游戏行业DDOS防护

为什么游戏会是ddos攻击的重灾区呢？这里说几点主要的原因。

首先是因为游戏行业的攻击成本低廉，是防护成本的1/N，攻防两端极度不平衡。随着攻击方的打法越来越复杂、攻击点越来越多，基本的静态防护策略无法达到较好的效果，也就加剧了这种不平衡。

其次，游戏行业生命周期短。一款游戏从出生，到消亡，很多都是半年的时间，如果抗不过一次大的攻击，很可能就死在半路上。黑客也是瞄中了这一点，认定：只要发起攻击，游戏公司一定会给“保护费”。

再次，游戏行业对连续性的要求很高，需要7*24在线，因此如果受到ddos攻击，游戏业务很容易会造成大量的玩家流失。我曾经见过在被攻击的2-3天后，游戏公司的玩家数量，从几万人掉到几百人。

最后，游戏公司之间的恶性竞争，也加剧了针对行业的DDoS攻击。

而针对游戏行业的DDoS攻击类型也非常的复杂多样。总结下来，大致分为这几种：

DDoS分类

首先是空连接：攻击者与服务器频繁建立TCP连接，占用服务端的连接资源，有的会断开，有的一直保持；比如开了一家面馆，“黑帮势力”总是去排队，但是并不消费，那么此时正常的客人也会无法进去消费。

其次是流量型攻击：攻击者采用udp报文攻击服务器的游戏端口，影响正常玩家的速度；还是上面的例子，流量型攻击相当于坏人直接把面馆的门给堵了。

再次，cc攻击：攻击者攻击服务器的认证页面，登陆页面，游戏论坛等，这是一类比较高级的攻击了。这种情况相当于，坏人霸占了收银台结账，找服务员去点菜，导致正常的客人无法享受到服务。

而后，假人攻击：模拟游戏登陆和创建角色过程，造成服务器人满为患，影响正常玩家。

还有对玩家的DDoS攻击：针对对战类游戏，攻击对方玩家的网络使其游戏掉线或者速度慢和对网关DDoS攻击:攻击游戏服务器的网关，游戏运行缓慢。

最后是连接攻击：频繁的攻击服务器，发垃圾报文，造成服务器忙于解码垃圾数据。

我以常见的DDoS和CC攻击为例，对他们的攻击方式做一个解释。

攻击方式

DDoS攻击的主要的方式是syn flood,ack flood,udpflood等流量型的攻击，本身从攻击方式来是非常简单的，无论是哪种方式，流量大是前提。如果防御方有充足的带宽资源，目前的技术手段防御都不会是难事；针对UDPflood，实际上很多游戏目前都不需要用到UDP协议，可以直接丢弃掉。

而CC攻击分为两种。一般针对WEB网站的攻击叫CC攻击，但是针对游戏服务器的攻击，很多人一般也叫CC攻击，两种都是模拟真实的客户端与服务端建立连接之后，发送请求。

针对网站的CC如下，一般是建立连接之后，伪造浏览器，发起很多httpget的请求，耗尽服务器的资源。

针对游戏服务器的CC，一般是建立连接之后，伪造游戏的通信报文保持连接不断开，有些攻击程序甚至也不看游戏的正常报文，而是直接伪造一些垃圾报文保持连接。

那么，游戏公司如何才能判断自己是否正在被攻击？

识别方式

假定可排除线路和硬件故障的情况下，突然发现连接服务器困难，正在游戏的用户掉线等现象，则说明很有可能是遭受了DDoS攻击。

目前，游戏行业的IT基础设施一般有两种部署模式：一种是采用云计算或者托管IDC模式，另外一种是自拉网络专线。但基于接入费用的考虑，绝大多数采用前者。

无论是前者还是后者接入，在正常情况下，游戏用户都可以自由流畅的进入服务器并参与娱乐。所以，如果突然出现下面这几种现象，就可以基本判断是“被攻击”状态：

• 主机的IN/OUT流量较平时有显著的增长
• 主机的CPU或者内存利用率出现无预期的暴涨
• 通过查看当前主机的连接状态，发现有很多半开连接，或者是很多外部IP地址，都与本机的服务端口建立几十个以上的ESTABLISHED状态的连接，则说明遭到了TCP多连接攻击
• 游戏客户端连接游戏服务器失败或者登录过程非常缓慢
• 正在进行游戏的用户突然无法操作或者非常缓慢或者总是断线

防护方式

目前，可用的DDoS缓解方法，有三大类。首先是架构优化，其次是服务器加固，最后是商用的ddos防护服务。

游戏公司需要根据自己的预算、攻击严重程度，来决定使用哪一种。

在预算有限的情况下，可以从免费的DDoS缓解方案，和自身架构的优化上下功夫，减缓DDoS攻击的影响。

• 如果系统部署在云上，可以使用云解析，优化DNS的智能解析，同时建议托管多家DNS服务商，这样可以避免DNS攻击的风险。
• 使用SLB，通过负载均衡减缓CC攻击的影响，后端负载多台ECS服务器，这样可以对DDoS攻击中的CC攻击进行防护。在企业网站加了负载均衡方案后，不仅有对网站起到CC攻击防护作用，也能将访问用户进行均衡分配到各个web服务器上，减少单个web服务器负担，加快网站访问速度。
• 使用专有网络VPC，防止内网攻击。
• 做好服务器的性能测试，评估正常业务环境下能承受的带宽和请求数，确保可以随时的弹性扩容。
• 服务器防御DDoS攻击最根本的措施就是隐藏服务器真实IP地址。当服务器对外传送信息时，就可能会泄露IP，例如，我们常见的使用服务器发送邮件功能就会泄露服务器的IP。
  因而，我们在发送邮件时，需要通过第三方代理发送，这样子显示出来的IP是代理IP，因而不会泄露真实IP地址。
• 在资金充足的情况下，可以选择DDoS高防服务器，且在服务器前端加cdn中转，所有的域名和子域都使用CDN来解析。

安全加固方式

• 控制TCP连接，通过iptable之类的软件防火墙可以限制某些IP的新建连接；
• 控制某些IP的速率；
• 识别游戏特征，针对不符合游戏特征的连接可以断开；
• 控制空连接和假人，针对空连接的IP可以加黑；
• 学习机制，保护游戏在线玩家不掉线，通过服务器可以搜集正常玩家的信息，当面对攻击的时候可以将正常玩家导入预先准备的服务器，新进玩家可以暂时放弃；
• 确保服务器系统安全；
• 确保服务器的系统文件是最新的版本,并及时更新系统补丁；
• 管理员需对所有主机进行检查，知道访问者的来源；
• 过滤不必要的服务和端口：可以使用工具来过滤不必要的服务和端口（即在路由器上过滤假IP，只开放服务端口）。这也成为目前很多服务器的流行做法。例如，“WWW”服务器，只开放80端口，将其他所有端口关闭，或在防火墙上做阻止策略；
• 限制同时打开的SYN半连接数目,缩短SYN半连接的timeout 时间,限制SYN/ICMP流量；
• 认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更,那这台机器就可能遭到了攻击；
• 限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会,若黑客以特洛伊木马替换它，文件传输功能无疑会陷入瘫痪；
• 充分利用网络设备保护网络资源；
• 禁用 ICMP。仅在需要测试时开放ICMP。在配置路由器时也考虑下面的策略：流控，包过滤，半连接超时，垃圾包丢弃，来源伪造的数据包丢弃，SYN 阀值，禁用 ICMP 和 UDP 广播；
• 使用高可扩展性的 DNS 设备来保护针对 DNS 的 DDoS 攻击。可以考虑购买DNS商业解决方案，它可以提供针对 DNS 或 TCP/IP3 到7层的 DDoS 攻击保护。

商用DDoS解决方案

针对超大流量的攻击或者复杂的游戏CC攻击，可以考虑采用专业的DDoS解决方案。目前，通用的游戏行业安全解决方案，做法是在IDC机房前端部署防火墙或者流量清洗的一些设备，或者采用大带宽的高防机房来清洗攻击。

在中云，云安全防护系统，为移动端APP量身打造的网络安全解决方案，使用先进的防御体系，攻击者所有的请求都会进入虚拟防护节点上，通过每个节点自带的安全防护功能， 进行流量清洗过滤，真实的服务器始终隐藏在中云云安全防护系统的防护之下，避免黑客对其发动攻击。由于使用分布式的防御体系，可以轻松瓦解大流量攻击。

以全新算法、海量分布式节点为基础，对每个连接进行安全识别，精确判断是真实应用还是恶意攻击，保证每一个连接的安全，通过多维度智能调度系统实现防护IP无感切换打破传统防火墙依赖于高防IP本身防护能力的限制，解决以往攻击防护资源不对等问题，以终端视角彻底解决DDOS攻击问题。同时高强度加密算法可保护APP通信协议不受破解，可有效解决游戏外挂和业务欺诈。智能调度保证了终端的最佳网络链路，提升用户体验。

1. 防护简介

中云云安全防护系统改变了以往抗DDOS攻击依赖一个或数个高防IP的模式，依赖于精巧的调度算法和分布式服务节点，通过算法赢得DDoS攻防对抗的胜利。

整个防护由三大模块组成，分别是客户端QLCK、智能调度和身份验证。

2.1. 客户端

中云云安全防护系统是专门为APP应用开发的集防护加速为一体的安全产品，在使用时用户需要在自身APP中嵌入QLCK，QLCK全面覆盖IOS、Android、Windows。通过QLCK可以精准定位每个终端当前环境信息、是否可信，为智能调度、攻击防护提供多维度参考数据。

通过对APP进行加固有效防治破解、欺诈、外挂等验证影响应用运营安全问题。

2.2. 智能调度系统

智能调度系统主要对IP地址池中的节点做健康检查，并按照智能调度算法排序，将IP池分为正常组和风险组，正常情况下会给客户端返回3个可用节点IP，一旦3个IP被打死，客户端再次请求将会分配风险组池中的IP，如果依然被打死，此客户端将被加入黑名单，列入高风险客户端，同时不再给它分配任何IP节点，并将客户端IP以及特征码存储，以备后续定位反查攻击者。

客户端获取到分配的中转机IP后，创建隧道加密通讯，所有的游戏数据都将被封装到隧道中，实现加密传输，由节点机发给后端游戏服务器。

智能调度为中云云安全防护系统防护核心模块之一，通过灵活的调度算法打破资源不对等问题。彻底解决DDOS和CC攻击问题。

智能调度系统根据端环境信息及攻防大脑实时分析结果对终端流量进行拆分和调度。智能调度可以为APP提供两个大的层面应用。

1、 抗DDOS攻击：可以精准识别终端是攻击者还是真正的访客。通过灵活的调度算法，可以区别对待真正访客和黑客，将不同流量引至不同“服务节点”或虚拟节点，防御超大规模DDOS攻击而不影响任何一个真正访客。

2、 访问加速：通过终端环境信息从分布式节点中为每一个终端调度最优节点保证防护速度及链路质量最高，有效提升APP访问速度，提升访客体验。

2.3. cc防护

针对TCP端口CC攻击，目前已有CC防护方案不论是针对比较规范的应用层协议（http、https）还是针对私有不常见的协议，均存在漏防和误防问题。中云云安全防护系统通过QLCK与防护节点建立加密隧道，接管客户端与服务器端网络连接，准确识别攻击者与真正的访客。

非真正访客所发送数据包将会被防护节点直接丢弃，并且会将其加入到IP信誉库，黑客肉鸡仅可以使用一次便被精准识别，黑客可用攻击资源将急剧下降，打破防护资源不对称问题。彻底解决CC攻击问题，实现CC 100%识别防御，零误伤，真正为用户业务保驾护航。

2.4. 链路加密

APP在嵌入 QLCK后，终端在启用APP应用时，全部业务数据在发送前会进行高强度加密处理，每个终端均分配唯一秘钥，当数据传输至中云云安全防护系统分布式节点后由节点进行数据校验。未通过校验的连接会被丢弃，并且此次连接会被记录为非法连接。通过校验的数据会被防护节点发送至业务服务器。加密数据在网络中进行传播时可防止数据遭受监听、嗅探。

2.5. 攻击溯源

智能调度系统详细记录每次调度信息，根据调度信息中云云安全防护系统可快速定位攻击源，实时分析。

原文链接：https://zhuanlan.zhihu.com/p/437255570