干货，游戏DDoS攻击趋势及原因分析，附防御案例

我曾看到充满激情的创业团队、一个个玩法很有特色的产品，被这种互联网攻击问题扼杀在摇篮里； 也看到过一个运营很好的产品，因为遭受DDoS攻击，而一蹶不振。

这也是为什么想把自己6年做游戏行业DDoS的经验，与大家一起分享，帮助在游戏领域内全速前进的企业，了解本行业的安全态势，并给出一些可用的建议。

游戏行业综述——机遇与风险并存

对于游戏而言，遭受到攻击是一件很常见的事情，据统计国内一半以上的DDoS攻击都是针对游戏行业的。目前游戏行业总体而言是机遇与风险并存的，2017年中国网游市场规模已经突破了2000亿，但是网络游戏却也是DDoS攻击的头号重灾区，其实不仅仅是中国，全球市场上针对于游戏的DDoS攻击永远是排在第一位的，而在中国这样的现象则更加严重，尤其在是从今年春节之前一直到3月份延续的这波攻击中，很多游戏厂商一直被DDoS攻击所压制。除此之外，移动端的快速增长也带来了移动安全问题，另外还出现了利用欺诈手段或游戏漏洞破坏游戏环境的现象。

DDoS攻击趋势及原因分析

对于DDoS攻击而言，其平均防御成本随着DDoS攻击流量的增长呈现出加速向上的曲线。根据计算数据分析得出：如果DDoS攻击流量达到250G，每个月的防御成本大约会需要5万美元左右；如果达到300G就会需要每月6万美元；达到350G时防御成本则需要每月8万美元；如果达到500G攻击流量，那么防御成本则需要14万美元，也就是每个月需要花费大约一百万人民币去进行DDoS攻击的防御。在2017年，300G以上的攻击已经呈现常态化了。而对于DDoS攻击每小时所造成的商业价值损失而言，据数据统计36%的应用被攻击一小时的损失在5000美元到2万美元之间，34%在2万美元到10万美元之间，还有15%被攻击时每小时损失会超过10万美元。

除此之外，根据黑客攻击的时间维度数据也能分析出一定的规律性：基本上在每天的凌晨3点到9点之间，黑客攻击将会处于睡眠期，这个时间段其实属于黑客换装弹药的时间，在这个时间段，他们会把第二天需要攻击对象的名单和需要使用脚本准备好，当早上9点的时候，黑客的脚本就会自动运行然后开展新一波的攻击，所以在早上9点到凌晨3点之间这段时间，黑客的攻击是比较频繁的。

另外，目前国内主要有两大黑产组织，这两个组织也是遍布整个东南亚地区的，他们的最顶层组织处在中国境外，而且他们所掌握的攻击流量已经超过了1个T。大家可以想象一下，这样的攻击流量其实对于任何一家游戏公司或者应用而言都将会是致命的，黑产组织中最大的拥有800G的攻击流量，小一些则拥有的大约600G的攻击流量，所以他们基本上有能力将任何一个游戏公司攻击到挂掉。

今天，黑客发起攻击的成本其实会非常低，比如对于海外的UTB小包而言，一个G一天只要花费50元，即便是最贵的DNS反射攻击也只要1个G一天350元。但是黑客显然不是这样报价的，比如黑客盯上了某一个游戏，就会去以包天或者包月或者按照效果付费的方式进行购买攻击包，一定会将游戏服务打死，甚至会提供打不死不收钱的“包打死”服务。前一段时间大家应该都看到了阿里云的吴翰清在自己的公众号上发了一篇文章谈了他回到阿里的29个月。其实这篇文章中也谈到了，在2016年的时候阿里云打击了刚才提到的两个黑产组织中的一个，在打击之后在几个月的时间之内，整个中国的黑产组织其实就消失掉了，国内的DDoS攻击量也下降了56%，同时全球的DDoS攻击量也下降了8%，但是因为黑产组织的核心组织人员都在中国境外，半年之后这个组织就又死灰复燃了。

对于实际的攻击手法而言，由于攻击源是在逐年增加的，以前只有针对PC的攻击，后来出现了针对服务器端的攻击，曾经有数据统计大约50%以上IDC的服务器都被黑客成功入侵并成为了肉鸡，而现在还有针对于手机的攻击，很多人的手机其实都处于黑产组织的控制之中，而且现在很多的IoT设备纷纷加入了DDoS攻击的浪潮之中，也将DDoS攻击的流量逐年推高。在2014年的时候DDoS攻击还是以50GBPS为主，攻击手法以IDC伪造源IP攻击为主。而在2015年时，攻击100Gbps+的攻击已经常态化了，攻击手法也在升级，从伪造IP转向反射型Flood攻击。2016年时，200Gbps+的攻击常态化，IoT和移动终端的兴起导致基于真实设备的攻击层出不穷。而在2017年的最近两三个月，大家所看到的趋势是300Gbps+的攻击常态化，并且基于私有协议和真实源的攻击事件呈指数级上升趋，导致攻击更加难以防范。

那么黑客为什么会攻击游戏行业呢？首先可能是发泄自己的不满，有些同学对于游戏产生了不满情绪，那就可能为了发泄自己的不满将游戏打挂掉。还有黑产接单打单，比如两家竞争同一市场的游戏公司，其中一家公司就有可能找黑产对于对方的业务进行打击。还有敲诈勒索，小蚁网络也遇到很多客户说自己曾收到了黑客在微信或者QQ上面的勒索流言，要求给对方钱财否则将对游戏业务进行攻击。还有业务扶持，黑产也会与一些行业中的公司进行合作，扶持某家公司成为行业的龙头老大，其他的竞争对手就会全部被打死。最后就是机房合作，黑客会要求一些游戏厂商必须搬到某个机房中，如果不然就进行攻击。所以就是出于以上的种种原因，地下黑产才形成了今天这样对于游戏客户的攻击形式。

而且黑客的具体攻击手法也非常多样，可以拿“打尖峰”举例说明，比如大家都知道阿里云及各云上5个G黑洞，此时黑客就不会持续地使用很高的流量进行攻击，因为他们知道黑洞的原理所以就会使用5.01G的流量进行攻击，这样游戏公司的IP就进入黑洞了，黑客就会主动摸索游戏公司的的业务防御上限在哪里，然后通过打尖峰的手法对游戏进行攻击直到服务挂掉。另外一种打法就是压制一个时间段，比方某一种游戏会在每天早上9点到9点半之间有大量的玩家涌入进来玩，如果在这半个小时内将游戏的登陆服务压制掉就能够导致游戏无法提供服务，这样就会导致玩家转到其他游戏。而最可怕的一种攻击手法就是最近出现的持续压制，也就是游戏从早到晚都会处于300G的流量攻击之下。以上主要是按照攻击的时间段进行划分的，而如果按照更细粒度攻击手法进行划就可以分为以下两种攻击：

• 大流量压制，也就是通过海量的流量涌过去将整个机房都堵上。

• 精细化压制，使用CC攻击实现的精细化流量压制，目前往往以同时使用或者先后使用的方式配合大流量压制实现。

趋势一：大流量已经常态化

目前，对于DDoS攻击而言出现了两个极为明显的趋势。

第一个趋势就是大流量攻击已经呈现常态化。黑客已经可以在极短的时间内聚集大量的攻击流量，这种大流量压制型攻击在之前可能只是个传说，而从今年的情况看来，大流量攻击已经成为了现实。随着带宽成本逐年降低，肉鸡资源的逐年丰富，大流量压制型攻击已经不再是业界的“都市传说”，高入口带宽也已经不再是攻防的保险箱，已经无法实现与攻击流量进行“军备竞赛”，因此现在也是时候需要考虑对于应对大流量攻击采取一些变革了。

趋势二：CC攻击向精细化转变