作者：騰訊游戲云資深架構(gòu)師 vince

本篇文章主要是分享游戲業(yè)務(wù)面臨的安全風(fēng)險(xiǎn)場景，以及基于這些場景的特點(diǎn)，我們應(yīng)該如何做好對(duì)應(yīng)的防護(hù)。

背景：游戲行業(yè)DDoS攻擊愈演愈烈

《2017年度游戲行業(yè)DDoS態(tài)勢報(bào)告》顯示，中國成為全球DDoS攻擊最大受害區(qū)，占比84.79%。

第二個(gè)特點(diǎn)是，大流量攻擊越來越多，其中百G以上攻擊占比逐年加大：

第三個(gè)特點(diǎn)是游戲行業(yè)被攻擊情況嚴(yán)重，已是最大受害行業(yè)。而其中棋牌類被攻擊尤其嚴(yán)重，百G以上攻擊棋牌類占比57%：

另外，國內(nèi)已經(jīng)開始出現(xiàn)超大流量攻擊。在今年4月8日，騰訊云防護(hù)了1.23T的超大攻擊流量，DDoS攻擊越來越兇猛。面對(duì)越來越嚴(yán)峻的安全攻擊現(xiàn)狀，如何構(gòu)筑我們的業(yè)務(wù)防線，這是所有游戲研發(fā)和發(fā)行商都要面對(duì)的問題。

常見游戲風(fēng)險(xiǎn)場景

鑒于游戲業(yè)務(wù)面臨日益嚴(yán)峻的安全攻擊風(fēng)險(xiǎn)，我們有必要對(duì)其進(jìn)行進(jìn)一步的剖析，為后續(xù)建立相應(yīng)的安全防護(hù)打好基礎(chǔ)。游戲安全場景由兩部分要素組成。一部分是業(yè)務(wù)屬性，另一部分是技術(shù)和部署架構(gòu)；業(yè)務(wù)屬性包括了游戲類型、攻擊趨勢、延遲要求等，決定了被DDoS的概率、攻擊流量的大小，需要使用什么類型的防護(hù)資源，如BGP還是三大運(yùn)營商的單線線路；技術(shù)和部署架構(gòu)，包括使用的通信協(xié)議、部署架構(gòu)等，決定了需要使用什么防護(hù)產(chǎn)品來對(duì)抗。

業(yè)務(wù)屬性

業(yè)務(wù)屬性可以從以下圖中的幾個(gè)方面來展開：

1、 游戲類型

近幾年隨著手游的持續(xù)走熱，越來越多的手游類型出現(xiàn)，常見的手游類型如MOBA，MMO，以及16年開始興起的棋牌等。MOBA和MMO等游戲由于地域?qū)傩粤６容^粗，基本是以國家維度來做發(fā)行，競爭激烈但基本是良性競爭居多；而棋牌主要集中在國內(nèi)發(fā)行，由于地方特色玩法各異，所以地域?qū)傩詷O強(qiáng)，競爭對(duì)手較為明確，容易產(chǎn)生不當(dāng)競爭行為，典型的就是利用DDS攻擊打擊競爭對(duì)手。

2、 生命周期

不同的業(yè)務(wù)在生命周期的不同階段，所可能受到的攻擊情況也不同。以棋牌，特別是地方棋牌為例，在新游上線初期，可能就會(huì)被“圍毆”打癱。因?yàn)檫@個(gè)時(shí)候攻擊影響和成本堪稱“性價(jià)比”最高，新游首發(fā)階段，如果連續(xù)被攻擊幾天，不僅游戲口碑變差，運(yùn)營投入的廣告轉(zhuǎn)換率和留存率也會(huì)很低，給發(fā)行商帶來很大經(jīng)濟(jì)損失。

3、 延遲要求

在防護(hù)業(yè)務(wù)時(shí)，兩個(gè)方面需要考慮，一個(gè)是防住攻擊，第二是盡量不影響玩家體驗(yàn)。能否防住攻擊，與高防產(chǎn)品技術(shù)、架構(gòu)和資源有關(guān)，后續(xù)再深入介紹。為了不影響玩家體驗(yàn)，建議網(wǎng)絡(luò)延遲不要增加至超過上述延遲的上限。又因網(wǎng)絡(luò)延遲主要和網(wǎng)絡(luò)線路質(zhì)量有關(guān)，故建議MOBA，MMO使用BGP線路的防護(hù)資源；棋牌類可以使用BGP（常態(tài)下業(yè)務(wù)訪問+基礎(chǔ)防護(hù)）+三網(wǎng)（大流量下防護(hù)）的組合防護(hù)資源。

4、 攻擊類型

從近年來的攻擊情況看，主要以反射性UDP攻擊為主，且流量巨大。18年初出現(xiàn)利用Memcached可以放大5萬倍的流量，非常驚人，急需有效的UDP防護(hù)策略來防護(hù)。從攻擊時(shí)長和頻次來看，一定程度上可以預(yù)判攻擊意圖和后續(xù)攻擊的情況，便于做防護(hù)準(zhǔn)備。例如對(duì)于攻擊時(shí)間長，頻次高的情況，甚至十分鐘左右就是一輪高峰值攻擊，這種情況下，對(duì)方勢必要打癱目標(biāo)，所以開發(fā)商需要和云廠商一起合作才能做好針對(duì)性防護(hù)。

5、 攻擊大小

從以上2017年的攻擊統(tǒng)計(jì)情況來看，攻擊主要集中在2-4月份，全年有3/4的時(shí)間攻擊量和頻次都不高。 從攻擊大小上看，87.1%的攻擊是在50G以下，約51.2%的攻擊是在10G以下。所以是否常態(tài)下置備 50G 或 20G的防護(hù)資源，在攻擊超過這個(gè)基數(shù)時(shí)也可以提供防護(hù)？總結(jié)說，是否可以以“保底+彈性”的防護(hù)模式，做到防護(hù)效果和成本的均衡？

技術(shù)和部署架構(gòu)

1、 通用游戲架構(gòu)

從游戲通用架構(gòu)上來看，玩家通過CDN下載更新資源包，通過域名登錄游戲，然后連接分配的游戲服開始游戲。其他游戲周邊服務(wù)都在內(nèi)網(wǎng)。惡意攻擊者通過偽裝成正常玩家，拿到所有直接公網(wǎng)暴露給游戲玩家的域名、公網(wǎng)IP等，從而通過其控制的互聯(lián)網(wǎng)的巨量肉雞對(duì)游戲進(jìn)行攻擊；在這個(gè)游戲架構(gòu)場景中，可能被攻擊的對(duì)象是CDN，DNS，登錄服入口，游戲服入口等暴露在公網(wǎng)的服務(wù)。其中CDN和DNS一般都是平臺(tái)型的服務(wù)，攻擊不多。重點(diǎn)攻擊對(duì)象是登錄服，游戲服務(wù)等。

2、 不同延遲需求

在防護(hù)時(shí)，登錄、支付等服務(wù)相比游戲服，延遲容忍度更高一下；所以防護(hù)措施與游戲服不同，可以考慮電信聯(lián)通等單線的大帶寬高防資源；游戲服的延遲要求與類型密切相關(guān)，可以參見上述提及的延遲要求。

3、 可否更換 IP

從業(yè)務(wù)技術(shù)架構(gòu)上看，能否更換IP，決定了防護(hù)的靈活性；若可以更換IP，則可以靈活的調(diào)度多個(gè)IP實(shí)現(xiàn)“游擊戰(zhàn)”式的靈活防護(hù)；如果不能更換IP，只能用帶寬先把攻擊流量承接下來，然后再做清洗；這種情況在攻擊量超過帶寬上限時(shí)，服務(wù)端公網(wǎng)入口已經(jīng)被擁塞至幾近癱瘓，業(yè)務(wù)請(qǐng)求幾乎都不能被正常處理。

4、 是否可多地域部署

此外，如果業(yè)務(wù)可以多地域部署，則可以更好的利用多地的高防資源防護(hù)，并且玩家游戲體驗(yàn)更好。

防護(hù)思路總結(jié)

架構(gòu)設(shè)計(jì)階段

把安全防護(hù)考慮在內(nèi)，盡量采用公網(wǎng)IP可更換或服務(wù)端提供域名訪問、可多地域部署的架構(gòu)

業(yè)務(wù)部署階段

規(guī)劃好暴露在公網(wǎng)的服務(wù)（即需要防護(hù)的目標(biāo)）的數(shù)量，使其處在一個(gè)合理區(qū)間，以便在單點(diǎn)攻擊發(fā)生時(shí)，不會(huì)影響全部玩家；同時(shí)也要綜合考慮防護(hù)成本和效果；

根據(jù)游戲類型，以及自身的競爭環(huán)境是否健康，規(guī)劃游戲是否需要獨(dú)立的防護(hù)資源，游戲內(nèi)不同玩家分組，不同業(yè)務(wù)模塊是否需要獨(dú)立防護(hù)；否則多業(yè)務(wù)可以共享防護(hù)資源；

根據(jù)延遲要求，選擇防護(hù)資源的地域和線路；一個(gè)游戲內(nèi)的不同服務(wù)，延遲要求可能也不相同，例如大廳服通常相對(duì)游戲服的延遲要求就低一些；

根據(jù)業(yè)內(nèi)攻擊數(shù)據(jù)統(tǒng)計(jì)，以及自身的競爭現(xiàn)狀，規(guī)劃是否需要保底+彈性的靈活防護(hù)模式，以平衡防護(hù)效果和成本；

業(yè)務(wù)被攻擊時(shí)

根據(jù)攻擊情況，調(diào)整保底和彈性模式；結(jié)合攻擊頻率，調(diào)整防護(hù)策略。如果是大流量攻擊，但是還在防護(hù)帶寬內(nèi)，可以考慮繼續(xù)使用大帶寬防護(hù)或者適當(dāng)升級(jí)帶寬以保障防護(hù)效果；如果是大流量帶寬攻擊頻繁，超過可以購買的帶寬或者防護(hù)成本過高，可以考慮多高防 IP調(diào)度的方式；

如遇到頻繁且復(fù)雜的攻擊場景，有必要建立多層防護(hù)。例如使用多 IP 靈活調(diào)度作為第一層，第二層可以使用大帶寬的三網(wǎng)防護(hù)兜底，針對(duì) CC 可以做到有效防護(hù)，在一些復(fù)雜場景，一定程度上可以做自定義防護(hù)；

騰訊云專家助力

在以上各階段，可以聯(lián)系騰訊云團(tuán)隊(duì)，可以一起更有效的做好多輪次攻防。

騰訊云游戲高防產(chǎn)品-宙斯盾

結(jié)合上述的防護(hù)思路，在面對(duì)越來越嚴(yán)峻的安全威脅時(shí)，可以使用騰訊云提供的高防服務(wù)宙斯盾來保障業(yè)務(wù)安全。騰訊云宙斯盾安全防護(hù)提供了全方位多層次的 DDoS 防護(hù)方案，可以完全契合上述防護(hù)思路。您可以根據(jù)業(yè)務(wù)部署特點(diǎn)選擇 DDoS 高防 IP、DDoS 高防包，并根據(jù)防護(hù)需求配置高級(jí)安全策略、CC 防護(hù)策略、水印防護(hù)策略等以靈活應(yīng)對(duì)多種 DDoS 和 CC攻擊威脅。

防護(hù)域名

防護(hù)域名提供智能解析和自動(dòng)切換的能力。 在同時(shí)具備包括BGP的多線路防護(hù)資源時(shí)，優(yōu)先解析到BGP；若發(fā)生攻擊導(dǎo)致BGP線路被封禁，系統(tǒng)會(huì)自動(dòng)切換到三網(wǎng)防護(hù)資源，此時(shí)會(huì)根據(jù)訪問者的來源IP自動(dòng)解析到對(duì)應(yīng)的運(yùn)營商線路，從而盡可能的保證最優(yōu)的延遲；

高防IP

借助BGP高防IP的力量來防護(hù)，客戶端連接到高防IP，高防IP再轉(zhuǎn)發(fā)給游戲服務(wù)器；可以轉(zhuǎn)發(fā)云外或者云上的服務(wù)器。

高防包

對(duì)于部署在騰訊云上的業(yè)務(wù)，高防包就像一層護(hù)甲，直接在現(xiàn)有業(yè)務(wù)IP上生效，做到快速接入高防，業(yè)務(wù)無需做變更；高防包分兩種：

• 單IP高防包，為騰訊云上一個(gè)服務(wù)器或者負(fù)載均衡提供防護(hù)；
• 多IP高防包，也叫共享高防包，可以防護(hù)多個(gè)騰訊云服務(wù)器或者負(fù)載均衡；

高級(jí)安全策略

如果DDoS攻擊流量的報(bào)文中有一定特征，可以通過設(shè)置針對(duì)性的安全策略，進(jìn)行有針對(duì)性的過濾

CC防護(hù)策略

CC防護(hù)一直是個(gè)難點(diǎn)，通過在CC檢測清洗層面，設(shè)置自定義的檢測和處理策略，可以有效阻擊一定的CC攻擊。如果一些特殊的CC流量已經(jīng)到達(dá)服務(wù)器，也可以通過開啟緊急防護(hù)模式，收緊防護(hù)策略，從而達(dá)到防護(hù)效果。

空連接防護(hù)

在CC防護(hù)中，空連接是一種常用的手段。宙斯盾會(huì)先與請(qǐng)求端建立連接，待有非空連接到來時(shí)，才使請(qǐng)求端與服務(wù)端真正建立連接，避免空連接攻擊對(duì)服務(wù)產(chǎn)生影響。

水印防護(hù)

如果CC攻擊頻繁且攻擊量大，急需徹底防護(hù)CC，可以使用水印防護(hù)的方案。騰訊云宙斯盾通過在業(yè)務(wù)報(bào)文中增加動(dòng)態(tài)標(biāo)簽，即水印的方式，來識(shí)別是否是游戲的正常流量，且潛在攻擊者無法通過抓取報(bào)文進(jìn)行回放等方式進(jìn)行攻擊，100%有效過濾攻擊流量。

常見游戲類型防護(hù)方案

MOBA/MMO

對(duì)于 MOBA和MMO 類型的現(xiàn)有項(xiàng)目可以使用BGP高防包覆蓋所有公網(wǎng)服務(wù)；

新游戲可以使用BGP高防IP或者BGP 高防包覆蓋所有公網(wǎng)服務(wù)，在發(fā)生攻擊被黑洞時(shí)，可以通過提升防護(hù)套餐快速解除黑洞狀態(tài)，恢復(fù)業(yè)務(wù)訪問；

棋牌

對(duì)于棋牌業(yè)務(wù)來說，攻擊情況比較復(fù)雜。攻擊流量大、類型多樣、變化快，攻擊人員更專業(yè)，攻擊周期可能會(huì)很長，少數(shù)情況甚至長達(dá)數(shù)月或超過一年。所以需要有一套應(yīng)對(duì)復(fù)雜狀況的方案。根據(jù)經(jīng)驗(yàn)，我們建立了一個(gè)多層次防護(hù)體系，可以節(jié)節(jié)對(duì)抗，有針對(duì)性的變化防護(hù)策略，達(dá)到有效防護(hù)的目的。

防護(hù)方案整體上可以采用防護(hù)域名+ BGP 高防IP + 三網(wǎng)高防 IP + 高防IP 靈活調(diào)度的策略。第一層防護(hù)，使用BGP高防IP防護(hù)中小流量，并且作為業(yè)務(wù)對(duì)外正常服務(wù)的入口；第二層防護(hù)，使用三網(wǎng)高防或BGP高防IP靈活調(diào)度來防護(hù)、三網(wǎng)高防作為保底措施；第三層，若攻擊報(bào)文有長度、內(nèi)容特征，可以使用自定義防護(hù)策略，過濾這些報(bào)文；第四層，若有明顯CC攻擊，默認(rèn)的空連接防護(hù)以及緊急防護(hù)模式（更嚴(yán)格的過濾策略），可以幫助業(yè)務(wù)正常提供服務(wù)，也可以在研發(fā)或上線后逐步接入水印防護(hù)，100%有效防護(hù)CC攻擊。