游戏服务器安全风险和应对策略
2021-09-03 13:18:47 【


游戏业务的安全场景,主要由两部分因素组成:一部分是“业务属性”,另一部分是“技术和部署架构”。业务属性包括“游戏类型、生命周期、延迟要求”等,决定了该款游戏被DDos攻击的概率、攻击流量的大小,以及需要使用什么类型的防护资源;技术和部署架构,包括使用的“通信协议、部署架构”等,决定了该款游戏业务需要使用哪种防护产品进行对抗。




一、业务属性:


1、游戏类型


近几年来,随着《王者荣耀》、《绝地求生》等手游的持续走热,越来越多的手游类型出现。常见的手游类型,如:MOBA(多人在线战术竞技游戏)、MMO(大型多人在线游戏),以及2016年开始兴起的棋牌类手游等。


MOBA和MMO类游戏,由于分布广泛,地域属性相对比较模糊,基本是以“国家”维度来发行,虽竞争激烈,但以良性竞争居多;而棋牌类游戏,主要集中在国内发行,由于地方特色玩法各异,所以地域属性极强,竞争对手较为明确,容易产生不正当的竞争行为。典型的手段,就是利用“DDos攻击”来打击竞争对手。




2、生命周期


不同的游戏业务,在生命周期的不同阶段,可能遭受的攻击情况也不同。以棋牌类游戏,特别是地方棋牌为例,在游戏上线的初期,很有可能就会被“群殴”打瘫。因为这个时候,DDos攻击的影响和成本,堪称“性价比”最高。新游首发阶段,如果连续被攻击几天,不仅游戏口碑变差,运营投入的广告转换率和留存率也会很低,这给游戏发行商带来了极大的经济损失。


3、延迟要求


在进行防护时,有两个方面需要考虑:一是能够防御攻击,第二是尽量不影响玩家体验。


能否防御攻击,与“高防产品技术、架构和资源”有关。而为了不影响玩家体验,建议网络延迟不能太高。网络延迟,主要和“网络线路质量”有关,因此建议MOBA(多人在线战术竞技游戏)和MMO(大型多人在线游戏),使用“基于BGP协议多线互联”的网络带宽。




二、技术和部署架构:


1、游戏通用架构


从游戏通用架构上来看,玩家通过CDN(内容分发网络)下载更新资源包,通过域名登录游戏,然后连接分配游戏服开始游戏。至于其他游戏周边服务,都在内网。


恶意攻击者,通过伪装成正常“玩家”,拿到所有公网上暴露给游戏玩家的“域名、公网IP”等,从而控制大量的肉鸡(也称为“傀儡机”,指被黑客远程控制的机器),对游戏进行攻击。


在游戏通用架构的场景中,可能被攻击的对象是“CDN(内容分发网络)、DNS(域名系统)、登录服入口、游戏服入口”等暴露在公网上的服务。其中“CDN(内容分发网络)和DNS(域名系统)”一般都是平台型的服务,攻击不多。重点攻击对象是“登录服和游戏服”等。




2、不同的延迟需求


“登录、支付”等服务,相比于游戏服,延迟容忍度更高一些,所以两者的防护措施与游戏服不同,可以考虑接入“电信、联通”等单线的大带宽;而游戏服,则需要接入“基于BGP协议多线互联”的网络带宽。


3、可否更换IP


从业务技术架构上看,能否更换IP,决定了“DDos攻击”防护的灵活性。


若是可以更换IP,则可以灵活地调度多个IP,实现“游击战”式的灵活防护;如果不能更换IP,只能用带宽先把攻击流量承接下来,然后再做流量的过滤和清洗。


网域云高防服务器,采用“智能硬件防火墙+流量牵引技术”,并为用户配置相对应的高防IP,在用户面临大规模的DDos攻击时,可精准识别出恶意流量,并对恶意流量进行过滤、清洗和分流,将恶意流量引流到高防IP,从而抵御大规模的DDos攻击,保证用户业务的正常稳定运行。


4、是否可多地域部署


如果游戏业务,可以进行多地域部署,则能够更好的利用多地的高防资源进行防护,并且玩家的游戏体验会更好。




三、在游戏的不同阶段,如何进行防护?


1、架构设计阶段


在游戏的架构设计阶段,要把“安全防护”考虑在内,尽量采用“公网IP可更换”或“服务端提供域名访问、可进行多地域部署”的架构。


2、业务部署阶段


规划好暴露在公网上的服务的数量(需要防护的目标数量),使其处在一个合理区间,以便在单点攻击发生时,不会影响全部玩家,同时也要综合考虑防护成本和效果。


根据游戏类型以及自身的竞争环境是否健康,规划游戏是否需要独立的防护资源,游戏内的“不同玩家分组、不同业务模块”,是否需要独立防护。


根据延迟要求,选择防护资源的地域和线路;一个游戏内的不同服务,延迟要求也不相同,例如:大厅服,通常相对游戏服的延迟要求就低一些。


根据业内攻击数据统计,以及自身的竞争现状,规划是否需要“保底+弹性”的灵活防护模式,以平衡防护效果和成本。




3、业务被攻击时


根据攻击情况,调整保底和弹性模式;结合攻击频率,调整防护策略。


如果是大流量攻击,但还在防护带宽内,可以考虑继续使用大带宽防护,或者适当升级带宽以保障防护效果。如果是大流量带宽攻击频繁,超过可以购买的带宽,或者防护成本过高,可以考虑采用“多个高防IP调度”的方式。


如遇到频繁且复杂的攻击场景,需要建立多层次的防护体系。例如使用“多IP灵活调度”作为第一层防护,使用大带宽作为第二层防护进行兜底,并且针对CC攻击进行有效的专门防护。




高防服务器,专业抗DDos攻击,具有“超大防护带宽、超强清洗能力、全业务场景支持”的特点。网域云在部署高防服务器的高防机房,接入了T级(1000G)超大防护带宽,单机(单台高防服务器)防御峰值最高可达数百G,并附有CC攻击的防御能力,可防御超大规模的DDos攻击和高密度的CC攻击。


游戏服务器安全风险:                                  
(如只提供HTTP服务)                  
外网发起IP或端口扫描、DDOS攻击等    
漏洞攻击(针对服务器操作系统等)  
根据软件版本的已知漏洞进行攻击,口令暴力破解,获取用户权限;SQL注入、 XSS跨站脚本攻击、跨站请求伪造等等  
扫描网站开放的端口以及弱密码  
网站被攻击者篡改
   
游戏服务器安全应对策略
不必要的访问:
应用识别、控制
防火墙
IPS
服务器保护
风险分析
网络篡改防护

】【打印关闭】 【返回顶部
上一篇高防服务器需要选择正规商家 下一篇游戏服务端的高并发和高可用