游戲業(yè)務(wù)的安全場景�,主要由兩部分因素組成:一部分是“業(yè)務(wù)屬性”�����,另一部分是“技術(shù)和部署架構(gòu)”����。業(yè)務(wù)屬性包括“游戲類型、生命周期����、延遲要求”等�����,決定了該款游戲被DDos攻擊的概率�、攻擊流量的大小,以及需要使用什么類型的防護(hù)資源;技術(shù)和部署架構(gòu)����,包括使用的“通信協(xié)議、部署架構(gòu)”等�����,決定了該款游戲業(yè)務(wù)需要使用哪種防護(hù)產(chǎn)品進(jìn)行對抗。
一��、業(yè)務(wù)屬性:
1、游戲類型
近幾年來���,隨著《王者榮耀》�、《絕地求生》等手游的持續(xù)走熱�,越來越多的手游類型出現(xiàn)����。常見的手游類型�,如:MOBA(多人在線戰(zhàn)術(shù)競技游戲)�����、MMO(大型多人在線游戲)���,以及2016年開始興起的棋牌類手游等�����。
MOBA和MMO類游戲,由于分布廣泛��,地域?qū)傩韵鄬Ρ容^模糊����,基本是以“國家”維度來發(fā)行����,雖競爭激烈��,但以良性競爭居多;而棋牌類游戲,主要集中在國內(nèi)發(fā)行���,由于地方特色玩法各異��,所以地域?qū)傩詷O強,競爭對手較為明確,容易產(chǎn)生不正當(dāng)?shù)母偁幮袨��。典型的手段����,就是利用“DDos攻擊”來打擊競爭對手。
2���、生命周期
不同的游戲業(yè)務(wù)��,在生命周期的不同階段��,可能遭受的攻擊情況也不同�����。以棋牌類游戲���,特別是地方棋牌為例��,在游戲上線的初期,很有可能就會被“群毆”打癱�。因為這個時候,DDos攻擊的影響和成本�,堪稱“性價比”最高���。新游首發(fā)階段�,如果連續(xù)被攻擊幾天���,不僅游戲口碑變差,運營投入的廣告轉(zhuǎn)換率和留存率也會很低��,這給游戲發(fā)行商帶來了極大的經(jīng)濟損失����。
3、延遲要求
在進(jìn)行防護(hù)時,有兩個方面需要考慮:一是能夠防御攻擊�,第二是盡量不影響玩家體驗�。
能否防御攻擊,與“高防產(chǎn)品技術(shù)��、架構(gòu)和資源”有關(guān)����。而為了不影響玩家體驗��,建議網(wǎng)絡(luò)延遲不能太高。網(wǎng)絡(luò)延遲��,主要和“網(wǎng)絡(luò)線路質(zhì)量”有關(guān)�����,因此建議MOBA(多人在線戰(zhàn)術(shù)競技游戲)和MMO(大型多人在線游戲)��,使用“基于BGP協(xié)議多線互聯(lián)”的網(wǎng)絡(luò)帶寬���。
二�、技術(shù)和部署架構(gòu):
1����、游戲通用架構(gòu)
從游戲通用架構(gòu)上來看��,玩家通過CDN(內(nèi)容分發(fā)網(wǎng)絡(luò))下載更新資源包��,通過域名登錄游戲,然后連接分配游戲服開始游戲����。至于其他游戲周邊服務(wù),都在內(nèi)網(wǎng)����。
惡意攻擊者�����,通過偽裝成正���!巴婕摇����,拿到所有公網(wǎng)上暴露給游戲玩家的“域名�����、公網(wǎng)IP”等��,從而控制大量的肉雞(也稱為“傀儡機”����,指被黑客遠(yuǎn)程控制的機器),對游戲進(jìn)行攻擊�。
在游戲通用架構(gòu)的場景中,可能被攻擊的對象是“CDN(內(nèi)容分發(fā)網(wǎng)絡(luò))����、DNS(域名系統(tǒng))����、登錄服入口、游戲服入口”等暴露在公網(wǎng)上的服務(wù)�����。其中“CDN(內(nèi)容分發(fā)網(wǎng)絡(luò))和DNS(域名系統(tǒng))”一般都是平臺型的服務(wù),攻擊不多��。重點攻擊對象是“登錄服和游戲服”等���。
2、不同的延遲需求
“登錄�����、支付”等服務(wù)����,相比于游戲服����,延遲容忍度更高一些�,所以兩者的防護(hù)措施與游戲服不同,可以考慮接入“電信�、聯(lián)通”等單線的大帶寬;而游戲服���,則需要接入“基于BGP協(xié)議多線互聯(lián)”的網(wǎng)絡(luò)帶寬。
3�、可否更換 IP
從業(yè)務(wù)技術(shù)架構(gòu)上看�,能否更換IP�����,決定了“DDos攻擊”防護(hù)的靈活性�����。
若是可以更換IP����,則可以靈活地調(diào)度多個IP,實現(xiàn)“游擊戰(zhàn)”式的靈活防護(hù);如果不能更換IP�����,只能用帶寬先把攻擊流量承接下來���,然后再做流量的過濾和清洗。
防御吧高防服務(wù)器�����,采用“智能硬件防火墻 + 流量牽引技術(shù)”�,并為用戶配置相對應(yīng)的高防IP�,在用戶面臨大規(guī)模的DDos攻擊時��,可精準(zhǔn)識別出惡意流量�����,并對惡意流量進(jìn)行過濾���、清洗和分流,將惡意流量引流到高防IP�,從而抵御大規(guī)模的DDos攻擊���,保證用戶業(yè)務(wù)的正常穩(wěn)定運行。
4、是否可多地域部署
如果游戲業(yè)務(wù)�����,可以進(jìn)行多地域部署����,則能夠更好的利用多地的高防資源進(jìn)行防護(hù),并且玩家的游戲體驗會更好��。
三、在游戲的不同階段���,如何進(jìn)行防護(hù)?
1��、架構(gòu)設(shè)計階段
在游戲的架構(gòu)設(shè)計階段����,要把“安全防護(hù)”考慮在內(nèi)��,盡量采用“公網(wǎng)IP可更換”或“服務(wù)端提供域名訪問、可進(jìn)行多地域部署”的架構(gòu)。
2���、業(yè)務(wù)部署階段
規(guī)劃好暴露在公網(wǎng)上的服務(wù)的數(shù)量(需要防護(hù)的目標(biāo)數(shù)量),使其處在一個合理區(qū)間�����,以便在單點攻擊發(fā)生時��,不會影響全部玩家�,同時也要綜合考慮防護(hù)成本和效果。
根據(jù)游戲類型以及自身的競爭環(huán)境是否健康�,規(guī)劃游戲是否需要獨立的防護(hù)資源,游戲內(nèi)的“不同玩家分組���、不同業(yè)務(wù)模塊”,是否需要獨立防護(hù)�。
根據(jù)延遲要求���,選擇防護(hù)資源的地域和線路;一個游戲內(nèi)的不同服務(wù)�,延遲要求也不相同��,例如:大廳服,通常相對游戲服的延遲要求就低一些�。
根據(jù)業(yè)內(nèi)攻擊數(shù)據(jù)統(tǒng)計,以及自身的競爭現(xiàn)狀�����,規(guī)劃是否需要“保底 + 彈性”的靈活防護(hù)模式,以平衡防護(hù)效果和成本��。
3����、業(yè)務(wù)被攻擊時
根據(jù)攻擊情況�����,調(diào)整保底和彈性模式;結(jié)合攻擊頻率,調(diào)整防護(hù)策略�����。
如果是大流量攻擊����,但還在防護(hù)帶寬內(nèi)���,可以考慮繼續(xù)使用大帶寬防護(hù)���,或者適當(dāng)升級帶寬以保障防護(hù)效果��。如果是大流量帶寬攻擊頻繁���,超過可以購買的帶寬�����,或者防護(hù)成本過高����,可以考慮采用“多個高防 IP調(diào)度”的方式�。
如遇到頻繁且復(fù)雜的攻擊場景����,需要建立多層次的防護(hù)體系���。例如使用“多 IP 靈活調(diào)度”作為第一層防護(hù),使用大帶寬作為第二層防護(hù)進(jìn)行兜底�����,并且針對 CC攻擊進(jìn)行有效的專門防護(hù)�。
防御吧高防服務(wù)器����,專業(yè)抗DDos攻擊�,具有“超大防護(hù)帶寬��、超強清洗能力�����、全業(yè)務(wù)場景支持”的特點���。在部署高防服務(wù)器的高防機房�,接入了T級(1000G)超大防護(hù)帶寬�����,單機(單臺高防服務(wù)器)防御峰值最高可達(dá)數(shù)百G���,并附有CC攻擊的防御能力���,可防御超大規(guī)模的DDos攻擊和高密度的CC攻擊。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
