2020年上半年遭受DDoS攻擊的行業(yè)中�,游戲行業(yè)占到42%,在游戲行業(yè)的細(xì)分占比中��,手游占比高達(dá)45%����。報(bào)告還指出,2020年上半年DDoS攻擊呈現(xiàn)次數(shù)多���、強(qiáng)度高����、手法新���、來(lái)源廣等特點(diǎn)�,從攻擊力度來(lái)看,TB級(jí)攻擊屢見不鮮�。
為何游戲服務(wù)器總是被攻擊
1.游戲行業(yè)的攻擊成本較低,攻防成本1:N���。隨著DDoS攻擊的打法越來(lái)越復(fù)雜�����,攻擊點(diǎn)更是越來(lái)越多�,基本的靜態(tài)防護(hù)策略已無(wú)法達(dá)到較好的效果�����,易攻難守的特點(diǎn)讓游戲行業(yè)成為黑客的眼中肥肉�����。
2.游戲行業(yè)生命周期短�����。據(jù)2020年上半年游戲行業(yè)DDoS態(tài)勢(shì)報(bào)告顯示�,90%的游戲業(yè)務(wù)在被攻擊后的2-3天內(nèi)會(huì)徹底下線����,游戲公司日損失可大數(shù)百萬(wàn)元��。黑客認(rèn)定游戲公司為避免損失更大���,相對(duì)更愿意支付“保護(hù)費(fèi)”��。
3.游戲行業(yè)對(duì)于持續(xù)性的要求更高����,需要724365在線暢通����。據(jù)2020年上半年游戲行業(yè)DDoS態(tài)勢(shì)報(bào)告顯示�,攻擊超過(guò)2-3天以上,玩家一般會(huì)從幾萬(wàn)人掉到幾百人�,玩家決定了游戲的存亡,失去玩家就等于頻臨垂死�����。
4.游戲行業(yè)火爆�����,同行之間競(jìng)爭(zhēng)激烈,造成不少的惡意競(jìng)爭(zhēng)�����。這也是導(dǎo)致游戲行業(yè)DDoS攻擊數(shù)量劇增的原因之一�����。
游戲行業(yè)DDoS攻擊的主要手段
SYN/ACK Flood 攻擊
這種攻擊方法是經(jīng)典最有效的DDOS方法�����, 可通殺各種系統(tǒng)的網(wǎng)絡(luò)服務(wù)�, 主要是通過(guò)向受害主機(jī)發(fā)送大量偽造源 IP 和源端口的 SYN 或 ACK 包,導(dǎo)致主機(jī)的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù)�, 由于源都是偽造的故追蹤起來(lái)比較困難, 缺點(diǎn)是實(shí)施起來(lái)有一定難度��, 需要高帶寬的僵尸主機(jī)支持��。少量的這種攻擊會(huì)導(dǎo)致主機(jī)服務(wù)器無(wú)法訪問(wèn)��, 但卻可以 Ping 的通���, 在服務(wù)器上用 Netstat -na 命令會(huì)觀察到存在大量的 SYN_RECEIVED 狀態(tài)��,大量的這種攻擊會(huì)導(dǎo)致 Ping 失敗�����、TCP/IP 棧失效�,并會(huì)出現(xiàn)系統(tǒng)凝固現(xiàn)象,即不響應(yīng)鍵盤和鼠標(biāo)�。普通防火墻大多無(wú)法抵御此種攻擊。
TCP 全連接攻擊
這種攻擊是為了繞過(guò)常規(guī)防火墻的檢查而設(shè)計(jì)的����,一般情況下,常規(guī)防火墻大多具備過(guò)濾 T earDrop��、Land 等 DOS 攻擊的能力��,但對(duì)于正常的 TCP 連接是放過(guò)的�,殊不知很多網(wǎng)絡(luò)服務(wù)程序(如:IIS�、Apache 等 W eb 服務(wù)器)能接受的 TCP 連接數(shù)是有限的,一旦有大量的 TCP 連接�����,即便是正常的,也會(huì)導(dǎo)致網(wǎng)站訪問(wèn)非常緩慢甚至無(wú)法訪問(wèn)����,TCP 全連接攻擊就是通過(guò)許多僵尸主機(jī)不斷地與受害服務(wù)器建立大量的 TCP 連接,直到服務(wù)器的內(nèi)存等資源被耗盡而被拖跨��, 從而造成拒絕服務(wù)�, 這種攻擊的特點(diǎn)是可繞過(guò)一般防火墻的防護(hù)而達(dá)到攻擊目的,缺點(diǎn)是需要找很多僵尸主機(jī)�����,并且由于僵尸主機(jī)的 IP 是暴露的��,因此容易被追蹤���。
刷腳本攻擊
這種攻擊主要是針對(duì)存在 ASP���、JSP、PHP�����、CGI 等腳本程序���,并調(diào)用 MSSQLServer��、MySQLServer����、Oracle 等數(shù)據(jù)庫(kù)的網(wǎng)站系統(tǒng)而設(shè)計(jì)的,特征是和服務(wù)器建立正常的 TCP 連接���, 并不斷的向腳本程序提交查詢�����、 列表等大量耗費(fèi)數(shù)據(jù)庫(kù)資源的調(diào)用�����, 一般來(lái)說(shuō)�, 提交一個(gè) GET 或 POST 指令對(duì)客戶端的耗費(fèi)和帶寬的占用是幾乎可以忽略的���,而服務(wù)器為處理此請(qǐng)求卻可能要從上萬(wàn)條記錄中去查出某個(gè)記錄, 這種處理過(guò)程對(duì)資源的耗費(fèi)是很大的���, 常見的數(shù)據(jù)庫(kù)服務(wù)器很少能支持?jǐn)?shù)百個(gè)查詢指令同時(shí)執(zhí)行����,而這對(duì)于客戶端來(lái)說(shuō)卻是輕而易舉的, 因此攻擊者只需通過(guò) Proxy 代理向主機(jī)服務(wù)器大量遞交查詢指令�����, 只需數(shù)分鐘就會(huì)把服務(wù)器資源消耗掉而導(dǎo)致拒絕服務(wù)�����,常見的現(xiàn)象就是網(wǎng)站慢如蝸牛�、ASP 程序失效、PHP 連接數(shù)據(jù)庫(kù)失敗����、數(shù)據(jù)庫(kù)主程序占用 CPU 偏高。這種攻擊的特點(diǎn)是可以完全繞過(guò)普通的防火墻防護(hù)�, 輕松找一些 Proxy 代理就可實(shí)施攻擊, 缺點(diǎn)是對(duì)付只有靜態(tài)頁(yè)面的網(wǎng)站效果會(huì)大打折扣�����,并且有些 Proxy 會(huì)暴露攻擊者的 IP 地址����。
游戲服務(wù)器防御方法
下面小編為大家介紹些解決辦法�����,希望可以幫助到大家
一���、確保服務(wù)器系統(tǒng)安全
1.確保服務(wù)器的系統(tǒng)文件是最新的版本,并及時(shí)更新系統(tǒng)補(bǔ)丁。
2.管理員需對(duì)所有主機(jī)進(jìn)行檢查��,知道訪問(wèn)者的來(lái)源���。
3.過(guò)濾不必要的服務(wù)和端口��,可以使用工具來(lái)過(guò)濾不必要的服務(wù)和端口��,即在路由器上過(guò)濾假IP.只開放服務(wù)端口成為目前很多服務(wù)器的流行做法��,例如WWW服務(wù)器那么只開放80而將其他所有端口關(guān)閉或在防火墻上做阻止策略����。
4.限制同時(shí)打開的SYN半連接數(shù)目,縮短SYN半連接的time out 時(shí)間,限制SYN/ICMP流量�。
5.正確設(shè)置防火墻,在防火墻上運(yùn)行端口映射程序或端口掃描程序�����。
6.認(rèn)真檢查網(wǎng)絡(luò)設(shè)備和主機(jī)/服務(wù)器系統(tǒng)的日志����。只要日志出現(xiàn)漏洞或是時(shí)間變更,那這臺(tái)機(jī)器就可能遭到了攻擊。
7.限制在防火墻外與網(wǎng)絡(luò)文件共享�����。這樣會(huì)給黑客截取系統(tǒng)文件的機(jī)會(huì),若黑客以特洛伊木馬替換它�����,文件傳輸功能無(wú)疑會(huì)陷入癱瘓�。
8.充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源。
9����、在路由器上禁用 ICMP。僅在需要測(cè)試時(shí)開放 ICMP�。在配置路由器時(shí)也考慮下面的策略:流控,包過(guò)濾�����,半連接超時(shí),垃圾包丟棄�����,來(lái)源偽造的數(shù)據(jù)包丟棄���,SYN 閥值�����,禁用 ICMP 和 UDP 廣播����。
10��、使用高可擴(kuò)展性的 DNS 設(shè)備來(lái)保護(hù)針對(duì) DNS 的 DDOS 攻擊����。可以考慮購(gòu)買 Cloudfair 的商業(yè)解決方案�����,它可以提供針對(duì) DNS 或 TCP/IP3 到7層的 DDOS 攻擊保護(hù)���。
11���、啟用路由器或防火墻的反IP欺騙功能。在 CISCO 的 ASA 防火墻中配置該功能要比在路由器中更方便����。在 ASDM(Cisco Adaptive Security Device Manager)中啟用該功能只要點(diǎn)擊“配置”中的“防火墻”,找到“anti-spoofing”然后點(diǎn)擊啟用即可���。也可以在路由器中使用 ACL(access control list)來(lái)防止 IP 欺騙����,先針對(duì)內(nèi)網(wǎng)創(chuàng)建 ACL��,然后應(yīng)用到互聯(lián)網(wǎng)的接口上����。
二、隱藏服務(wù)器的真實(shí)IP地址
服務(wù)器防御DDOS攻擊最根本的措施就是隱藏服務(wù)器真實(shí)IP地址�。當(dāng)服務(wù)器對(duì)外傳送信息時(shí)就可能會(huì)泄露IP,例如��,我們常見的使用服務(wù)器發(fā)送郵件功能就會(huì)泄露服務(wù)器的IP��,因而,我們?cè)诎l(fā)送郵件時(shí)���,需要通過(guò)第三方代理發(fā)送�,這樣子顯示出來(lái)的IP是代理IP�,因而不會(huì)泄露真實(shí)IP地址。在資金充足的情況下��,可以選擇高防服務(wù)器�����,且在服務(wù)器前端加CDN中轉(zhuǎn)��,所有的域名和子域都使用CDN來(lái)解析�����。
三��、選擇帶有DDOS硬件防火墻的機(jī)房�。目前大部分的硬防機(jī)房對(duì)100G以內(nèi)的DDOS流量攻擊都能做到有效防護(hù)。選擇硬防主要是針對(duì)DDOS流量攻擊這一塊的�����,如果你的企業(yè)網(wǎng)站一直遭受流量攻擊的困擾,那你可以考慮將你的網(wǎng)站服務(wù)器放到DDOS防御機(jī)房��。但是有的企業(yè)網(wǎng)站流量攻擊超出了硬防的防護(hù)范圍了�,那就得考慮下面第二種了。
四�、CDN流量清洗防御。目前大部分的CDN節(jié)點(diǎn)都有200G 的流量防護(hù)功能��,在加上硬防的防護(hù)�����,可以說(shuō)能應(yīng)付目前絕大多數(shù)的DDOS流量攻擊了��。同時(shí)��,CDN技術(shù)不僅對(duì)企業(yè)網(wǎng)站流量攻擊有防護(hù)功能����,而且還能對(duì)企業(yè)網(wǎng)站進(jìn)行加速(前提要針對(duì)CDN節(jié)點(diǎn)位置)����。解決部分地區(qū)打開網(wǎng)站緩慢的問(wèn)題。
五�、負(fù)載均衡技術(shù)�����。這一類主要針對(duì)DDOS攻擊中的CC攻擊進(jìn)行防護(hù)��,這種攻擊手法使web服務(wù)器或其他類型的服務(wù)器由于大量的網(wǎng)絡(luò)傳輸而過(guò)載����,一般這些網(wǎng)絡(luò)流量是針對(duì)某一個(gè)頁(yè)面或一個(gè)鏈接而產(chǎn)生的�����。當(dāng)然這種現(xiàn)象也會(huì)在訪問(wèn)量較大的網(wǎng)站上正常發(fā)生��,但我們一定要把這些正�,F(xiàn)象和分布式拒絕服務(wù)攻擊區(qū)分開來(lái)。在企業(yè)網(wǎng)站加了負(fù)載均衡方案后�,不僅有對(duì)網(wǎng)站起到CC攻擊防護(hù)作用,也能將訪問(wèn)用戶進(jìn)行均衡分配到各個(gè)web服務(wù)器上��,減少單個(gè)web服務(wù)器負(fù)擔(dān)����,加快網(wǎng)站訪問(wèn)速度。
六�、如果不想換機(jī)房可以考慮云防御之類的產(chǎn)品��,價(jià)格相對(duì)高防機(jī)房高����,但是比高防機(jī)房靠譜�。24小時(shí)自動(dòng)防御,而且一般高防機(jī)房最多兩三百G甚至上百G左右就打死了(注:打死了就真沒了)�,而且是三線城市帶寬,速度也比較慢�,云防御可以有效解決這類問(wèn)題而且還可以就近CDN加速,想省心省事兒的公司可以考慮���。
七、在骨干節(jié)點(diǎn)配置防火墻
防火墻本身能抵御DDoS攻擊和其他一些攻擊����。在發(fā)現(xiàn)受到攻擊的時(shí)候,可以將攻擊導(dǎo)向一些犧牲主機(jī)����,這樣可以保護(hù)真正的主機(jī)不被攻擊。當(dāng)然導(dǎo)向的這些犧牲主機(jī)可以選擇不重要的�,或者是linux以及unix等漏洞少和天生防范攻擊優(yōu)秀的系統(tǒng)。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
