất định trong Starcraft có thể gần như không thể đánh bại khi được thực hiện bởi bot.
• Tìm kiếm những người chơi đã thu thập được một lượng lớn tài nguyên và hiện đang không ngừng nghiền nát một vật phẩm. Đây là một vấn đề lớn trong Ultima Online.

Vấn đề là trò chơi của bạn càng phổ biến và càng có nhiều bot hiệu quả trong việc giảm bớt tedium trong trò chơi của bạn, mọi người sẽ càng có khả năng sử dụng và tạo ra các bot này. Và thật tầm thường khi hạn chế tốc độ di chuyển của chuột, thêm biến thể nhân văn ngẫu nhiên vào các lần nhấp, thậm chí bot đã mắc lỗi ở tốc độ con người, mở và đóng các phần của menu, nhấn nút sai rồi đóng cửa sổ, chuyển đổi giữa bàn phím và chuột làm việc như con người làm để giảm mỏi tay. (bạn thậm chí không nhận ra mình làm điều đó)

Vì vậy, bước cuối cùng khi ai đó hoặc bot làm điều gì đó lặp đi lặp lại trong một thời gian rất dài thực sự phải là một mod người đến với người chơi và nói chuyện với họ. Nếu họ ở đó và trả lời với câu trả lời của con người, họ là con người. Thông thường, các mod sẽ yêu cầu người chơi dừng lại một lúc, hoặc theo dõi họ ở đâu đó và thực hiện một số hành động khác, các vòng quay trở nên phức tạp hơn theo thời gian.

Tanget

Tất nhiên, cuối cùng sẽ có người tạo ra một bot không thể phân biệt được với người thật, vượt qua bài kiểm tra Turing. Và có rất nhiều nhà văn bot ngoài kia có mục đích để làm điều đó.

Bản thân tôi, đã có niềm đam mê với ý tưởng này khi lần đầu tiên tôi bắt đầu lập trình và tạo ra các bot vô dụng cho Ultima Online sẽ đứng trong thị trấn và bắt chước các NPC. Các lệnh này rất đơn giản để chúng dễ thực hiện, chỉ cần vuốt các bước để đi theo các hướng khác nhau và xem nhật ký trò chuyện cho tên riêng của nó và chuyển các tin nhắn đến ALICE qua phiên bản web của AI. Tôi không nhớ cái nào và nó có lẽ không còn tồn tại nữa.

/ Tiếp tuyến

Điểm là, bạn cần phải quyết định nơi để vẽ đường. Nếu bạn không đủ khả năng để một nhóm người điều hành nói chuyện với mọi người mà hệ thống của bạn xác định là bot, có lẽ tốt hơn hết là hãy để cộng đồng đánh dấu mọi người là bot, và sau đó khi đủ thời gian, hãy đá người chơi trong khoảng một giờ. Không cấm, chỉ đá. Vấn đề thực sự đối với hầu hết người chơi là các bot hog tài nguyên mà những người chơi khác có thể đang sử dụng. Nếu mob là khan hiếm, như là vấn đề với Ragnarok Online, thì các bot đi lang thang và dọn dẹp toàn bộ khu vực của kẻ thù trong khi tìm kiếm vật phẩm (hoặc không) là phổ biến, và chúng phá hỏng trò chơi cho người khác. Vì vậy, bạn có thể bỏ qua chi phí của quân đội quản trị theo cách đó.

Cuối cùng, bạn cũng có thể sống với bot như một thực tế của không gian trò chơi của bạn và khuyến khích việc sử dụng chúng. Điều này đòi hỏi phải thiết kế trò chơi của bạn xung quanh việc sử dụng bot, huấn luyện viên và chương trình trợ giúp cuối cùng và phổ biến. Tôi muốn nói rằng có một MMO đã làm điều này khoảng 10 năm trước, nhưng tôi không thể nhớ đó là MMO nào. Nó đánh vần sự kết thúc của trò chơi, bởi vì MMO rất nặng nề và điều đó có nghĩa là 95% người chơi chúng tôi rời khỏi bàn phím của họ bất cứ lúc nào và phá hủy cộng đồng. Nếu bạn đi tuyến đường này, hãy cẩn thận.

tránh có các tính năng trò chơi mà người dùng có thể giành chiến thắng bằng cách thực hiện các tác vụ lặp đi lặp lại , đặc biệt là trong các trò chơi giống như trình duyệt. Các tính năng trò chơi gây ra các tác vụ lặp đi lặp lại không chỉ khiến người dùng khác tức giận vì họ không có thời gian để thực hiện chúng mà còn giúp trò chơi dễ dàng thực hiện hơn (và ít thú vị hơn nhiều!)

Nếu một tính năng trò chơi nhất định có thể botable được, tại sao lại có tính năng đó trên trò chơi ?? Tính năng đó rõ ràng đang kêu gọi người dùng xây dựng bot.

Trò chơi có nghĩa là được chơi bằng cách cung cấp cho người chơi một lượng giải trí hợp lý, thông thường bằng một loạt các lựa chọn không tầm thường. Khả năng quyết định đối mặt với những lựa chọn không tầm thường ngăn cách con người với bot. Cuối cùng, thay vì tìm kiếm bot, hãy tìm kiếm trên trò chơi của bạn nơi bot có thể được thực hiện và tự mình thực hiện nó để mọi người sử dụng. Bằng cách đó, bạn tiết kiệm thời gian cho người chơi trò chơi bằng cách tránh anh ta thực hiện các nhiệm vụ nhàm chán, trong khi bạn chiến đấu với các bot từ gốc: nếu không có tính năng trò chơi có thể botable, làm sao có bot?

Điểm mấu chốt của tôi là: Tôi sẽ nói rằng có một ngưỡng về mức độ phức tạp tối thiểu mà một trò chơi cần để không thể botable được. Làm cho trò chơi của bạn vượt qua ngưỡng đó bằng cách thêm các lựa chọn không tầm thường mà cuối cùng sẽ tăng trải nghiệm người dùng.

Dù sao, có thể mô hình này không còn áp dụng vào thời điểm hiện tại ... nhưng tôi vẫn tin rằng đây là điều tạo nên một trò chơi hay.

Các câu trả lời hiện có đã tốt, nhưng tôi muốn chỉ ra rằng nếu séc của bạn đắt tiền (ví dụ: chạy toàn bộ phía máy chủ trò chơi để đảm bảo khách hàng không gian lận), thì bạn có thể chọn chỉ thực hiện một số thời gian .

Ví dụ: bạn chỉ có thể kiểm tra các hành động trong một khu vực cụ thể hoặc bởi những người chơi cụ thể (thay đổi ngẫu nhiên sau một thời gian) hoặc chỉ có một hàng hành động và chọn ngẫu nhiên những hành động nào để xác thực (và bỏ qua những người khác). Có thể đưa ra một heuristic về những người có khả năng gian lận (về cơ bản tìm kiếm những người thành công nhất) và xác nhận hành động của họ trên máy chủ.

Đảm bảo rằng máy chủ không cho đi khi hành động xác thực và khi không. Luôn gửi phản hồi tiêu chuẩn của bạn cho đến khi bạn sẵn sàng hành động (và đừng từ chối bằng cách mất nhiều thời gian hơn để gửi phản hồi khi bạn xác thực và khi bạn không).

Bằng cách này, bạn có thể có được sự bảo vệ khá tốt chống lại gian lận, chỉ sử dụng sức mạnh máy chủ mà bạn có thể dự phòng (mặc dù rõ ràng bạn càng gần để xác thực mọi hành động thì càng bảo vệ tốt hơn khỏi gian lận).

Chà, tôi không nghĩ rằng có một "sự giải quyết Ultiamte". Bạn có thể mã hóa Datapackages và cung cấp cho máy chủ nhận các gói một số quy tắc. Ví dụ, bạn có thể đặt rằng di chuyển thực tế / được phép lớn nhất là +1 và không giống như một kẻ lừa đảo / tin tặc sẽ đặt nó lên 5 hoặc cao hơn chỉ để nhanh hơn. Chỉ cần nghĩ về những gì một hacker có thể làm để tốt hơn những người chơi khác và đặt ra các quy tắc cho nó.

Cách đơn giản nhất là về bản chất làm cho máy khách trở thành một thiết bị đầu cuối câm. Mọi thứ được thực hiện trên máy chủ và máy khách chỉ cần gửi lệnh đến máy chủ. Bằng cách này, máy chủ hoàn toàn kiểm soát mọi thứ.

Tuy nhiên, đây có lẽ không phải là trường hợp phù hợp nhất với bạn, vì máy chủ phải thực hiện nhiều tính toán hơn và trải nghiệm người dùng sẽ không rõ ràng. Vì vậy, càng nhiều logic bạn để lại cho khách hàng để thực hiện, trải nghiệm người dùng tốt hơn, nhưng càng ít bảo mật. Vì vậy, bạn sẽ phải tìm một nền tảng trung bình có thể chấp nhận được cho bạn.

Ngoài ra, chỉ gửi cho khách hàng những gì nó "nên" biết. Ví dụ: nếu người chơi kẻ thù đứng sau bức tường, đừng gửi thông tin đó cho khách hàng, hoặc khách hàng bị hack sẽ có thể nhận ra thông tin này (đọc: wallhack).

EDIT: Tôi đã hiểu nhầm câu hỏi. Tôi giải thích nó là "ngăn chặn khóa lậu / hack" thay vì "phần mềm bị hack có thể gửi tin nhắn để tạo 1 tỷ vàng cho người chơi".

Hầu hết các trò chơi ngày nay đều có giá trị gắn với tài khoản trong cơ sở dữ liệu vì mọi thứ mà khách hàng có thể gửi đến máy chủ đều có thể được sửa đổi. Đây có lẽ là phương pháp đơn giản và hiệu quả nhất.

Với sự phổ biến của việc chuyển tập tin internet và P2P tốc độ cao, các công ty đã chuyển từ khóa cd được lưu trữ cục bộ trên máy khách sang các khóa được liên kết với tài khoản trên máy chủ của họ. Không có phần mềm máy khách "chính thức" hoặc "không chính thức" vì bất kỳ ai cũng có thể tải xuống ứng dụng khách. Nhưng bạn chỉ có thể chơi nếu bạn có tài khoản có quyền truy cập để chơi.

Điều này cũng có lợi cho công ty vì họ không cần phải chi nhiều như vậy để tạo ra các bản sao vật lý của phần mềm.