Wenn ja, warum bieten diese Unternehmen dann keine serverseitige Überprüfung für Videospiele an, sondern bestehen weiterhin darauf, dem Kunden zu vertrauen?

Es geht weniger darum, auf Vertrauen zu bestehen der Kunde und mehr, dass es kein anderes tragfähiges Anti-Cheat-Modell gibt. Wie DRM und Anti-Cheat-Software wie PB, die eine Form von DRM verwendet, kann nur wenig getan werden.

DRM-Software verfügt über Abhilfemaßnahmen, die verhindern, dass der Client zu viel stochert, aber dies muss dem Kunden auferlegt werden, um zu verhindern, dass der Kunde Dinge tut, die die Medienunternehmen nicht vom Kunden erwarten.

Die Anti-Cheat-Technologie basiert auf einer ähnlichen Methodik. Informationen über den Client werden gesammelt, an den Server gesendet. Wenn ein Client aufgrund einer Reihe von Überprüfungen für die jeweilige Software als fehlerhaft eingestuft wird, kann er auf dem Server gesperrt werden.

Am Am Ende des Tages kommt es auf das Risikomanagement an. Ja, vertrauen Sie nicht, dass der Client einer der ersten Grundsätze der Sicherheit ist. Um die beim Kunden auftretenden Risiken zu mindern, gibt es eine Kosten-Nutzen-Analyse, die das Risikomanagement darstellt. Lohnt es sich, Kunden zu verlieren und zu betrügen, die ein faires und unterhaltsames Spiel wollen? Oder sollten einige Abhilfemaßnahmen getroffen werden? PB und andere Softwarepakete sind nicht dazu da, das Betrügen vollständig zu stoppen, sondern zielen darauf ab, das Betrügen teurer zu machen.

Es gibt auch eine andere subtilere Möglichkeit, die Clients auf das Betrügen zu beschränken (Wall-Hacks, .. .), meistens nur durch Online-Spiele, aber nicht beschränkt auf. Dies wird erreicht, indem der Client-Seite nicht alle Daten zugeführt werden. Zum Beispiel hat die unwirkliche Engine 3 Überprüfungen, ob sich ein Akteur in Ihrer Nähe befindet. Wenn diese Überprüfung positiv ist, sendet der Server Ihnen den genauen Standort sowie Ihren Gegner. Sozusagen kennt nur der Server alle Positionen, Aktionen und Bewegungen aller Akteure auf der Spielinstanz.

Dies kann in der Dokumentation des unwirklichen Engine 3 / Client Server-Modells im Abschnitt Betrug gelesen werden, der hier zu finden ist: https://udn.epicgames.com/Three/ClientServerModel.html

Bei erweiterten Engines / Netzwerkcode und Client Server-Modellen ist es beispielsweise nicht unbedingt erforderlich, dem Client zu 100% zu vertrauen. Der Server kann im Voraus entscheiden, was der Client wissen soll, wodurch die Möglichkeiten von Hacks effektiv begrenzt werden. Um noch weiter zu gehen, kann der Server selbst entscheiden, was er wissen SOLLTE, um nicht von Clients abgelenkt oder verwirrt zu werden, die gefälschte Pakete senden.

Bei clientseitiger Anticheat-Software an und für sich geht es nicht um Sicherheit, sondern um das Gameplay (und das Kundenerlebnis).

Daher gelten Sicherheitsregeln bei weitem nicht so genau. Das Vertrauen in den Kunden "Hit Pixel 1056 by 1723" unterscheidet sich stark vom Vertrauen in den Kunden "kann 1000 US-Dollar nach Nigera überweisen" oder darauf, dass der Kunde "auf Bobs E-Mail zugreifen kann".

Beachten Sie, dass ich Finanzielle ausdrücklich ausschließe Transaktionen, nur Gameplay-Cheats wie Aimbots, Big Head-Cheats usw.

Erstens: Es gibt viele Spiele, die eine 100% ige serverseitige Validierung verwenden und dem Client nicht vertrauen. Ein Beispiel: Online Poker

Sie senden einfach nicht den Wert von Karten an den Kunden, die er nicht kennen kann. Selbst wenn er den Kunden hackt und die Matrix liest, gibt es nichts Verborgenes, das er enthüllen kann, und keine Bewegungen, die er mit dem regulären Kunden nicht machen kann.

Aber viele moderne Spiele sind a viel komplexer. Ein Ego-Shooter zum Beispiel. Hier ist es nicht so einfach zu entscheiden, ob und wie gut Sie einen anderen Spieler sehen können. Man könnte sagen, es ist einfach, wenn zwischen Ihnen beiden eine Mauer ist, können Sie ihn nicht sehen. Und in diesen einfachen Fällen können moderne Spiele den feindlichen Spieler bereits aus Ihrer Sicht ausmerzen, sodass Sie nicht die Position erhalten, an der er sich befindet. Sobald sich der Feind in einer dunklen Ecke befindet und kaum noch sichtbar ist, muss das Spiel seine Position noch an Sie senden, damit Ihr Grafikgerät ihn dort malen kann. Wenn Sie einen Cheat verwenden, der ihn in leuchtenden Farben malt, können Sie ihn leicht erkennen und betrügen. Dies ist schwer zu verhindern, da die Logik, die ihn in dunklen Farben im Schatten malt, für Spiele mit guter Grafik sehr komplex ist. Wenn Sie also das Bild auf dem Server rendern und nur das endgültige Bild senden, wird das Betrügen viel schwieriger, aber auch würde eine Menge Ressourcen auf dem Server erfordern und hätte das ernsthafte Problem der LAG.

DELAY oder LAG: Das zweite große Problem beim Streaming von Spielen ist die Verzögerung. Wenn Sie die Maus bewegen, können Sie sich in einem Ego-Shooter sehr schnell umsehen. Das Senden dieses Befehls über das Internet und das Empfangen des auf Ihrem Bildschirm angezeigten Ergebnisses dauert jedoch länger als das lokale Rendern. Wenn Sie eine schnelle Internetverbindung haben, können Sie mit einem Ping unter 20 ms Glück haben, aber die meisten Verbindungen können sehr instabil sein und die Verzögerung kann manchmal höher sein. Ein Spiel, das so langsam reagiert, wird schrecklich langsam spielen und fast keinen Spaß machen. Im Gegenteil, viele moderne Spiele wenden eine Menge Techniken wie Bewegungsvorhersage, Zeitverzerrung und andere an, damit Sie die wahrgenommene Verzögerung anderer Spieler verringern können, indem Sie Ihr Spiel dazu bringen, viel lokale Logik zu berechnen und die Bewegungen anderer Spieler vorherzusagen, also das Spiel fühlt sich flüssiger an als es tatsächlich ist.

Hardware / Out-of-the-Box-Betrug. Und es gibt immer eine Menge Möglichkeiten zum Betrügen, die von Software nicht einfach besiegt werden können. Was ist mit Doping? (eine echte Sache im Sport) Oder einen Roboter für Sie spielen lassen. Oder eine Webcam über der Schulter, die Feinde auf Ihrem Bildschirm erkennt und Ihnen sagt, wo sie sich befinden? Oder sogar Dinge wie DDoS-Angriffe von einem Botnetz auf Ihr feindliches Team, um deren Kommunikation zu stören?

Es gibt einige Möglichkeiten, serverunterstützte Validierungen durchzuführen. Der Server kann die Richtigkeit des Spielcodes / der Anti-Cheat-Software wie DRM-Schutz testen (kann aber natürlich gefälscht werden). Der Server kann auch die Spiellogik überprüfen, Ihre Bewegungen messen, Statistiken und Daten über Ihr Verhalten sammeln und diese mit anderen Spielern und bestimmten Limits vergleichen und versuchen, zu entscheiden, ob Sie abnormal spielen oder gegen Regeln verstoßen ... aber nichts davon ist perfekt.

Wenn ja, warum bieten diese Unternehmen dann keine serverseitige Überprüfung für Videospiele an, sondern bestehen weiterhin darauf, dem Kunden zu vertrauen?

Sie tun dies!

Die meisten Online-Spiele haben ab und zu eine Konsistenzprüfung.

Player32517 hat 100 Einheiten in 3 Sekunden verschoben. Ist das möglich?

Die Überprüfung, ob jeder einzelne Zug gültig ist, ist jedoch eine enorme Menge an Berechnungen.

Nehmen Sie zum Beispiel einen beliebigen Schützen:

Ihr durchschnittlicher Gaming-PC beginnt zu kämpfen, wenn Es gibt zu viele Granaden / Feinde auf Ihrem Bildschirm. Diese Last wird auf 20 Computer verteilt.

Stellen Sie sich nun vor, Sie müssten all das erneut auf einem Server berechnen und jede Bewegung überprüfen , jeder Mausschlag, jeder Feuerauslöser für Betrugsmuster. In Echtzeit.

Aus diesem Grund ist es viel billiger oder sogar möglich, von Zeit zu Zeit zu überprüfen, ob Sie wirklich so weit gesprungen sind, sich so schnell bewegt haben oder Ihre Maus genau auf die Feinde gerichtet haben Gehen Sie 3 Sekunden lang, bevor Sie ihn überhaupt hinter dieser Wand sehen können.

Und wenn all dies fehlschlägt, haben Sie immer noch die Community-Berichte mit Videomaterial.

Bearbeiten:

Vielen Dank an Num Lock für den Hinweis:

Die Verzögerung wird nicht durch die Logik, sondern durch das Rendern verursacht. Die Berechnung aller Vektoren für das Licht und die Animationen ist weitaus größer als die Berechnung, ob sich etwas in Reichweite befand, um getroffen zu werden.

Hier müssen zwei Elemente angesprochen werden.

Erstens ist die clientseitige Cheat-Erkennung selten das einzige Element bei der Cheat-Prävention. Da die Serversoftware für einige Spiele ebenfalls verteilt ist, wird die serverseitige Cheat-Erkennungssoftware möglicherweise nicht vollständig mit ihr verteilt, um zu verhindern, dass sie Reverse Engineering ausgesetzt wird. Sie können aus dem Servercode, den Sie möglicherweise ausführen, und dem Servercode, den sie möglicherweise intern ausführen, keinen Mangel an serverseitiger Cheat-Erkennung ableiten. Aus ähnlichen Gründen zögern Unternehmen möglicherweise auch, ihre Anti-Cheat-Lösungen zu diskutieren: Dunkelheit ist keine schlechte Sache, die man neben einer robusten Lösung haben kann.

Es besteht jedoch auch die Notwendigkeit, auf Kundenseite zu betrügen Erkennung aufgrund der Tatsache, dass Spiele von den Fähigkeiten der Spieler abhängen. Dies bedeutet, dass Betrug auf vielen Ebenen auftreten kann: Hardware, Eingabe und Software. Software ist nur die bequemste und präziseste, es kann sehr wenig getan werden, um sich vor einem kompetenten Roboter zu schützen. Um sich vor softwarebasiertem Betrug zu schützen, muss auf dem Client eine Art residenter Monitor vorhanden sein, damit dieser erkannt werden kann.

Darüber hinaus ist eine Spielsimulation komplex. Wie Sie zu Recht festgestellt haben, hindert wenig jemand daran, einen simulierten Client zu erstellen, der alle vom Spiel verwendeten Protokolle korrekt kopiert und zum richtigen Zeitpunkt willkürlich Eingaben generiert, um zu betrügen. Nur das ist ein großes Unterfangen; Es ist viel einfacher zu versuchen, den vorhandenen Client zu brechen. Gleiches gilt für den Aufbau eines gefälschten Anti-Cheat-Clients. Daher bedeutet clientseitige Sicherheit eher, die Dinge so schwierig wie möglich zu machen, als 100% narrensicher zu sein. Insbesondere Valve aktualisiert regelmäßig die VAC, um in einem anhaltenden Kampf mit Cheat-Entwicklern zu bestehen.

Die meisten anderen Antworten konzentrieren sich auf die technischen Aspekte der Betrugsprävention. Ich möchte hinzufügen, dass VAC Betrug verhindert, indem es wirtschaftlich unrentabel wird:

TL; DR: Client-seitig Der Cheat-Schutz funktioniert, weil der Aufwand und die Fähigkeiten, die erforderlich sind, um ihn auszutricksen, hoch sind und die Bestrafung für Fehler schwerwiegend ist.

Das Hacken ist mit viel Versuch und Irrtum verbunden, und selbst wenn Sie vollen Zugriff haben Für die Quelle ist ein erheblicher Arbeitsaufwand erforderlich, um herauszufinden, wie ein Client geändert werden kann, während er vorgibt, dies nicht zu tun. Und all diese Arbeiten werden jedes Mal in Frage gestellt, wenn der Client aktualisiert wird.

Wenn Sie jedoch auch nur den geringsten Fehler machen, besteht die Gefahr, dass Sie für immer von allen VAC-Servern gesperrt werden.

Es macht auch keinen Sinn, Ihren Hack zu verteilen, da Valve auch weiß, wie man nach Cheats googelt, und sobald sie Ihren Hack gefunden haben, fügen sie eine zusätzliche Erkennungslogik hinzu, um alle zu finden, die ihn verwenden. Dies hält Benutzer wiederum davon ab, öffentlich verfügbare Cheat-Tools zu verwenden.

Die Herausforderung bei einer solchen Sicherheit besteht darin, dass Sie die Berechnung dort durchführen müssen, wo sich die Informationen befinden. Sie müssen entweder die Anti-Cheat-Berechnungen clientseitig ausführen oder die Informationsserverseite verschieben, damit die Berechnungen dort durchgeführt werden können. Bei vielen Spielen kann es extrem teuer sein, alle Informationen an den Server weiterzugeben. Dazu müsste der Client alle Benutzerinteraktionen und die Zeit, zu der sie aufgetreten sind, speichern. Das Versenden all dieser Informationen an den Server, um eine Analyse durchzuführen, ist zu umfangreich. Stattdessen wird die Berechnung an den Client gesendet.

Das heißt nicht, dass dies das Ende ist. Viele Spiele implementieren sowohl clientseitige als auch serverseitige Tests. Einige Tests können basierend auf Informationen durchgeführt werden, die bereits an den Server gesendet wurden. Es ist möglicherweise nicht in der Lage, alle Speed-Hacks zu fangen, wenn jemand im Zickzack ist, aber es könnte jemanden fangen, der es schafft, sich viel schneller von Punkt A nach Punkt B zu bewegen, als es die Spielregeln zulassen.

Es gibt auch eine faszinierende Option: Verpflichtungen. Ein Client kann eine kryptografische Verpflichtung anbieten, die alle Benutzerinteraktionen beschreibt, z. B. einen SHA-1-Hash. Auf Befehl des Servers müssen sie möglicherweise die Daten angeben, die diesen Hash generiert haben. Dieses Muster wird in einigen verteilten Spielen verwendet, die keinen Server haben, um die Spieler ehrlich zu halten. Kunden sind verpflichtet, sich zu Maßnahmen zu verpflichten, die sie in der Vergangenheit ergriffen haben, bevor andere Kunden dann die aktuellen Daten senden. Dies verhindert, dass ein Client seinen Verlauf neu schreibt.

Valve führt für alles eine serverseitige VALIDIERUNG durch.

Alle Client-Eingaben sind vollkommen GÜLTIG.

Valve überprüft bereits gültige Benutzerdaten. Zum Beispiel kann der Client dem Server nicht sagen: "Ich habe Sparkles aus dem CT-Spawn geschossen, als er im T-Spawn war."

Außerdem wird überprüft, ob Sie beim Kauf von etwas nicht sind. Ich versuche nicht, diese Waffe auf Kredit zu kaufen. Wenn der Server das nicht getan hätte, würde der Betrüger AWPs für Pistolengeschosse kaufen.

Betrug ist GÜLTIG

Das Problem ist, dass Betrug (zum Beispiel bei CSGO) funktioniert Perfekt gültige Aktion (die Cheats, die ungültige Aktionen ausführen, wie der Spawn Teleport-Fehler, können leicht behoben werden). Das Problem ist, dass Betrüger verschiedene Methoden verwenden, um gültige Eingaben einzugeben, die entweder verbessert oder von einem Computer vorgenommen werden.

Tatsächlich versucht VAC, den Turing-Test auf einen Spieler anzuwenden. Selbst ein Server kann die Identität des Agenten, der die Entscheidungen trifft, nicht überprüfen.

Serverseitige Überprüfungen stellen sicher, dass die vom Client angeforderten Vorgänge legal sind. Grundsätzlich, damit Sie nicht versuchen, doppelt so schnell zu laufen, wie es Ihnen gestattet ist.

Bei clientseitigen Überprüfungen wird versucht, zu überprüfen, ob die Entscheidung, diese Änderung vorzunehmen, von einem Menschen getroffen wird, nicht von der Computer - z Zielbots, die legale Clientbefehle ausführen (und daher vom Server nicht erkannt werden können), aber dennoch nicht zulässig sind.

Auf der Serverseite können Sie auch große Datenmengen nachbearbeiten, um festzustellen, ob der Player vorhanden ist betrügt, aber das ist etwas, worauf Sie achten müssen, und es ist immer eine unvollkommene Wissenschaft.