接觸DDoS相關(guān)技術(shù)和產(chǎn)品8年，其中6年，都在探究游戲行業(yè)的DDoS攻擊難題。

在我看來，游戲行業(yè)一直是競(jìng)爭(zhēng)、攻擊最復(fù)雜的一個(gè)“江湖”。許多游戲公司在發(fā)展業(yè)務(wù)時(shí)，對(duì)自身的系統(tǒng)、業(yè)務(wù)安全，存在諸多盲區(qū)；對(duì)DDoS攻擊究竟是什么，怎么打，也沒有真正了解。

我曾看到充滿激情的創(chuàng)業(yè)團(tuán)隊(duì)、一個(gè)個(gè)玩法很有特色的產(chǎn)品，被這種互聯(lián)網(wǎng)攻擊問題扼殺在搖籃里； 也看到過一個(gè)運(yùn)營(yíng)很好的產(chǎn)品，因?yàn)樵馐蹹DoS攻擊，而一蹶不振。

這也是為什么想把自己6年做游戲行業(yè)DDoS的經(jīng)驗(yàn)，與大家一起分享，幫助在游戲領(lǐng)域內(nèi)全速前進(jìn)的企業(yè)，了解本行業(yè)的安全態(tài)勢(shì)，并給出一些可用的建議。

在與游戲公司安全團(tuán)隊(duì)接觸的過程中，看到游戲行業(yè)對(duì)安全有兩個(gè)很大的誤區(qū)。

第一個(gè)誤區(qū)是：沒有直接損失，就代表我很安全。

事實(shí)上，相比其它行業(yè)，游戲行業(yè)的攻擊量和復(fù)雜度都要高一籌。 每個(gè)游戲公司，每個(gè)應(yīng)用，其實(shí)都遭受過攻擊。但許多游戲安全負(fù)責(zé)人，仍然會(huì)“蒙在鼓里聽打雷”，沒有察覺正在發(fā)生的攻擊，或者干脆視而不見，由此埋下安全隱患。

第二個(gè)誤區(qū)是：很多游戲行業(yè)安全負(fù)責(zé)人會(huì)認(rèn)為，只要裝了防火墻，就能擋住絕大部分的攻擊。

然而，防火墻的功能其實(shí)很有限。這也從側(cè)面說明了許多游戲行業(yè)安全薄弱的根源：只去做好一個(gè)點(diǎn)，卻看不到整個(gè)面。

然而，攻擊者總會(huì)從意想不到的薄弱點(diǎn)，攻陷整個(gè)游戲行業(yè)的內(nèi)部系統(tǒng)。

Mirai Botnet攻擊模擬圖

以DDoS攻擊為例，2016年，全球有記錄的DDoS峰值已近600G，300G以上的DDoS攻擊，在游戲行業(yè)內(nèi)已經(jīng)毫不稀奇。

為什么游戲會(huì)是DDoS攻擊的重災(zāi)區(qū)呢？這里說幾點(diǎn)主要的原因。

首先是因?yàn)橛螒蛐袠I(yè)的攻擊成本低廉，是防護(hù)成本的1/N，攻防兩端極度不平衡。隨著攻擊方的打法越來越復(fù)雜、攻擊點(diǎn)越來越多，基本的靜態(tài)防護(hù)策略無法達(dá)到較好的效果，也就加劇了這種不平衡。

其次，游戲行業(yè)生命周期短。一款游戲從出生，到消亡，很多都是半年的時(shí)間，如果抗不過一次大的攻擊，很可能就死在半路上。黑客也是瞄中了這一點(diǎn)，認(rèn)定：只要發(fā)起攻擊，游戲公司一定會(huì)給“保護(hù)費(fèi)”。

再次，游戲行業(yè)對(duì)連續(xù)性的要求很高，需要7*24在線，因此如果受到DDoS攻擊，游戲業(yè)務(wù)很容易會(huì)造成大量的玩家流失。我曾經(jīng)見過在被攻擊的2-3天后，游戲公司的玩家數(shù)量，從幾萬(wàn)人掉到幾百人。

最后，游戲公司之間的惡性競(jìng)爭(zhēng)，也加劇了針對(duì)行業(yè)的DDoS攻擊。

而針對(duì)游戲行業(yè)的DDoS攻擊類型也非常的復(fù)雜多樣�？偨Y(jié)下來，大致分為這幾種：

首先是空連接：攻擊者與服務(wù)器頻繁建立TCP連接，占用服務(wù)端的連接資源，有的會(huì)斷開，有的一直保持；比如開了一家面館，“黑幫勢(shì)力”總是去排隊(duì)，但是并不消費(fèi)，那么此時(shí)正常的客人也會(huì)無法進(jìn)去消費(fèi)。

其次是流量型攻擊：攻擊者采用udp報(bào)文攻擊服務(wù)器的游戲端口，影響正常玩家的速度；還是上面的例子，流量型攻擊相當(dāng)于壞人直接把面館的門給堵了。

再次，CC攻擊：攻擊者攻擊服務(wù)器的認(rèn)證頁(yè)面，登陸頁(yè)面，游戲論壇等，這是一類比較高級(jí)的攻擊了。這種情況相當(dāng)于，壞人霸占了收銀臺(tái)結(jié)賬，找服務(wù)員去點(diǎn)菜，導(dǎo)致正常的客人無法享受到服務(wù)。

而后，假人攻擊：模擬游戲登陸和創(chuàng)建角色過程，造成服務(wù)器人滿為患，影響正常玩家。

還有對(duì)玩家的DDoS攻擊：針對(duì)對(duì)戰(zhàn)類游戲，攻擊對(duì)方玩家的網(wǎng)絡(luò)使其游戲掉線或者速度慢和對(duì)網(wǎng)關(guān)DDoS攻擊:攻擊游戲服務(wù)器的網(wǎng)關(guān)，游戲運(yùn)行緩慢。

最后是連接攻擊：頻繁的攻擊服務(wù)器，發(fā)垃圾報(bào)文，造成服務(wù)器忙于解碼垃圾數(shù)據(jù)。

我以常見的DDoS和CC攻擊為例，對(duì)他們的攻擊方式做一個(gè)解釋。

DDoS攻擊的主要的方式是syn flood,ack flood,udpflood等流量型的攻擊，本身從攻擊方式來是非常簡(jiǎn)單的，無論是哪種方式，流量大是前提。如果防御方有充足的帶寬資源，目前的技術(shù)手段防御都不會(huì)是難事；針對(duì)UDPflood，實(shí)際上很多游戲目前都不需要用到UDP協(xié)議，可以直接丟棄掉。

而CC攻擊分為兩種。一般針對(duì)WEB網(wǎng)站的攻擊叫CC攻擊，但是針對(duì)游戲服務(wù)器的攻擊，很多人一般也叫CC攻擊，兩種都是模擬真實(shí)的客戶端與服務(wù)端建立連接之后，發(fā)送請(qǐng)求。

針對(duì)網(wǎng)站的CC如下，一般是建立連接之后，偽造瀏覽器，發(fā)起很多httpget的請(qǐng)求，耗盡服務(wù)器的資源。

針對(duì)游戲服務(wù)器的CC，一般是建立連接之后，偽造游戲的通信報(bào)文保持連接不斷開，有些攻擊程序甚至也不看游戲的正常報(bào)文，而是直接偽造一些垃圾報(bào)文保持連接。

那么，游戲公司如何才能判斷自己是否正在被攻擊？

假定可排除線路和硬件故障的情況下，突然發(fā)現(xiàn)連接服務(wù)器困難，正在游戲的用戶掉線等現(xiàn)象，則說明很有可能是遭受了DDoS攻擊。

目前，游戲行業(yè)的IT基礎(chǔ)設(shè)施一般有兩種部署模式：一種是采用云計(jì)算或者托管IDC模式，另外一種是自拉網(wǎng)絡(luò)專線。但基于接入費(fèi)用的考慮，絕大多數(shù)采用前者。

無論是前者還是后者接入，在正常情況下，游戲用戶都可以自由流暢的進(jìn)入服務(wù)器并參與娛樂。所以，如果突然出現(xiàn)下面這幾種現(xiàn)象，就可以基本判斷是“被攻擊”狀態(tài)：

（1） 主機(jī)的IN/OUT流量較平時(shí)有顯著的增長(zhǎng)

（2）主機(jī)的CPU或者內(nèi)存利用率出現(xiàn)無預(yù)期的暴漲

（3）通過查看當(dāng)前主機(jī)的連接狀態(tài)，發(fā)現(xiàn)有很多半開連接，或者是很多外部IP地址，都與本機(jī)的服務(wù)端口建立幾十個(gè)以上的ESTABLISHED狀態(tài)的連接，則說明遭到了TCP多連接攻擊

（4）游戲客戶端連接游戲服務(wù)器失敗或者登錄過程非常緩慢

（5）正在進(jìn)行游戲的用戶突然無法操作或者非常緩慢或者總是斷線

在知道難點(diǎn)，和攻擊狀態(tài)的判斷方法之后，來說說我所了解的DDoS防護(hù)方法。

目前，可用的DDoS緩解方法，有三大類。首先是架構(gòu)優(yōu)化，其次是服務(wù)器加固，最后是商用的DDoS防護(hù)服務(wù)。

游戲公司需要根據(jù)自己的預(yù)算、攻擊嚴(yán)重程度，來決定使用哪一種。

在預(yù)算有限的情況下，可以從免費(fèi)的DDoS緩解方案，和自身架構(gòu)的優(yōu)化上下功夫，減緩DDoS攻擊的影響。

a. 如果系統(tǒng)部署在云上，可以使用云解析，優(yōu)化DNS的智能解析，同時(shí)建議托管多家DNS服務(wù)商，這樣可以避免DNS攻擊的風(fēng)險(xiǎn)。

b. 使用SLB，通過負(fù)載均衡減緩CC攻擊的影響，后端負(fù)載多臺(tái)ECS服務(wù)器，這樣可以對(duì)DDoS攻擊中的CC攻擊進(jìn)行防護(hù)。在企業(yè)網(wǎng)站加了負(fù)載均衡方案后，不僅有對(duì)網(wǎng)站起到CC攻擊防護(hù)作用，也能將訪問用戶進(jìn)行均衡分配到各個(gè)web服務(wù)器上，減少單個(gè)web服務(wù)器負(fù)擔(dān)，加快網(wǎng)站訪問速度。

c. 使用專有網(wǎng)絡(luò)VPC，防止內(nèi)網(wǎng)攻擊。

d. 做好服務(wù)器的性能測(cè)試，評(píng)估正常業(yè)務(wù)環(huán)境下能承受的帶寬和請(qǐng)求數(shù)，確�？梢噪S時(shí)的彈性擴(kuò)容。

e. 服務(wù)器防御DDoS攻擊最根本的措施就是隱藏服務(wù)器真實(shí)IP地址。當(dāng)服務(wù)器對(duì)外傳送信息時(shí)，就可能會(huì)泄露IP，例如，我們常見的使用服務(wù)器發(fā)送郵件功能就會(huì)泄露服務(wù)器的IP。

因而，我們?cè)诎l(fā)送郵件時(shí)，需要通過第三方代理發(fā)送，這樣子顯示出來的IP是代理IP，因而不會(huì)泄露真實(shí)IP地址。在資金充足的情況下，可以選擇DDoS高防服務(wù)器，且在服務(wù)器前端加CDN中轉(zhuǎn)，所有的域名和子域都使用CDN來解析。

也可以對(duì)自身服務(wù)器做安全加固。

a. 控制TCP連接，通過iptable之類的軟件防火墻可以限制某些IP的新建連接；

b. 控制某些IP的速率；

c. 識(shí)別游戲特征，針對(duì)不符合游戲特征的連接可以斷開；

d. 控制空連接和假人，針對(duì)空連接的IP可以加黑；

e. 學(xué)習(xí)機(jī)制，保護(hù)游戲在線玩家不掉線，通過服務(wù)器可以搜集正常玩家的信息，當(dāng)面對(duì)攻擊的時(shí)候可以將正常玩家導(dǎo)入預(yù)先準(zhǔn)備的服務(wù)器，新進(jìn)玩家可以暫時(shí)放棄；

f. 確保服務(wù)器系統(tǒng)安全；

g. 確保服務(wù)器的系統(tǒng)文件是最新的版本,并及時(shí)更新系統(tǒng)補(bǔ)��；

h. 管理員需對(duì)所有主機(jī)進(jìn)行檢查，知道訪問者的來源；

i. 過濾不必要的服務(wù)和端口：可以使用工具來過濾不必要的服務(wù)和端口（即在路由器上過濾假IP，只開放服務(wù)端口）。這也成為目前很多服務(wù)器的流行做法。例如，“WWW”服務(wù)器，只開放80端口，將其他所有端口關(guān)閉，或在防火墻上做阻止策略；

j. 限制同時(shí)打開的SYN半連接數(shù)目,縮短SYN半連接的timeout 時(shí)間,限制SYN/ICMP流量；

k. 認(rèn)真檢查網(wǎng)絡(luò)設(shè)備和主機(jī)/服務(wù)器系統(tǒng)的日志。只要日志出現(xiàn)漏洞或是時(shí)間變更,那這臺(tái)機(jī)器就可能遭到了攻擊；

l. 限制在防火墻外與網(wǎng)絡(luò)文件共享。這樣會(huì)給黑客截取系統(tǒng)文件的機(jī)會(huì),若黑客以特洛伊木馬替換它，文件傳輸功能無疑會(huì)陷入癱瘓；

m. 充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源；

n. 禁用 ICMP。僅在需要測(cè)試時(shí)開放ICMP。在配置路由器時(shí)也考慮下面的策略：流控，包過濾，半連接超時(shí)，垃圾包丟棄，來源偽造的數(shù)據(jù)包丟棄，SYN 閥值，禁用 ICMP 和 UDP 廣播；

o. 使用高可擴(kuò)展性的 DNS 設(shè)備來保護(hù)針對(duì) DNS 的 DDoS 攻擊�？梢钥紤]購(gòu)買DNS商業(yè)解決方案，它可以提供針對(duì) DNS 或 TCP/IP3 到7層的 DDoS 攻擊保護(hù)。

再就是商用的DDoS解決方案。

針對(duì)超大流量的攻擊或者復(fù)雜的游戲CC攻擊，可以考慮采用專業(yè)的DDoS解決方案。目前，通用的游戲行業(yè)安全解決方案，做法是在IDC機(jī)房前端部署防火墻或者流量清洗的一些設(shè)備，或者采用大帶寬的高防機(jī)房來清洗攻擊。

當(dāng)寬帶資源充足時(shí)，此技術(shù)模式的確是防御游戲行業(yè)DDoS攻擊的有效方式。不過帶寬資源有時(shí)也會(huì)成為瓶頸：例如單點(diǎn)的IDC很容易被打滿，對(duì)游戲公司本身的成本要求也比較高。

在阿里云，我們團(tuán)隊(duì)去顛覆帶寬“軍備競(jìng)賽”的策略，是提供一個(gè)可信的訪問網(wǎng)絡(luò)，這也是游戲盾誕生的初衷。

游戲盾風(fēng)控模式的初衷，是從收到訪問的第一刻起，便判斷它是“好”還是“壞”，從而決定它是不是可以訪問到它想訪問的資源；而當(dāng)攻擊真的發(fā)生時(shí)，也可以通過智能流量調(diào)度，將所有的業(yè)務(wù)流量切換到一個(gè)正常運(yùn)作的機(jī)房，保證游戲正常運(yùn)行。

某棋牌行業(yè)基于游戲盾的架構(gòu)示意圖

所以，通過風(fēng)控理論和SDK接入技術(shù)，游戲盾可以有效地將黑客和正常玩家進(jìn)行拆分，可以防御超過300G以上的超大流量攻擊。

風(fēng)控理論需要用到大量的云計(jì)算資源和網(wǎng)絡(luò)資源，阿里云天然的優(yōu)勢(shì)為游戲盾帶來了很好的土壤，當(dāng)游戲盾能調(diào)度10萬(wàn)以上節(jié)點(diǎn)進(jìn)行快速計(jì)算和快速調(diào)度的時(shí)候，那給攻擊者的感覺是這個(gè)游戲已經(jīng)從他們的攻擊目標(biāo)里面消失。

游戲盾，是阿里云的人工智能技術(shù)與調(diào)度算法，在安全行業(yè)中的成功實(shí)踐。

而隨著攻防進(jìn)程的推進(jìn)，網(wǎng)絡(luò)層和接入層逐步壯大，我們希望“游戲盾”的風(fēng)控模式，會(huì)逐步延展到各個(gè)行業(yè)中，建立起一張安全、可信的網(wǎng)絡(luò)。這張網(wǎng)絡(luò)中，傳輸著干凈的流量，而攻擊被前置到網(wǎng)絡(luò)的邊緣處。所有的端，在接入這張網(wǎng)絡(luò)時(shí)，都會(huì)經(jīng)過風(fēng)險(xiǎn)控制的識(shí)別，網(wǎng)內(nèi)的風(fēng)控系統(tǒng)，也讓壞人無法訪問到他鎖定資源。

未來，以資源為基礎(chǔ)的DDoS防護(hù)時(shí)代終將被打破，演進(jìn)出對(duì)DDoS真正免疫的風(fēng)控架構(gòu)。

而我們所做的，只是一個(gè)開始。

本文鏈接：http://51huadong.com/cloundnews/11001253.html