游戲行業(yè)利潤大競爭非常激烈,這也導致了競爭對手惡意競爭�,通過DDOS攻擊手段致使對手服務器癱瘓,很多游戲剛上線就被打掛�,導致用戶大量流失。面對這種情況游戲公司如何判斷是否正在被DDOS攻擊��?
如何判斷是否正在被DDOS攻擊
假定可排除線路和硬件故障的情況下��,突然發(fā)現(xiàn)連接服務器困難��,正在游戲的用戶掉線等現(xiàn)象��,則說明很有可能是遭受了DDoS攻擊���。
目前����,游戲行業(yè)的IT基礎設施一般有兩種部署模式:一種是采用云計算或者托管IDC模式,另外一種是自拉網(wǎng)絡專線��。但基于接入費用的考慮�����,絕大多數(shù)采用前者��。
無論是前者還是后者接入��,在正常情況下��,游戲用戶都可以自由流暢的進入服務器并參與娛樂�����。所以�����,如果突然出現(xiàn)下面這幾種現(xiàn)象����,就可以基本判斷是被攻擊狀態(tài):
(1) 主機的IN/OUT流量較平時有顯著的增長
(2)主機的CPU或者內(nèi)存利用率出現(xiàn)無預期的暴漲
(3)通過查看當前主機的連接狀態(tài),發(fā)現(xiàn)有很多半開連接��,或者是很多外部IP地址�����,都與本機的服務端口建立幾十個以上的ESTABLISHED狀態(tài)的連接�����,則說明遭到了TCP多連接攻擊
(4)游戲客戶端連接游戲服務器失敗或者登錄過程非常緩慢
(5)正在進行游戲的用戶突然無法操作或者非常緩慢或者總是斷線
什么樣的架構才可以對DDoS免疫���?
在知道難點�����,和攻擊狀態(tài)的判斷方法之后�,來了解下DDoS防護方法���。
目前��,可用的DDoS緩解方法�����,有三大類��。首先是架構優(yōu)化����,其次是服務器加固,最后是商用的DDoS防護服務�。
游戲公司需要根據(jù)自己的預算、攻擊嚴重程度��,來決定使用哪一種����。
一����、在預算有限的情況下,可以從免費的DDoS緩解方案�,和自身架構的優(yōu)化上下功夫,減緩DDoS攻擊的影響�����。
a. 如果系統(tǒng)部署在云上��,可以使用云解析,優(yōu)化DNS的智能解析�,同時建議托管多家DNS服務商,這樣可以避免DNS攻擊的風險���。
b. 使用SLB�����,通過負載均衡減緩CC攻擊的影響���,后端負載多臺ECS服務器,這樣可以對DDoS攻擊中的CC攻擊進行防護����。在企業(yè)網(wǎng)站加了負載均衡方案后,不僅有對網(wǎng)站起到CC攻擊防護作用�,也能將訪問用戶進行均衡分配到各個web服務器上,減少單個web服務器負擔�����,加快網(wǎng)站訪問速度�。
c. 使用專有網(wǎng)絡VPC,防止內(nèi)網(wǎng)攻擊。
d. 做好服務器的性能測試���,評估正常業(yè)務環(huán)境下能承受的帶寬和請求數(shù)�����,確���?梢噪S時的彈性擴容。
e. 服務器防御DDoS攻擊最根本的措施就是隱藏服務器真實IP地址����。當服務器對外傳送信息時,就可能會泄露IP���,例如�,我們常見的使用服務器發(fā)送郵件功能就會泄露服務器的IP����。
因而���,我們在發(fā)送郵件時�,需要通過第三方代理發(fā)送,這樣子顯示出來的IP是代理IP����,因而不會泄露真實IP地址。在資金充足的情況下��,可以選擇DDoS高防服務器����,且在服務器前端加CDN中轉(zhuǎn),所有的域名和子域都使用CDN來解析���。
二����、可以對自身服務器做安全加固���。
a. 控制TCP連接�����,通過iptable之類的軟件防火墻可以限制某些IP的新建連接��;
b. 控制某些IP的速率�;
c. 識別游戲特征,針對不符合游戲特征的連接可以斷開��;
d. 控制空連接和假人�,針對空連接的IP可以加黑;
e. 學習機制����,保護游戲在線玩家不掉線,通過服務器可以搜集正常玩家的信息��,當面對攻擊的時候可以將正常玩家導入預先準備的服務器����,新進玩家可以暫時放棄;
f. 確保服務器系統(tǒng)安全��;
g. 確保服務器的系統(tǒng)文件是最新的版本,并及時更新系統(tǒng)補����。
h. 管理員需對所有主機進行檢查�����,知道訪問者的來源���;
i. 過濾不必要的服務和端口:可以使用工具來過濾不必要的服務和端口(即在路由器上過濾假IP�����,只開放服務端口)���。這也成為目前很多服務器的流行做法。例如���,“WWW”服務器���,只開放80端口,將其他所有端口關閉�����,或在防火墻上做阻止策略�����;
j. 限制同時打開的SYN半連接數(shù)目,縮短SYN半連接的timeout 時間,限制SYN/ICMP流量��;
k. 認真檢查網(wǎng)絡設備和主機/服務器系統(tǒng)的日志����。只要日志出現(xiàn)漏洞或是時間變更,那這臺機器就可能遭到了攻擊��;
l. 限制在防火墻外與網(wǎng)絡文件共享����。這樣會給黑客截取系統(tǒng)文件的機會,若黑客以特洛伊木馬替換它����,文件傳輸功能無疑會陷入癱瘓;
m. 充分利用網(wǎng)絡設備保護網(wǎng)絡資源��;
n. 禁用 ICMP����。僅在需要測試時開放ICMP。在配置路由器時也考慮下面的策略:流控�,包過濾,半連接超時��,垃圾包丟棄����,來源偽造的數(shù)據(jù)包丟棄,SYN 閥值��,禁用 ICMP 和 UDP 廣播�;
o. 使用高可擴展性的 DNS 設備來保護針對 DNS 的DDoS攻擊�?梢钥紤]購買DNS商業(yè)解決方案,它可以提供針對 DNS 或 TCP/IP3 到7層的 DDoS攻擊保護�。
三、再就是商用的DDoS解決方案
針對超大流量的攻擊或者復雜的游戲CC攻擊��,可以考慮采用專業(yè)的DDoS解決方案�����。目前�����,通用的游戲行業(yè)安全解決方案���,做法是在IDC機房前端部署防火墻或者流量清洗的一些設備�����,或者采用大帶寬的高防機房來清洗攻擊����。
當寬帶資源充足時,此技術模式的確是防御游戲行業(yè)DDoS攻擊的有效方式�����。不過帶寬資源有時也會成為瓶頸:例如單點的IDC很容易被打滿�,對游戲公司本身的成本要求也比較高。
游戲盾風控模式的初衷�,是從收到訪問的第一刻起,便判斷它是“好”還是“壞”��,從而決定它是不是可以訪問到它想訪問的資源�;而當攻擊真的發(fā)生時,也可以通過智能流量調(diào)度���,將所有的業(yè)務流量切換到一個正常運作的機房�����,保證游戲正常運行��。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
