觸碰DDoS有關(guān)技術(shù)性和商品8年��,當(dāng)中6年�,都是在研究游戲市場(chǎng)的DDoS進(jìn)攻難點(diǎn)。
我認(rèn)為�,游戲市場(chǎng)一直是市場(chǎng)競(jìng)爭(zhēng)、進(jìn)攻最復(fù)雜的一個(gè)“武林”���。很多網(wǎng)絡(luò)游戲公司在發(fā)展業(yè)務(wù)時(shí)����,對(duì)自己本身的系統(tǒng)軟件、網(wǎng)絡(luò)安全防護(hù)�,存有眾多盲點(diǎn);對(duì)DDoS進(jìn)攻到底是什么��,如何打�����,都沒(méi)有真真正正掌握���。
我曾經(jīng)見(jiàn)到充滿激情的創(chuàng)業(yè)者��、一個(gè)個(gè)游戲玩法很有特色的商品����,被這些互聯(lián)網(wǎng)技術(shù)進(jìn)攻難題抹殺在搖籃里����;也看到過(guò)一個(gè)經(jīng)營(yíng)很好產(chǎn)品,由于遭到DDoS進(jìn)攻���,而一蹶不振��。
那也是為何想把自身6年做游戲市場(chǎng)DDoS的工作經(jīng)驗(yàn)�����,與大伙兒一起分享��,協(xié)助在游戲領(lǐng)域內(nèi)全速前進(jìn)的公司���,掌握本行業(yè)的安全性趨勢(shì)����,并提供一些可以用的提議���。
在與網(wǎng)絡(luò)游戲公司安全性精英團(tuán)隊(duì)觸碰的情況下�,見(jiàn)到游戲市場(chǎng)對(duì)安全性有2個(gè)非常大的錯(cuò)誤觀念�����。
第一個(gè)問(wèn)題是:并沒(méi)有直接損失����,就表示我很安全性�。
實(shí)際上��,對(duì)比其他行業(yè)����,游戲市場(chǎng)的傷害量和復(fù)雜性都需要高一籌�����。每一個(gè)網(wǎng)絡(luò)游戲公司���,每一個(gè)運(yùn)用���,我覺(jué)得都遭遇過(guò)進(jìn)攻。但很多安全游戲責(zé)任人�����,依然會(huì)“不在乎的說(shuō)說(shuō)聽(tīng)雷電”�����,并沒(méi)有發(fā)覺(jué)正在發(fā)生的進(jìn)攻����,或是索性置若罔聞����,從而留下安全風(fēng)險(xiǎn)���。
第二個(gè)問(wèn)題是:許多游戲市場(chǎng)安全負(fù)責(zé)人會(huì)覺(jué)得����,只需裝了服務(wù)器防火墻�����,就可遮擋絕大多數(shù)的進(jìn)攻����。
但是,防火墻的作用實(shí)際上很比較有限�。也從側(cè)邊說(shuō)明了很多游戲市場(chǎng)安全性欠缺的根本原因:只去搞好一個(gè)點(diǎn),卻看不見(jiàn)全部面��。
但是����,網(wǎng)絡(luò)攻擊總是會(huì)從意想不到的薄弱環(huán)節(jié),攻占全部游戲市場(chǎng)的內(nèi)部系統(tǒng)��。
MiraiBotnet進(jìn)攻模擬圖
以DDoS進(jìn)攻為例子����,2016年,全世界有統(tǒng)計(jì)的DDoS最高值己經(jīng)600G����,300G之上的DDoS進(jìn)攻,在互聯(lián)網(wǎng)行業(yè)內(nèi)早已一點(diǎn)也不新奇��。
為什么游戲會(huì)是DDoS進(jìn)攻的高發(fā)區(qū)呢����?這兒說(shuō)幾個(gè)方面關(guān)鍵的緣故。
最先是由于游戲市場(chǎng)的進(jìn)攻成本費(fèi)便宜��,是安全防護(hù)成本費(fèi)的1/N�����,防御兩邊極其不均衡�����。伴隨著進(jìn)攻方的玩法越發(fā)繁雜、加強(qiáng)攻勢(shì)愈來(lái)愈多���,基本上的靜態(tài)數(shù)據(jù)安全防護(hù)對(duì)策沒(méi)法做到良好的功效����,也就加重了這類不均衡�����。
次之�����,手機(jī)游戲行業(yè)生命周期短����。一款游戲從出世,到衰落����,許多全是大半年的的時(shí)間,假如抗但是一次大的進(jìn)攻���,很可能就死在半路����。網(wǎng)絡(luò)黑客都是瞄中了這一點(diǎn),評(píng)定:只需發(fā)起攻擊���,網(wǎng)絡(luò)游戲公司一定會(huì)給“管理費(fèi)”。
再度��,游戲市場(chǎng)對(duì)持續(xù)性的規(guī)定非常高�����,必須7*24線上��,因而假如遭受DDoS進(jìn)攻��,手機(jī)游戲業(yè)務(wù)流程非常容易會(huì)導(dǎo)致很多的游戲玩家外流���。曾經(jīng)的我見(jiàn)過(guò)在被進(jìn)攻的2-3天之后�����,網(wǎng)絡(luò)游戲公司的用戶總數(shù)�����,從數(shù)萬(wàn)人掉到幾百人����。
最終����,網(wǎng)絡(luò)游戲公司中間的惡性價(jià)格競(jìng)爭(zhēng),也加重了對(duì)于制造行業(yè)的DDoS進(jìn)攻���。
而對(duì)于互聯(lián)網(wǎng)行業(yè)的DDoS進(jìn)攻種類也特別的復(fù)雜性多種多樣���。匯總出來(lái),大概分成這幾種:
最先是空聯(lián)接:網(wǎng)絡(luò)攻擊與服務(wù)器經(jīng)常創(chuàng)建TCP聯(lián)接���,占有服務(wù)器端的聯(lián)接網(wǎng)絡(luò)資源��,有些會(huì)斷掉�����,有些一直維持�����;例如開(kāi)一家面館��,“黑道陣營(yíng)”一直去排長(zhǎng)隊(duì)���,可是并不消費(fèi)�����,那樣這時(shí)常規(guī)的顧客還會(huì)沒(méi)法進(jìn)來(lái)交易。
其次是總流量型進(jìn)攻:網(wǎng)絡(luò)攻擊選用udp報(bào)文格式攻擊網(wǎng)站的手機(jī)游戲端口號(hào)��,危害正常的游戲玩家的速率�����;也是上邊的示例����,總流量型進(jìn)攻相當(dāng)于惡人直接把面店的門(mén)給堵了。
再度��,CC進(jìn)攻:網(wǎng)絡(luò)攻擊攻擊網(wǎng)站的認(rèn)證頁(yè)面��,網(wǎng)頁(yè)登陸�����,游戲社區(qū)等,這個(gè)是一類較為高檔的進(jìn)攻了�。這樣的事情相當(dāng)于,惡人占據(jù)了收款臺(tái)付款��,找服務(wù)員去點(diǎn)餐�,致使正常的的客戶不能享有到服務(wù)項(xiàng)目。
然后�,人偶進(jìn)攻:模擬類游戲登錄和創(chuàng)建角色全過(guò)程,導(dǎo)致網(wǎng)絡(luò)服務(wù)器人山人海�����,危害正常的游戲玩家���。
也有對(duì)用戶的DDoS進(jìn)攻:對(duì)于動(dòng)作類游戲�����,攻擊對(duì)方游戲玩家的互聯(lián)網(wǎng)使之游戲掉線或是速度比較慢和對(duì)網(wǎng)關(guān)ipDDoS進(jìn)攻:進(jìn)攻服務(wù)器的網(wǎng)關(guān)ip��,游戲運(yùn)行遲緩�����。
最后是聯(lián)接進(jìn)攻:經(jīng)常的攻擊網(wǎng)站�����,發(fā)廢棄物報(bào)文格式��,導(dǎo)致網(wǎng)絡(luò)服務(wù)器忙碌編解碼垃圾數(shù)據(jù)��。
我用普遍的DDoS和CC進(jìn)攻為例子�����,對(duì)他的拒絕服務(wù)攻擊做一個(gè)說(shuō)明����。
DDoS進(jìn)攻的關(guān)鍵的方法是synflood,ackflood,udpflood等總流量型的進(jìn)攻�,自身從拒絕服務(wù)攻擊來(lái)是非常簡(jiǎn)單的,不管是哪種方法����,流量大是前提條件。假如防御力方有充裕的網(wǎng)絡(luò)帶寬網(wǎng)絡(luò)資源�����,現(xiàn)階段的方式方法防御力也不會(huì)是難題;對(duì)于UDPflood��,事實(shí)上好多游戲現(xiàn)階段也不必須使用UDP協(xié)議書(shū)���,能直接丟掉掉���。
而CC進(jìn)攻分成二種。一般對(duì)于WEB網(wǎng)址的進(jìn)攻叫CC攻擊��,可是對(duì)于服務(wù)器的傷害�����,許多人一般也叫CC進(jìn)攻�����,二種全是仿真模擬真實(shí)的手機(jī)客戶端與服務(wù)器端建立連接以后�����,發(fā)送請(qǐng)求�。
對(duì)于企業(yè)網(wǎng)站的CC如下所示,一般是建立連接以后,仿冒電腦瀏覽器��,進(jìn)行很多httpget的要求,耗光服務(wù)器的網(wǎng)絡(luò)資源。
對(duì)于服務(wù)器的CC�����,一般是建立連接以后,仿冒手機(jī)游戲的通訊報(bào)文格式維持連接不斷開(kāi)�����,有一些進(jìn)攻程序流程乃至也不要看手機(jī)游戲的正常的報(bào)文格式�����,反而是立即仿冒一些廢棄物報(bào)文格式維持聯(lián)接�����。
那樣�����,網(wǎng)絡(luò)游戲公司怎樣才能分辨自身是不是已經(jīng)受到攻擊�?
假設(shè)可清除路線和硬件故障的前提下,突然發(fā)現(xiàn)連接網(wǎng)絡(luò)艱難����,已經(jīng)手機(jī)游戲的消費(fèi)者斷線等情況,則表明極有可能是受到了DDoS進(jìn)攻�����。
現(xiàn)階段�,游戲市場(chǎng)的IT基礎(chǔ)設(shè)施建設(shè)一般有2種布署方式:一種是選用云計(jì)算技術(shù)或是代管IDC方式,另外一種是自拉網(wǎng)絡(luò)專線��。但根據(jù)連接花費(fèi)的考慮到��,絕大部分選用前面一種�。
不論是前面一種或是后面一種連接,在通常情況下����,游戲用戶都能夠隨意順暢的進(jìn)入服務(wù)器并進(jìn)行休閑。因此���,假如突然冒出下邊這幾種狀況���,就能夠基本上分辨是“受到攻擊”情況:
(1)服務(wù)器的IN/OUT總流量較平日有明顯的提高
(2)服務(wù)器的CPU或是運(yùn)行內(nèi)存使用率發(fā)生無(wú)期望的瘋漲
(3)根據(jù)查詢現(xiàn)階段服務(wù)器的連接狀態(tài)��,發(fā)覺(jué)有許多半閉聯(lián)接�����,或者許多外界IP地址����,都和該設(shè)備的服務(wù)端口創(chuàng)建幾十個(gè)之上的ESTABLISHED情況的聯(lián)接����,則表明遭到了TCP多聯(lián)接進(jìn)攻
(4)游戲程序聯(lián)接服務(wù)器不成功或是登陸全過(guò)程十分遲緩
(5)正在進(jìn)行手機(jī)游戲的客戶忽然沒(méi)法實(shí)際操作或是十分遲緩或是一直斷開(kāi)
在了解難題,和進(jìn)攻情況的分辨方式以后���,而言說(shuō)我所認(rèn)識(shí)的DDoS安全防護(hù)方式����。
現(xiàn)階段��,可以用的DDoS減輕方式�����,有三大類�。首先是構(gòu)架提升,其次是網(wǎng)絡(luò)服務(wù)器結(jié)構(gòu)加固����,最后是商業(yè)的DDoS安全防護(hù)服務(wù)項(xiàng)目。
網(wǎng)絡(luò)游戲公司必須依據(jù)自身的費(fèi)用預(yù)算�、進(jìn)攻比較嚴(yán)重水平,來(lái)確定采用哪一種���。
在估算比較有限的前提下����,能從完全免費(fèi)的DDoS減輕計(jì)劃方案����,和本身構(gòu)架的提升上下功夫,緩解DDoS進(jìn)攻的危害�。
a.假如系統(tǒng)部署在云上,可以用云解析����,提升DNS的智能化分析,與此同時(shí)提議代管好幾家DNS服務(wù)提供商��,這樣可以防止DNS進(jìn)攻的風(fēng)險(xiǎn)性�����。
b.應(yīng)用SLB,根據(jù)web服務(wù)緩解CC傷害的危害�����,后面負(fù)荷幾臺(tái)ECS網(wǎng)絡(luò)服務(wù)器�,這樣可以對(duì)DDoS進(jìn)攻里的CC進(jìn)攻開(kāi)展安全防護(hù)。在企業(yè)官網(wǎng)加了web服務(wù)計(jì)劃方案后���,不但有對(duì)網(wǎng)址具有CC進(jìn)攻安全防護(hù)功效��,也可以將瀏覽客戶開(kāi)展平衡分派到每個(gè)web服務(wù)器上���,降低單獨(dú)web服務(wù)器壓力,加速網(wǎng)址網(wǎng)站打開(kāi)速度���。
c.應(yīng)用特有互聯(lián)網(wǎng)VPC�,避免內(nèi)部網(wǎng)進(jìn)攻�。
d.搞好服務(wù)器的功能測(cè)試,評(píng)定正常的業(yè)務(wù)流程自然環(huán)境下能承載的網(wǎng)絡(luò)帶寬和要求數(shù)��,保證能夠及時(shí)的延展性擴(kuò)充�����。
e.服務(wù)器防御DDoS進(jìn)攻最壓根的舉措便是掩藏網(wǎng)絡(luò)服務(wù)器真正IP地址����。當(dāng)網(wǎng)絡(luò)服務(wù)器對(duì)外開(kāi)放傳輸數(shù)據(jù)時(shí),就可能泄漏IP���,比如�����,讓我們普遍的應(yīng)用服務(wù)器發(fā)送電子郵件作用便會(huì)泄漏服務(wù)器的IP����。
因此��,大家在發(fā)郵件時(shí)�����,必須根據(jù)第三方代理商推送����,這樣子顯示出來(lái)的IP是代理商IP��,因此不可能泄漏真正IP地址���。在資產(chǎn)充分的情況下,能選DDoS服務(wù)器��,且在網(wǎng)絡(luò)服務(wù)器前面加CDN轉(zhuǎn)站�����,每一個(gè)網(wǎng)站域名和子域名都應(yīng)用CDN來(lái)分析���。
還可以對(duì)本身網(wǎng)絡(luò)服務(wù)器做安全加固�����。
a.操縱TCP聯(lián)接��,根據(jù)iptable之類的手機(jī)軟件服務(wù)器防火墻能夠限定一些IP的新創(chuàng)建聯(lián)接�;
b.操縱一些IP的速度�����;
c.鑒別手機(jī)游戲特點(diǎn),對(duì)于不符手機(jī)游戲特點(diǎn)的銜接能夠斷掉����;
d.操縱空聯(lián)接和人偶,對(duì)于空聯(lián)接的IP可以加黑�����;
e.學(xué)習(xí)培訓(xùn)體制����,維護(hù)游戲在線玩家不掉線���,根據(jù)網(wǎng)絡(luò)服務(wù)器能夠收集正常的游戲玩家的信息內(nèi)容���,當(dāng)應(yīng)對(duì)進(jìn)攻的情況下能將正常的游戲玩家導(dǎo)進(jìn)事先打算的網(wǎng)絡(luò)服務(wù)器,新入游戲玩家能夠臨時(shí)舍棄����;
f.保證網(wǎng)站服務(wù)器安全性;
g.保證服務(wù)器的安裝文件是全新的新版本,并及時(shí)更新漏洞補(bǔ)?���。?/p>
h.管理人員需對(duì)任何服務(wù)器進(jìn)行檢查��,了解來(lái)訪者的由來(lái);
i.過(guò)慮不必要的服務(wù)項(xiàng)目和端口號(hào):能夠使用工具來(lái)過(guò)慮不必要的服務(wù)項(xiàng)目和端口號(hào)(即在路由器上過(guò)慮假I(mǎi)P��,只對(duì)外開(kāi)放服務(wù)端口)���。也變成目前許多服務(wù)器的時(shí)興作法�。比如�����,“WWW”網(wǎng)絡(luò)服務(wù)器�,只對(duì)外開(kāi)放80端口號(hào),將別的全部端口號(hào)關(guān)掉��,或在服務(wù)器防火墻上做阻攔對(duì)策�����;
j.限定與此同時(shí)開(kāi)啟的SYN半聯(lián)接數(shù)量,減少SYN半聯(lián)接的timeout時(shí)間,限定SYN/ICMP總流量����;
k.認(rèn)真檢查計(jì)算機(jī)設(shè)備和服務(wù)器/網(wǎng)站服務(wù)器的日志。只需日志發(fā)生系統(tǒng)漏洞或者時(shí)長(zhǎng)變動(dòng),那這臺(tái)設(shè)備就很有可能遭到了進(jìn)攻�����;
l.限定在服務(wù)器防火墻外與互聯(lián)網(wǎng)共享文件。那樣會(huì)給網(wǎng)絡(luò)黑客提取安裝文件的機(jī)遇,若網(wǎng)絡(luò)黑客以木馬病毒更換它�����,文件傳送作用毫無(wú)疑問(wèn)會(huì)深陷麻痹�;
m.充分利用網(wǎng)絡(luò)機(jī)器設(shè)備維護(hù)互聯(lián)網(wǎng)資源;
n.禁止使用ICMP����。僅在必須檢測(cè)時(shí)對(duì)外開(kāi)放ICMP��。在配置路由器時(shí)也考慮到下邊的對(duì)策:流控���,包過(guò)慮�,半網(wǎng)絡(luò)連接超時(shí)����,垃圾包丟掉,由來(lái)仿冒的數(shù)據(jù)文件丟掉�����,SYN閾值,禁止使用ICMP和UDP廣播節(jié)目���;
o.應(yīng)用高可維護(hù)性的DNS機(jī)器設(shè)備來(lái)保障對(duì)于DNS的DDoS進(jìn)攻��?��?梢赃x擇選購(gòu)DNS商業(yè)服務(wù)解決方法,它能夠給予對(duì)于DNS或TCP/IP3到7層的DDoS進(jìn)攻維護(hù)���。
再就是商業(yè)的DDoS解決方法�����。
對(duì)于超大型總流量的傷害或是比較復(fù)雜的手機(jī)游戲CC進(jìn)攻��,可以選擇選用專門(mén)的DDoS解決方法?���,F(xiàn)階段���,通用性的游戲市場(chǎng)安全解決方案����,作法要在IDC機(jī)房前面布署服務(wù)器防火墻或是總流量清理的一些機(jī)器設(shè)備,或是選用大帶寬的高防主機(jī)房來(lái)清理進(jìn)攻�。
當(dāng)帶寬資源充裕時(shí),此技術(shù)性方式確實(shí)是防御游戲領(lǐng)域DDoS進(jìn)攻的合理形式���。但是網(wǎng)絡(luò)帶寬網(wǎng)絡(luò)資源有時(shí)候還會(huì)變成短板:比如點(diǎn)射的IDC非常容易被揍滿�����,對(duì)網(wǎng)絡(luò)游戲公司自身的費(fèi)用標(biāo)準(zhǔn)也高些�����。
在阿里云服務(wù)器����,我們團(tuán)隊(duì)去刷新網(wǎng)絡(luò)帶寬“太空競(jìng)賽”的對(duì)策����,是給予一個(gè)靠譜的訪問(wèn)網(wǎng)絡(luò)��,那也是游戲盾問(wèn)世的初心���。
游戲盾風(fēng)險(xiǎn)控制方式的目的�����,是以接到瀏覽的第一刻起�,便分辨這是“好”或是“壞”,進(jìn)而確定它是否能夠?yàn)g覽到它想訪問(wèn)的網(wǎng)絡(luò)資源���;而當(dāng)進(jìn)攻確實(shí)出現(xiàn)時(shí)���,還可以根據(jù)智能流量生產(chǎn)調(diào)度,將每一個(gè)業(yè)務(wù)流程總流量轉(zhuǎn)換到一個(gè)正常運(yùn)行的數(shù)據(jù)中心�����,確保手機(jī)游戲正常運(yùn)轉(zhuǎn)����。
某棋牌游戲領(lǐng)域根據(jù)游戲盾的構(gòu)架平面圖
因此,根據(jù)風(fēng)險(xiǎn)控制基礎(chǔ)理論和SDK連接技術(shù)性�,游戲盾能夠高效地將網(wǎng)絡(luò)黑客和正常的游戲玩家開(kāi)展分拆,能夠防御力超出300G之上的超大型ddos攻擊�����。
風(fēng)險(xiǎn)控制基礎(chǔ)理論必須使用很多的云云計(jì)算服務(wù)器和互聯(lián)網(wǎng)資源�,阿里云服務(wù)器純天然的優(yōu)點(diǎn)為游戲盾增添了非常好的土壤層��,當(dāng)游戲盾能生產(chǎn)調(diào)度10萬(wàn)之上連接點(diǎn)開(kāi)展快速計(jì)算和迅速調(diào)整的過(guò)程中��,那給網(wǎng)絡(luò)攻擊的感覺(jué)是這個(gè)游戲早已從他的進(jìn)攻總體目標(biāo)里邊消退��。
游戲盾����,是阿里云的人工智能應(yīng)用與調(diào)度算法�,在安全性領(lǐng)域里的實(shí)踐。
而伴隨著防御過(guò)程的推動(dòng)����,傳輸層和接入層逐漸發(fā)展壯大,我們希望“游戲盾”的風(fēng)險(xiǎn)控制策略�����,會(huì)逐漸延伸到各個(gè)行業(yè)中����,建立起一張安全性����、可靠的互聯(lián)網(wǎng)��。這張網(wǎng)絡(luò)中��,傳送著干干凈凈的總流量���,而進(jìn)攻被外置到網(wǎng)上的邊緣處。每一個(gè)端���,在連接這張互聯(lián)網(wǎng)時(shí)�����,都是會(huì)通過(guò)風(fēng)險(xiǎn)管控的鑒別���,網(wǎng)內(nèi)的風(fēng)控,也讓惡人無(wú)法打開(kāi)到他鎖住網(wǎng)絡(luò)資源����。
將來(lái),以網(wǎng)絡(luò)資源為基本的DDoS安全防護(hù)時(shí)期終究會(huì)被擺脫����,演變出DDoS真真正正免疫力的風(fēng)險(xiǎn)控制構(gòu)架。
而我們所做的�,只是一個(gè)逐漸���。
咨詢熱線:
400-996-8756
產(chǎn)品詳情頁(yè)
0371-89913000
