Anticheat do FiveM e jogadores falsos: guia de compatibilidade

A compatibilidade com anticheat é a questão tecnicamente mais complexa que os operadores colocam sobre o nosso serviço de jogadores falsos do FiveM. Este guia fornece uma explicação detalhada do que significa compatibilidade para cada sistema anticheat, quais as superfícies de deteção que cada sistema utiliza e como as ligações de jogadores falsos que preenchem a população do seu servidor aparecem a cada scanner.

Abordamos quatro sistemas anticheat que é provável que estejas a executar no teu servidor FiveM: FiveGuard, Electron, Waveshield e Reaper. Para cada sistema, descrevemos o que analisa ao nível da ligação com base no comportamento publicamente observável, como as ligações de jogadores falsos aparecem a cada scanner, e que ajustes de configuração previnem falsos positivos. Seremos explícitos sobre o que testámos e onde o nosso conhecimento termina.

Esta documentação é importante porque os riscos são reais. Uma sessão de jogadores falsos mal configurada que desencadeia expulsões falsas do teu anticheat provoca quedas visíveis no número de jogadores no navegador de servidores, cria ruído nos teus registos de anticheat e desperdiça o orçamento que estás a gastar em jogadores falsos. Fazer a configuração corretamente desde o início evita tudo isso.

Como as ligações de jogadores falsos diferem das ligações de jogadores reais

Antes de abordar cada sistema anticheat, é útil perceber como uma ligação de jogador falso aparece ao nível da rede em comparação com uma ligação de cliente de jogo real. Compreender esta distinção é a base para entender por que razão algumas superfícies de deteção se aplicam e outras não.

Um cliente FiveM real estabelece uma ligação através do software cliente de jogo FiveM a correr no computador do jogador. O cliente apresenta uma licença CFX válida, descarrega e carrega o manifesto de recursos do servidor, inicializa o estado do jogo e gera padrões de tráfego associados ao protocolo de rede do jogo, incluindo atualizações de movimento, pacotes de estado de entidade e outras comunicações dentro da sessão. Um cliente real também tem presença ao nível de processos no computador do jogador: um executável em execução, DLLs carregadas, alocações de memória ativas.

Uma ligação de jogador falso é uma ligação de rede ligeira que satisfaz o protocolo de handshake de ligação do servidor sem executar o cliente de jogo completo. A ligação mantém presença na lista de jogadores do servidor, contribui para a contagem de jogadores que a API CFX reporta, e aparece no registo de ligações do txAdmin como um jogador ligado. Não existe nenhum processo de cliente de jogo a correr em qualquer máquina. Não existem DLLs carregadas. Não existe nenhum estado de jogo a ser processado.

Esta distinção é diretamente relevante para a compatibilidade com anticheat. Os sistemas anticheat que analisam processos do lado do cliente, DLLs e memória não conseguem ver os jogadores falsos no sentido de os analisar, porque não existe nenhum processo de cliente para analisar. Os sistemas anticheat que operam ao nível do handshake de ligação ou do padrão de tráfego podem observar ligações de jogadores falsos e podem ter lógica de deteção que se aplica. A questão é se essa lógica está ajustada para sinalizar os padrões que as ligações de jogadores falsos produzem.

FiveGuard: o sistema mais comum no mercado

O FiveGuard é o sistema anticheat mais amplamente implementado no ecossistema de servidores FiveM em maio de 2026. É o sistema mais citado nas perguntas dos operadores sobre compatibilidade de jogadores falsos, em parte porque é muito comum e em parte porque os operadores querem confirmar que as ligações de jogadores falsos aparecem corretamente no painel do operador FiveGuard.

O FiveGuard opera através de superfícies de deteção tanto do lado do cliente como do servidor. Perceber qual destas superfícies se aplica às ligações de jogadores falsos é o núcleo da questão de compatibilidade.

Do lado do cliente, o FiveGuard analisa DLLs modificadas, processos injetados e padrões de manipulação de memória que indicam que um cliente de batota está a correr. Os jogadores falsos não têm nenhum processo do lado do cliente. Não há nada para o módulo de cliente do FiveGuard analisar do lado do jogador falso porque nenhum cliente de jogo está a correr em qualquer máquina para essa ligação. A análise do lado do cliente simplesmente não é uma superfície relevante para a análise de compatibilidade de jogadores falsos.

Do lado do servidor e da ligação, o FiveGuard pode observar metadados de ligação, padrões de tráfego e comportamento do jogador durante uma sessão. É aqui que o trabalho de compatibilidade é relevante. A nossa implementação de jogadores falsos produz padrões de tráfego consistentes com um jogador ligado mas inativo, em vez dos padrões associados a bots automatizados, ferramentas de inundação de ligações ou outros padrões de ligação adversariais que o FiveGuard está concebido para detetar.

• Análise de DLL do lado do cliente: não aplicável, não existe processo de cliente para a ligação de jogador falso
• Deteção de injeção de processos: não aplicável, não existe processo de cliente em nenhuma máquina
• Verificações de metadados de ligação: a nossa implementação passa a validação padrão do handshake
• Análise de padrões de tráfego: as nossas ligações produzem padrões consistentes com um jogador inativo
• Visibilidade no painel do operador: os jogadores falsos aparecem na lista de jogadores do FiveGuard como esperado
• Deteção de comportamento durante a sessão: não são gerados eventos de movimento ou ação dentro do jogo

Electron: identidade de hardware e integridade de sessão

O Electron é um sistema anticheat do FiveM com forte ênfase na verificação de identidade de hardware e integridade do cliente. Está concebido para associar identidades de sessão de jogadores a impressões digitais de hardware, tornando a evasão de bans significativamente mais difícil para os batoteiros reais que tentam contornar bans criando novas contas.

Para a compatibilidade de jogadores falsos, a distinção entre o lado do cliente e do servidor aplica-se novamente. O sistema de impressão digital de hardware do Electron, a aplicação de bans por HWID e a verificação de integridade do processo do cliente operam todos na máquina do cliente de jogo. Os jogadores falsos não têm uma máquina cliente no sentido que a análise do Electron pressupõe. A superfície de impressão digital de hardware não se aplica.

O Electron inclui também monitorização de sessão do lado do servidor que observa padrões de comportamento de ligação que parecem anómalos em relação às sessões normais de jogadores. É aqui que o nosso trabalho de implementação é importante. As nossas ligações de jogadores falsos estão configuradas para produzir comportamento ao nível da sessão consistente com um jogador ligado mas inativo, não as assinaturas de comportamento associadas aos padrões de ataque visados pela deteção de anomalias do Electron.

Uma preocupação de configuração específica com o Electron: algumas configurações de servidor incluem regras de tempo de espera para jogadores inativos que expulsam jogadores que estão ligados sem gerar eventos de movimento ou de jogo durante um período definido. Os jogadores falsos não geram eventos de movimento por defeito. Se a tua configuração do Electron tiver um tempo de espera de inatividade estrito, poderás ver as ligações de jogadores falsos a serem expulsas após o término da janela de tempo de espera em vez de pela lógica de deteção.

Waveshield: análise de tráfego de rede e taxa de ligação

O Waveshield opera principalmente ao nível da rede e do tráfego. Está concebido para proteger servidores de jogo contra ataques DDoS, inundações de ligações e anomalias de tráfego. Ao contrário do FiveGuard e do Electron, a missão principal do Waveshield é a proteção de rede e não a deteção de batota dentro da sessão. A sua relevância para a compatibilidade de jogadores falsos resulta da sua análise de padrões de ligação.

Uma vez que o Waveshield analisa padrões de ligação como indicador de tráfego de ataque, as ligações de jogadores falsos têm de ser indistinguíveis das ligações normais de jogadores ao nível do protocolo de rede. Um conjunto de jogadores falsos a ligar-se simultaneamente numa janela curta pode parecer uma rajada de ligações ou uma tentativa de inundação suave para a lógica de limitação de velocidade do Waveshield, especialmente se as ligações partilharem padrões de endereços IP que o Waveshield associa a tráfego automatizado.

Os nossos testes confirmam que os servidores protegidos pelo Waveshield podem executar jogadores falsos sem disparar a deteção de inundação quando a taxa de ligação é gerida corretamente. O detalhe operacional fundamental é a rampa gradual de ligações em vez da ligação simultânea de todos os jogadores falsos.

A nossa infraestrutura distribui as ligações de jogadores falsos por múltiplos endereços de saída em múltiplas regiões. Isto impede que a fonte de ligação pareça uma rajada de origem única para a análise de padrões do Waveshield. Uma sessão de 30 jogadores a ligar-se gradualmente a partir de endereços distribuídos ao longo de vários minutos parece 30 jogadores reais a juntar-se através da descoberta normal do navegador, que é exatamente o que se pretende simular.

1. Inicia as ligações de jogadores falsos gradualmente, não todas de uma vez. Permite que as ligações se estendam durante 5 a 10 minutos.
2. Permite que cada lote de ligações estabilize antes de adicionar o grupo seguinte.
3. Não reinicies a sessão de jogadores falsos repetidamente em intervalos curtos durante a mesma janela de operação.
4. Se o Waveshield expulsar ligações, reduz a taxa de ligação por minuto e volta a testar.
5. Verifica se a tua configuração do Waveshield inclui um limite de taxa de ligação por IP ou por sub-rede que poderia agrupar as nossas ligações apesar da sua natureza distribuída.
6. Contacta o nosso canal de suporte com a tua versão do Waveshield e os detalhes de configuração se os ajustes básicos não resolverem as expulsões.

Reaper: deteção baseada em comportamento dentro da sessão

O Reaper adota uma abordagem baseada em comportamento para a deteção anticheat que difere significativamente da análise ao nível da rede do Waveshield e do foco na identidade de hardware do Electron. Em vez de depender de correspondência de assinaturas ou análise de taxa de ligação, o Reaper monitoriza o comportamento dos jogadores dentro da sessão em busca de padrões associados a batota: movimento que excede os limites físicos, mudanças de posição impossíveis entre ticks, sequências de ações programadas que nenhum humano poderia executar, e impressões digitais de comportamento similares.

Os jogadores falsos são ligações inativas sem qualquer comportamento dentro do jogo. Não se movem. Não disparam armas. Não geram eventos de colisão nem interagem com entidades do mundo do jogo. Isto coloca-os completamente fora do perfil de comportamento que a lógica de deteção do Reaper monitoriza. Um jogador falso que não produz nenhum evento de comportamento dentro da sessão não produz as assinaturas que desencadeiam a deteção do Reaper.

Os nossos testes são consistentes com o funcionamento do anticheat baseado em comportamento neste contexto: os sistemas que visam o comportamento de batota ativo dentro da sessão não sinalizam jogadores que estão ligados mas que não geram eventos de jogo. A superfície de deteção simplesmente não se aplica ao perfil de comportamento de uma ligação de jogador falso.

Análise nativa do txAdmin e visibilidade no painel do operador

O próprio txAdmin inclui ferramentas de monitorização do lado do servidor e de gestão de jogadores. Os jogadores falsos aparecem na lista de jogadores ligados do txAdmin como esperado. São apresentados com os nomes que configuraste, mostram a duração da ligação e persistem na lista durante toda a duração da sessão. A integração nativa com o txAdmin significa que os jogadores falsos são indistinguíveis dos jogadores reais no painel de gestão de jogadores.

O txAdmin não tem um mecanismo de deteção dedicado para ligações de jogadores falsos como categoria distinta dos jogadores reais. Quando dizemos que o nosso serviço tem integração nativa com o txAdmin, queremos dizer que as ligações são estabelecidas de forma a que o sistema de monitorização de jogadores do txAdmin as reconheça como sessões de jogadores válidas em vez de ligações malformadas ou tipos de ligação desconhecidos.

Uma nota operacional: as ferramentas de expulsão e ban de jogadores do txAdmin operam sobre os identificadores de jogadores que as ligações de jogadores falsos apresentam. Se um administrador expulsar ou banir acidentalmente uma ligação de jogador falso através do painel do txAdmin, o comportamento depende da tua configuração de jogadores falsos. A maioria dos fornecedores, incluindo nós, reconectará automaticamente os jogadores falsos expulsos no próximo ciclo de ligação. Se vires flutuações nas contagens de jogadores falsos, verifica o teu registo de ações do txAdmin em busca de expulsões acidentais.

Passos de configuração antes da implementação com qualquer anticheat

Independentemente do anticheat que estás a executar, os princípios de configuração que suportam a compatibilidade são consistentes em todos eles. Seguir estes passos antes da tua primeira implementação de jogadores falsos com uma nova versão de anticheat reduz a probabilidade de expulsões inesperadas e o tempo de diagnóstico que se segue.

1. Documenta o nome e o número de versão do teu anticheat atual antes de testar. A versão é importante quando precisas de reportar um problema de compatibilidade.
2. Começa com a contagem mínima de jogadores, 15 jogadores, em vez da tua contagem alvo completa para a sessão de teste inicial.
3. Aumenta as ligações gradualmente ao longo de 5 a 10 minutos em vez de ligar todos os jogadores simultaneamente.
4. Monitoriza o teu painel de anticheat e o teu registo de jogadores do txAdmin para eventos de expulsão ou ban nos primeiros 30 minutos.
5. Verifica a lista de jogadores do txAdmin para confirmar que os jogadores falsos aparecem como jogadores nomeados e ligados.
6. Se ocorrerem expulsões, anota o tempo e a frequência. Um tempo consistente sugere um tempo de espera de inatividade. Um tempo aleatório sugere um problema de taxa ou padrão.
7. Se vires comportamento inesperado com uma versão específica de anticheat, contacta o nosso canal de suporte com o nome do anticheat, a versão e o comportamento específico que estás a observar.

O que não podemos prometer sobre a compatibilidade com anticheat

Não afirmaremos que a nossa implementação de jogadores falsos é permanentemente compatível com cada versão de cada sistema anticheat indefinidamente. Os fornecedores de anticheat atualizam a sua lógica de deteção, alteram os seus limiares de comportamento e adicionam novas superfícies de análise sem notas de versão públicas na maioria dos casos. Uma configuração que passa o FiveGuard versão X sem incidentes pode comportar-se de forma diferente com a versão Y do mesmo sistema se a versão Y introduzir uma nova heurística de ligação inativa ou alterar a sua linha de base de padrão de tráfego.

A expectativa correta é manutenção contínua em vez de uma garantia estática. Monitorizamos o ecossistema de anticheat, acompanhamos as atualizações de versões dos principais fornecedores e respondemos a relatórios de operadores quando surgem novos problemas de compatibilidade. Quando uma atualização de anticheat altera um comportamento que afeta a nossa implementação, atualizamos a nossa implementação e documentamos a alteração.

Se atualizares o teu anticheat para uma nova versão principal e posteriormente notares que as ligações de jogadores falsos estão a ser descartadas ou sinalizadas, não assumes que o serviço está indefinidamente avariado. As atualizações de versões principais são o gatilho mais comum para alterações de compatibilidade. O processo de diagnóstico padrão é verificar o registo de alterações do anticheat se estiver disponível, reduzir a taxa de ligação ao mínimo para isolar se é um problema de taxa ou de deteção, e contactar o nosso canal de suporte com as informações de versão.

Próximos passos

Para uma análise mais aprofundada de como funciona a anti-deteção ao nível da ligação de rede, incluindo os vetores de deteção específicos que a nossa implementação aborda e como funciona a impressão digital de ligação no ecossistema CFX, o explicador de anti-deteção cobre as bases técnicas com mais detalhe.