Como funciona a anti-deteção de jogadores falsos ao nível da rede

Todos os fornecedores de jogadores falsos nesta categoria afirmam que os seus jogadores são "100 por cento indetetáveis" e ficam por aí. Sem explicação do que significa a deteção, que sistemas realizam as verificações, ou que sinais esses sistemas procuram. Essa vagueza está bem para texto de marketing, mas não é útil se és um operador que precisa de compreender a exposição real antes de executar jogadores falsos num servidor com uma subscrição ativa de anticheat.

Este artigo explica os três vetores de deteção principais para jogadores falsos no FiveM, como cada um funciona ao nível da ligação, que sistemas anticheat utilizam que sinais, e o que fazemos para abordar cada um. Também explicamos o que significa e o que não significa na prática a frase "100 por cento indetetável".

Os três vetores de deteção

A deteção de jogadores falsos no FiveM opera através de três superfícies distintas. Compreender cada uma separadamente é a única forma de avaliar se a afirmação de anti-deteção de um fornecedor cobre o teu risco real. Operadores que usam fake players para aumentar a população do seu servidor podem ler o guia completo de jogadores falsos no FiveM para o contexto mais amplo.

Vetor um: scraping da API de CFX

A API de CFX é um endpoint público que expõe informações de jogadores para cada servidor FiveM listado no navegador de servidores. Ferramentas externas e serviços de monitorização consultam esta API para comparar a lista de jogadores que o teu servidor transmite com outros dados observáveis. A forma mais comum desta verificação examina os identificadores de jogadores: um jogador legítimo que se liga a partir de um cliente FiveM real gera um identificador Steam, um identificador Discord e um identificador de licença que são consistentes com uma conta real.

Um jogador falso que se liga sem identificadores Steam ou Discord válidos, ou com identificadores que seguem um padrão (sequenciais, prefixo repetido, obviamente sintéticos), aparecerá anómalo em qualquer scraping de API que compare a estrutura de identificadores entre jogadores. O vetor de scraping da API de CFX não é utilizado por sistemas anticheat no sentido tradicional. É utilizado por ferramentas de monitorização de terceiros, operadores concorrentes e bots de vigilância comunitária que sinalizam servidores suspeitos de executar bots.

Como o abordamos: cada ligação de jogador falso transporta um conjunto de identificadores único e estruturalmente válido. Estes identificadores seguem o mesmo formato que os identificadores gerados por clientes reais. Não partilham prefixos, não são sequenciais e não se agrupam de formas que as ferramentas de reconhecimento de padrões possam sinalizar. Rodamos os grupos de identificadores para evitar repetições entre ciclos de faturação.

Vetor dois: fingerprinting de ligação

O cliente FiveM realiza um handshake com o servidor durante a ligação que inclui informação sobre o ambiente do cliente: a versão do jogo, a versão do cliente FiveM, o token de hardware e as características de rede da ligação. O handshake de um jogador real provém de uma instalação completa do FiveM a executar em hardware de consumidor através de uma ligação à internet residencial ou comercial. Uma ligação de jogador falso gerada a partir de um centro de dados tem um perfil de rede diferente.

O fingerprinting de ligação é o vetor de deteção tecnicamente mais complexo porque opera na camada de rede antes de o jogador aparecer na lista de jogadores do servidor. Os sistemas anticheat que realizam fingerprinting examinam a classificação do intervalo de IP (centro de dados versus residencial), padrões de latência de ligação que não correspondem à localização geográfica declarada, e campos do handshake do cliente que se desviam da distribuição esperada para clientes reais.

Como o abordamos: os nossos nós de ligação estão distribuídos por regiões usando infraestrutura que não aparece nas ferramentas padrão de classificação de intervalos de IP usadas por sistemas adjacentes ao FiveM. Os perfis de latência estão calibrados para corresponder a valores realistas para cada região. Os parâmetros do handshake do cliente são ajustados à distribuição esperada para clientes FiveM genuínos na versão de artefacto que o teu servidor reporta.

Vetor três: análise nativa do txAdmin

O txAdmin, o painel de gestão de servidores padrão para FiveM, tem capacidades nativas de monitorização de jogadores. Os operadores e moderadores que reveem a lista de jogadores do txAdmin podem ver metadados de ligação que vão além do que o navegador de servidores mostra: hora de entrada, estado de ligação, a sequência de carregamento de recursos ao entrar, e padrões de comportamento durante a sessão.

Um jogador falso que se liga mas não progride através da sequência padrão de carregamento de recursos, ou que aparece na lista de jogadores sem que os eventos esperados do lado do servidor sejam acionados, é visível para um operador de txAdmin experiente. Além disso, as integrações de txAdmin para alguns sistemas anticheat mostram dados do lado do jogador que estariam ausentes para uma ligação gerada sem um cliente de jogo em execução.

Como o abordamos: as nossas ligações de jogadores falsos são nativas do txAdmin, o que significa que aparecem na lista de jogadores do txAdmin como esperado, completam a sequência de ligação que o txAdmin monitoriza, e acionam os eventos do lado do servidor que o txAdmin e as suas integrações esperam de uma ligação legítima. É por isso que a nossa integração de txAdmin requer que o servidor esteja numa versão de artefacto compatível. O comportamento de ligação é específico da versão.

O que os sistemas anticheat verificam realmente

Os quatro sistemas anticheat mais comummente implementados em servidores FiveM são FiveGuard, Electron, Waveshield e Reaper. Cada um tem um âmbito de deteção diferente e uma relação diferente com as ligações de jogadores falsos.

FiveGuard

O FiveGuard opera principalmente como um anticheat do lado do cliente que deteta modificações do jogo, injeções de trapaças e ficheiros de jogo modificados na máquina do jogador. O seu mecanismo de aplicação é um banimento no identificador de licença e no token de hardware do jogador. Como os jogadores falsos não executam um cliente de jogo com um processo monitorizado pelo FiveGuard, as verificações do lado do cliente do FiveGuard não se aplicam a eles. No entanto, o FiveGuard também realiza validação de ligação do lado do servidor que verifica a estrutura do identificador e os metadados de ligação.

Testámos as nossas ligações de jogadores falsos em servidores que executam FiveGuard. As ligações passam a validação do lado do servidor quando estão corretamente configuradas. O requisito de configuração chave é garantir que a tua versão de artefacto está dentro do intervalo compatível e que os identificadores de jogadores falsos passam a validação de estrutura do FiveGuard.

Electron

O anticheat Electron combina monitorização de processos do lado do cliente com análise de comportamento do lado do servidor. Do lado do servidor, o Electron monitoriza padrões de comportamento dos jogadores: entradas de movimento, eventos de spawn e eventos de interação que seriam gerados por um jogador real ao longo do tempo. Um jogador falso que se liga e permanece completamente estático do ponto de vista do Electron gera uma assinatura de comportamento diferente da de qualquer jogador real.

Os nossos jogadores falsos geram ruído de comportamento mínimo para evitar assinaturas de ligação estática. Não é uma simulação completa do comportamento do jogador, mas é suficiente para evitar acionar a deteção de padrões passivos do Electron. O valor principal do Electron é detetar trapaceiros no jogo ativo, não auditar a qualidade da ligação, por isso a superfície de falsos positivos para jogadores falsos numa implementação corretamente configurada é limitada.

Waveshield e Reaper

O Waveshield e o Reaper são sistemas de proteção ao nível da rede focados na mitigação de DDoS e na filtragem de ligações em vez da deteção de trapaças ao nível do jogo. O Waveshield opera como um proxy de ligação que classifica as ligações recebidas e filtra as malformadas ou anómalas. O Reaper centra-se na limitação de velocidade e na análise de padrões de ligação.

Ambos os sistemas podem teoricamente sinalizar as ligações de jogadores falsos se a taxa de ligação ou o padrão de IP de origem parecer automatizado. Encaminhamos as ligações de jogadores falsos através de nós dispersos com perfis de velocidade que correspondem aos padrões de entrada orgânica. As ligações não são estabelecidas em lotes agrupados. São escalonadas ao longo de intervalos de entrada realistas.

O que significa realmente "100 por cento indetetável"

Nenhum serviço de jogadores falsos é indetetável em todas as condições, e qualquer fornecedor que afirme o contrário sem qualificação está a enganar-te. A afirmação precisa é: os nossos jogadores falsos não são detetados pelas verificações automatizadas padrão utilizadas pelos sistemas anticheat que testámos, nas versões de artefacto dentro da nossa matriz de compatibilidade, quando a configuração do servidor cumpre os requisitos que documentamos.

O enquadramento do risco muda quando percebes isto corretamente. O modelo de ameaça realista para a maioria dos operadores não é uma auditoria manual de CFX. São as ferramentas de monitorização comunitária, os operadores concorrentes que usam scanners de terceiros, e os sistemas anticheat que realizam validação automatizada de ligações. Contra essas ameaças, as nossas medidas de anti-deteção são eficazes.

Anti-deteção e compatibilidade de versões de artefacto

A anti-deteção não é uma configuração que se define uma vez e se esquece. O protocolo de handshake do FiveM e a lógica de validação de ligação utilizada pelos sistemas anticheat mudam com as atualizações do jogo e os lançamentos de artefactos. Uma ligação de jogador falso que passa a validação na build de artefacto 7290 pode falhar na build 7500 se uma atualização do jogo tiver alterado os parâmetros esperados do handshake.

Mantemos a compatibilidade acompanhando os lançamentos de artefactos e atualizando o nosso software de ligação quando os parâmetros do handshake mudam. As atualizações à nossa camada de ligação são implementadas dentro de 24 a 48 horas após um lançamento de artefacto importante que altere o comportamento de validação. Durante a janela de atualização, as ligações nas versões de artefacto afetadas podem experimentar fiabilidade reduzida.

• Quando é lançada uma atualização importante do FiveM, verifica a página de estado do painel antes de concluir que os teus jogadores estão avariados.
• Fixar o teu servidor a uma versão de artefacto testada é a forma mais fiável de manter um comportamento de anti-deteção estável.
• Anunciamos as atualizações de compatibilidade no Discord e no painel antes de as lançar para que possas coordenar a atualização do teu servidor com a nossa atualização da camada de ligação.

Como funcionam os grupos de identificadores e por que a rotação importa

Cada ligação de jogador falso transporta um conjunto de identificadores: um identificador de licença derivado do sistema de registo do cliente FiveM, um identificador Steam e opcionalmente um identificador Discord. Estes identificadores são os que aparecem nos registos do teu servidor e na lista de jogadores da API de CFX. Um grupo de identificadores é o conjunto de identificadores disponíveis do qual as ligações retiram quando são estabelecidas.

A reutilização de identificadores é um dos sinais de deteção mais claros para as ferramentas de monitorização. Se um servidor mostrar 40 jogadores com 10 dos mesmos hashes de identificadores a aparecer em sessões diferentes, o padrão é visível para qualquer ferramenta de análise de registos. Rodamos os grupos de identificadores entre ciclos de faturação e entre estabelecimentos de ligação para que nenhum identificador apareça mais de uma vez nos registos do teu servidor dentro de uma janela de tempo determinada.

O calendário de rotação está vinculado ao teu ciclo de faturação e à duração de cada sessão de ligação. Para ligações de longa duração (jogadores que permanecem ligados durante horas como parte de uma janela agendada), o identificador é estável durante a sessão mas é substituído na próxima ligação agendada. Para configurações de janela curta, a rotação ocorre de forma mais agressiva.

O perfil ao nível da rede de uma ligação legítima

Um jogador real do FiveM que se liga a partir de casa tem um perfil de rede distinto: um endereço IP residencial ou móvel, uma latência de ligação que corresponde à distância geográfica entre o jogador e o servidor, e um padrão de velocidade de dados durante o handshake de ligação que reflete o processo real de carregamento de recursos do cliente FiveM. A nossa camada de ligação replica estas características ao nível da rede.

O problema de classificação de IP é o desafio técnico mais significativo na anti-deteção de jogadores falsos. Os intervalos de IP de centros de dados estão documentados publicamente em bases de dados como MaxMind GeoIP e os registos ARIN WHOIS. Uma ligação a partir de um IP que mapeia para um número AS de centro de dados é imediatamente suspeita para qualquer sistema de fingerprinting de ligação que verifique a origem do IP. Os nossos nós de ligação utilizam intervalos de IP que se classificam como residenciais ou comerciais (não de centro de dados) nas bases de dados de classificação padrão usadas por ferramentas adjacentes ao FiveM.

• Os perfis de latência estão calibrados por região. Um jogador falso configurado como europeu tem latência de ligação que corresponde aos intervalos residenciais europeus para a região do teu servidor.
• As velocidades de dados durante o handshake correspondem à distribuição observada em ligações genuínas de clientes FiveM.
• Os padrões de temporização de pacotes não seguem os intervalos uniformes que as ferramentas de ligação automatizada produzem.
• A classificação de origem de IP é residencial ou comercial nas bases de dados GeoIP padrão, não de centro de dados.

Como testamos a anti-deteção de forma contínua

Executamos servidores de teste com configurações anticheat em direto para validar o nosso comportamento de ligação antes e depois de cada atualização de artefacto. Os servidores de teste executam configurações de FiveGuard, Electron e Waveshield que correspondem às configurações comuns dos operadores. As ligações de jogadores falsos são validadas contra cada configuração como parte do nosso processo de lançamento. O ciclo de testes executa-se semanalmente fora das janelas de atualização importantes do jogo, e antes de cada lançamento de uma atualização da camada de ligação.

A nossa metodologia de teste para cada sistema anticheat é específica para o que esse sistema verifica. Para o FiveGuard, validamos a estrutura do identificador e os metadados de ligação do lado do servidor. Para o Electron, observamos o sinal de comportamento gerado pelas sessões de jogadores falsos e verificamos que se enquadra no intervalo que não aciona as marcações de anomalia passiva. Para o Waveshield e o Reaper, validamos que os padrões de taxa de ligação e os perfis de origem de IP passam as regras de filtragem ao nível da rede que esses sistemas aplicam.

Próximos passos

A questão da anti-deteção e a questão do risco de banimento estão relacionadas mas são distintas. Compreender o que as medidas de anti-deteção cobrem dá-te o panorama técnico. Compreender o contexto da política da plataforma FiveM dá-te o panorama operacional. O

cobre o que a equipa de CFX disse publicamente sobre os serviços de jogadores falsos e como enquadrar o teu uso de forma responsável.