游戏企业如何避免被攻击的风险

   根据全球游戏和全球移动互联网行业第三方分析机构的数据显示：2023年上半年，中国以275亿美元的游戏市场收入超过美国和日本，成为全球榜首。

游戏行业的快速发展、高额的攻击利润、日趋激烈的行业竞争，让中国游戏行业的进军者们，每天都面临业务和安全的双重挑战。

游戏行业一直是竞争、攻击最为复杂的一个江湖。 曾经多少充满激情的创业团队、玩法极具特色的游戏产品，被互联网攻击的问题扼杀在摇篮里；又有多少运营出色的游戏产品，因为遭受DDoS攻击，而一蹶不振。

一、什么是DDOS攻击？

1.DDoS 攻击的基本原理

DDoS攻击的基本原理在于通过超载目标系统、服务或网络的资源，使其无法正常响应合法用户的请求。这类攻击通常涉及大量计算机或设备，这些设备被操纵成一个庞大的“僵尸网络”（botnet）。攻击者利用这个庞大的网络协同作战，向目标发动大规模攻击，使其陷入不堪重负的状态。

DDoS攻击可以比喻为网络世界的交通堵塞，其中攻击者派发的虚假请求就像阻塞了主要道路，使得从支线进入的合法流量无法进入。这种拒绝服务的攻击不仅损害了服务的可用性，也可能导致业务中断、数据泄露以及财务损失。

2.DDoS 攻击如何工作？

DDoS（分布式拒绝服务）攻击之所以强大和具有破坏性，是因为它们利用了大量计算机或设备，将它们组织成一个庞大的网络，通过协同作战向目标发动攻击。

1. 感染设备成为僵尸机器人： 攻击者通过各种手段感染大量计算机、服务器或物联网设备，将它们变成僵尸机器人。这通常是通过恶意软件、病毒或其他攻击手段实现的。这些受感染的设备被远程控制，成为攻击者的一部分。

2. 创建僵尸网络： 一旦设备被感染，攻击者将它们组织成一个庞大的网络，通常被称为僵尸网络或者botnet。这个网络中的每个受感染设备都可以执行攻击者指定的任务，而这通常是同时向特定的目标发动攻击。

3. 远程指令和控制： 攻击者通过远程指令和控制（C&C）服务器远程操纵僵尸网络。这些指令可能包括发起DDoS攻击、更改攻击策略或切换目标。攻击者可以随时调整攻击的强度和方式。

4. 发起网络攻击： 一旦攻击者下达命令，僵尸网络中的设备开始向特定的目标发动网络攻击。攻击的方式和类型可以多种多样，包括UDP Flood、TCP/IP Exhaustion、ICMP Echo Request、HTTP Flood、SYN/ACK Flood等。

5. 服务崩溃： 大量的虚假请求和恶意流量同时涌入目标系统，超过其处理能力，导致服务崩溃或变得极其缓慢。这会使合法用户无法正常访问目标的网络服务，造成服务不可用。

6. 持续攻击和难以追踪： DDoS攻击通常持续较长时间，可能会持续数小时甚至数天。攻击者经常采取措施使攻击难以追踪，例如通过使用代理服务器、操纵源IP地址等手段，增加防御的难度。

7. 攻击层级： DDoS攻击通常发生在网络连接的不同层级，其中包括：

   • 网络层（第3层）： 包括Smurf攻击、ICMP/Ping洪水攻击、IP/ICMP碎片攻击等。

   • 运输层（第4层）： 包括SYN洪水攻击、UDP洪水攻击和TCP连接耗尽等。

   • 应用层（第7层）： 主要是HTTP加密攻击，直接针对应用层协议。

DDoS攻击之所以对网络和服务造成巨大威胁，是因为攻击者利用了分布式网络的规模和协同作战的能力，使得防御变得更为复杂和困难。

二、DDOS对游戏行业的危害和挑战

阿里云安全发布的2023年上半年的游戏行业DDoS攻击态势报告中指出：2022年1月至2023年6月，游戏行业大于300G以上的攻击超过1800次，攻击最大峰值为608G；游戏公司每月平均被攻击次数高达800余次。

目前，游戏行业因DDoS攻击引发的危害主要集中在以下几点：

• 90%的游戏业务在被攻击后的2-3天内会彻底下线。

• 攻击超过2-3天以上，玩家数量一般会从几万人下降至几百人。

• 遭受DDoS攻击后，游戏公司日损失可达数百万元。

1.为什么游戏行业是DDoS攻击的重灾区？

据统计表明，超过50%的DDoS和CC攻击，都在针对游戏行业。游戏行业成为攻击的重灾区，主要有以下几点原因：

• 游戏行业的攻击成本低，几乎是防护成本的1/N，攻防两端极度不平衡。

  随着攻击方的手法日趋复杂、攻击点的日趋增多，静态防护策略已无法达到较好的效果，从而加剧了这种不平衡。

• 游戏行业生命周期短。

  一款游戏从出生到消亡，大多只有半年的时间，如果抗不过一次大的攻击，很可能就死在半路上。黑客也是瞄中了这一点，认定只要发起攻击，游戏公司一定会给保护费。

• 游戏行业对连续性的要求很高，需要7×24小时在线。

  因此如果受到DDoS攻击，很容易会造成大量的玩家流失。在被攻击的2-3天后，玩家数量从几万人掉到几百人的事例屡见不鲜。

• 游戏公司之间的恶性竞争，也加剧了针对行业的DDoS攻击。

2.游戏行业的DDoS攻击类型

（1）空连接：

• 攻击者与服务器频繁建立TCP连接，占用服务端的连接资源，有的会断开、有的则一直保持。空连接攻击就好比您开了一家饭馆，黑帮势力总是去排队，但是并不消费，而此时正常的客人也会无法进去消费。

（2）流量型攻击：

• 攻击者采用UDP报文攻击服务器的游戏端口，影响正常玩家的速度。用饭馆的例子，即流量型攻击相当于黑帮势力直接把饭馆的门给堵了。

（3）CC攻击：

• 攻击者攻击服务器的认证页面、登录页面、游戏论坛等。还是用饭馆的例子，CC攻击相当于，坏人霸占收银台结账、霸占服务员点菜，导致正常的客人无法享受到服务。

（4）假人攻击：

• 模拟游戏登录和创建角色过程，造成服务器人满为患，影响正常玩家。

（5）对玩家的DDoS攻击：

• 针对对战类游戏，攻击对方玩家的网络使其游戏掉线或者速度慢。

（6）对网关DDoS攻击：

• 攻击游戏服务器的网关，导致游戏运行缓慢。

（7）连接攻击：

• 频繁的攻击服务器，发送垃圾报文，造成服务器忙于解码垃圾数据。

3.游戏安全痛点

业务投入大，生命周期短：

• 一旦出现若干天的业务中断，将直接导致前期的投入化为乌有。

缺少为安全而准备的资源：

• 游戏行业玩家多、数据库和带宽消耗大、基础设施资源准备时间长，而安全需求往往没有被游戏公司优先考虑。

可被攻击的薄弱点多：

• 网关、带宽、数据库、计费系统都可能成为游戏行业攻击的突破口，相关的存储系统、域名DNS系统、CDN系统等也会遭受攻击。

涉及的协议种类多：

• 难以使用同一套防御模型去识别攻击并加以防护，许多游戏服务器多用加密私有协议，难以用通用的挑战机制进行验证。

实时性要求高，需要7×24小时在线：

• 业务不能中断，成为DDoS攻击容易奏效的理由。

行业恶性竞争现象猖獗：

• DDoS攻击成为打倒竞争对手的工具。

4.如何判断已遭受DDoS攻击？

假定已排除线路和硬件故障的情况下，突然发现连接服务器困难、正在游戏的用户掉线等现象，则说明您很有可能是遭受了DDoS攻击。

目前，游戏行业的IT基础设施一般有 2 种部署模式：一种是采用云计算或者托管IDC模式，另外一种是自行部署网络专线。无论是前者还是后者接入，正常情况下，游戏用户都可以自由流畅地进入服务器并进行游戏娱乐。因此，如果突然出现以下几种现象，可以基本判断是被攻击状态：

• 主机的IN/OUT流量较平时有显著的增长。

• 主机的CPU或者内存利用率出现无预期的暴涨。

• 通过查看当前主机的连接状态，发现有很多半开连接；或者是很多外部IP地址，都与本机的服务端口建立几十个以上的ESTABLISHED状态的连接，则说明遭到了TCP多连接攻击。

• 游戏客户端连接游戏服务器失败或者登录过程非常缓慢。

• 正在进行游戏的用户突然无法操作、或者非常缓慢、或者总是断线。

三、DDoS攻击缓解最佳实践

德迅云安全基于多年的技术沉淀，与业务解耦，推出高防IP和德迅抗D盾，结合遍布全球的高防节点，有效应对多种DDoS攻击，实现客户一直追求的玩家不掉线、CC攻击零误封特性，优势多多。

一、高防ip：

德迅DDoS防护服务是以省骨干网的DDoS防护网络为基础，结合德迅自研的DDoS攻击检测和智能防护体系，向您提供可管理的DDoS防护服务，自动快速的缓解网络攻击对业务造成的延迟增加，访问受限，业务中断等影响，从而减少业务损失，降低潜在DDoS攻击风险。

• 自定义清洗策略：支持从结果、交互，时间，地域等维度对流量进行画像，从而构建数千种可自定义拦截策略，同时防御不同业务、不同类型的CC攻击。

• 指纹识别拦截：指纹识别可以根据报文的特定内容生成独有的指纹，并以此为依据进行流量的合法性判断，达到精准拦截的恶意流量的目的。

• 四层CC防护：德迅引擎可以根据用户的连接、频率、行为等特征，实时分析请求，智能识别攻击，实现秒级拦截，保障业务的稳定运行。

• 支持多协议转发：支持TCP、HTTP、HTTPS、WebSocket等协议，并能够很好地维持业务中的长连接。适配多种业务场景，并隐藏服务器真实 IP。

• 丰富的攻击详情报表：秒级的即时报表，实时展示业务的访问情况、流量转发情况和攻击防御情况，监控业务的整体安全状况，并动态调整防御策略，达到最佳的防护效果。

• 源站保护：通过反向代理接入防护服务，隐藏真实源站服务器地址，将清洗后的干净业务流量回送到源机

二、德迅抗D盾：

抗D盾是新一代的智能分布式云接入系统，接入节点采用多机房集群部署模式，隐藏真实服务器IP，类似于网站CDN的节点接入，但是“抗D盾”是比CDN应用范围更广的接入方式，适合任何TCP 端类应用包括（游戏、APP、微端、端类内嵌WEB等）。用户连接状态在各机房之间实时同步，节点间切换过程中用户无感知，保持TCP连接不中断，轻松应对任何网络攻击。

• DDoS防御：基于SDK接入的分布式防御体系，可精准定位恶意攻击者并主动隔离，具备自动化溯源能力。

• CC攻击防御：私有化协议二次封装，非链接限速、报文检测机制，0误杀、0漏过。

• 集成方式：EXE封装、SDK接入，支持Windows、iOS、Android系统，分钟级集成。

• 网络加速：智能多线节点分布，配合独家研发的隧道填补技术，保证每条线路都是优质网络

• 防掉线系统：研发新SocKet协议，弥补WinSock链接失败会断开问题，链接失败自动无缝切换

结语

以上即是对常见游戏场景和防护方案的简要分析，在DDoS威胁级别不断上升的今天，做好防御工作是每个企业的必修课。游戏企业应共同应对每一场DDoS难关，迎接更加安全的未来。