游戏行业DDoS 6年谈:甚么样的架构才可以对DDoS免
小刀网络 2023-08-02 08:19:19 0

接触DDoS相关技术和产品8年,其中6年,都在探究游戏行业的DDoS攻击困难。

在我看来,游戏行业一直是竞争、攻击最复杂的一个“江湖”。许多游戏公司在发展业务时,对本身的系统、业务安全,存在诸多盲区;对DDoS攻击究竟是甚么,怎样打,也没有真正了解。

我曾看到充满豪情的创业团队、一个个玩法很有特点的产品,被这类互联网攻击问题抹杀在摇篮里; 也看到过一个运营很好的产品,由于遭受DDoS攻击,而萎靡不振。

这也是为何想把自己6年做游戏行业DDoS的经验,与大家一起分享,帮助在游戏领域内全速前进的企业,了解本行业的安全态势,并给出一些可用的建议。

在与游戏公司安全团队接触的进程中,看到游戏行业对安全有两个很大的误区。

第一个误区是:没有直接损失,就代表我很安全。

事实上,相比其它行业,游戏行业的攻击量和复杂度都要高一筹。 每一个游戏公司,每一个利用,其实都遭受过攻击。但许多游戏安全负责人,依然会“蒙在鼓里听打雷”,没有发觉正在产生的攻击,或干脆视而不见,由此埋下安全隐患。

第二个误区是:很多游戏行业安全负责人会认为,只要装了防火墙,就可以挡住绝大部份的攻击。

但是,防火墙的功能其实很有限。这也从侧面说明了许多游戏行业安全薄弱的本源:只去做好一个点,却看不到全部面。

但是,攻击者总会从意想不到的薄弱点,攻陷全部游戏行业的内部系统。

Mirai Botnet攻击摹拟图

以DDoS攻击为例,2016年,全球有记录的DDoS峰值已近600G,300G以上的DDoS攻击,在游戏行业内已绝不希奇。

为何游戏会是DDoS攻击的重灾区呢?这里说几点主要的缘由。

首先是由于游戏行业的攻击本钱低廉,是防护本钱的1/N,攻防两端极度不平衡。随着攻击方的打法愈来愈复杂、攻击点愈来愈多,基本的静态防护策略没法到达较好的效果,也就加重了这类不平衡。

其次,游戏行业生命周期短。一款游戏从诞生,到灭亡,很多都是半年的时间,如果抗不过一次大的攻击,极可能就死在半路上。黑客也是瞄中了这一点,认定:只要发起攻击,游戏公司一定会给“保护费”。

再次,游戏行业对连续性的要求很高,需要7*24在线,因此如果遭到DDoS攻击,游戏业务很容易会造成大量的玩家流失。我曾见过在被攻击的2⑶天后,游戏公司的玩家数量,从几万人掉到几百人。

最后,游戏公司之间的恶性竞争,也加重了针对行业的DDoS攻击。

随着DDOS攻击在互联网上的肆虐泛滥,面对各种潜伏不可预知的攻击要挟,保护网络安全已然成为互联网公民的重要任务。比起最初的简单DOS,现在的DDOS攻击表现的是更加散布、协奏的大范围攻击阵势,其破坏性也是前所不及的。这也使得DDOS的防范工作变得更加困难。该采取怎样的措施进行有效的应对呢?打击DDOS攻击主要是以预防为主,下面是以网络安全防范为己任的小刀网络介绍新推出的“立体式”DDOS安全防护体系的几大亮点:

亮点一:多重整合

有着十年IDC运营、八年专业DDOS安全防护、在国内掌握顶尖与领先DDOS攻击防范水准的小刀网络,数以万计的DDOS攻击防范克服经验证明了其防御体系的技高一筹。小刀网络花巨额资金搭建了国内目前为止防御系数最高的全新“立体式”安全架构体系,由“高防服务器”、“高防智能DNS”“高防服务器集群”“集群式防火墙架构”“网络监控系统”“高防智能路由体系”等多个安全产品整合而成,从多层面、多角度、多结构集成一套多元化、高智能的完善安全防护体系。

亮点二:智能防御

小刀的“立体式”安全防护体系通过网络监控实现定期扫描网络主节点,利用智能DNS解析系统设置监测端口,时刻防备可能存在的安全漏洞,如果一个节点遭受攻击时将会自动切换至另外一节点。在面临攻击要挟时,小刀采取的是目前较为理想的一种应对策略,以海量的容量和资源拖垮黑客的攻击,小刀的“立体式”安全防护体系能完全有效处理超过1000G以下SYN Flood、ACK Flood、ICMP Flood、UDP Flood、DNS Flood的DDOS攻击,并能有效处理连接耗尽、HTTP Get Flood、DNS Query Flood、CC攻击等。而面对黑客DDOS攻击时,小刀组建的是散布式集群防御,可根据需求增加节点数量提高防御力度,宕机检测系统会快速响应更换已瘫痪的节点服务器保证网站正常状态。还可以把攻击者发出的数据包全部返回到发送点,使攻击源变成瘫痪状态,从而削减攻击能力。

再就是定制的商用DDoS解决方案。

针对超大流量的攻击或复杂的游戏CC攻击,可以斟酌采取专业的DDoS解决方案。目前,通用的游戏行业安全解决方案,做法是在IDC机房前端部署防火墙或流量清洗的一些装备,或采取大带宽的高防机房来清洗攻击。

当宽带资源充足时,此技术模式的确是防御游戏行业DDoS攻击的有效方式。不过带宽资源有时也会成为瓶颈:例如单点的IDC很容易被打满,对游戏公司本身的本钱要求也比较高。

在小刀网络,我们团队去颠覆带宽“军备比赛”的策略,是提供一个可信的访问网络,这也是游戏盾诞生的初衷。

游戏盾风控模式的初衷,是从收到访问的第一刻起,便判断它是“好”或者“坏”,从而决定它是不是是可以访问到它想访问的资源;而当攻击真的产生时,也能够通过智能流量调度,将所有的业务流量切换到一个正常运作的机房,保证游戏正常运行。

某棋牌行业基于游戏盾的架构示意图

所以,通过风控理论和SDK接入技术,游戏盾可以有效地将黑客和正常玩家进行拆分,可以防御超过300G以上的超大流量攻击。

风控理论需要用到大量的云计算资源和网络资源,小刀网络天然的优势为游戏盾带来了很好的土壤,当游戏盾能调度10万以上节点进行快速计算和快速调度的时候,那给攻击者的感觉是这个游戏已从他们的攻击目标里面消失。

游戏盾,是小刀网络的人工智能技术与调度算法,在安全行业中的成功实践。

而随着攻防进程的推动,网络层和接入层逐渐壮大,我们希望“游戏盾”的风控模式,会逐渐延展到各个行业中,建立起一张安全、可信的网络。这张网络中,传输着干净的流量,而攻击被前置到网络的边沿处。所有的端,在接入这张网络时,都会经过风险控制的辨认,网内的风控系统,也让坏人没法访问到他锁定资源。

未来,以资源为基础的DDoS防护时期终将被打破,演进出对DDoS真正免疫的风控架构。

而我们所做的,只是一个开始。

标签: 游戏行业
相关信息推荐