<b>摘要:</b>在3月8日的“2017遊戲行業全球同服和安全攻防技術沙龍”上,阿裡雲安全方案進階專家蘊藉為大家介紹了國内外遊戲行業的安全形勢以及阿裡雲雲盾所提供的全方位優先權解決方案,并結合具體案例介紹了阿裡雲遊戲安全解決方案的應用實戰效果。
以下内容根據演講嘉賓現場視訊以及ppt整理而成。
<b>遊戲行業綜述——機遇與風險并存</b>
對于遊戲而言,遭受到攻擊是一件很常見的事情,據統計國内一半以上的ddos攻擊都是針對遊戲行業的。目前遊戲行業總體而言是機遇與風險并存的,2017年中國網遊市場規模已經突破了2000億,但是網絡遊戲卻也是ddos攻擊的頭号重災區,其實不僅僅是中國,全球市場上針對于遊戲的ddos攻擊永遠是排在第一位的,而在中國這樣的現象則更加嚴重,尤其在是從今年春節之前一直到3月份延續的這波攻擊中,很多遊戲廠商一直被ddos攻擊所壓制。除此之外,移動端的快速增長也帶來了移動安全問題,另外還出現了利用欺詐手段或遊戲漏洞破壞遊戲環境的現象。
<b>ddos攻擊趨勢及原因分析</b>
對于ddos攻擊而言,其平均防禦成本随着ddos攻擊流量的增長呈現出加速向上的曲線。根據計算資料分析得出:如果ddos攻擊流量達到250g,每個月的防禦成本大約會需要5萬美元左右;如果達到300g就會需要每月6萬美元;達到350g時防禦成本則需要每月8萬美元;如果達到500g攻擊流量,那麼防禦成本則需要14萬美元,也就是每個月需要花費大約一百萬人民币去進行ddos攻擊的防禦。在2017年,300g以上的攻擊已經呈現常态化了。而對于ddos攻擊每小時所造成的商業價值損失而言,據資料統計36%的應用被攻擊一小時的損失在5000美元到2萬美元之間,34%在2萬美元到10萬美元之間,還有15%被攻擊時每小時損失會超過10萬美元。
除此之外,根據黑客攻擊的時間次元資料也能分析出一定的規律性:基本上在每天的淩晨3點到9點之間,黑客攻擊将會處于睡眠期,這個時間段其實屬于黑客換裝彈藥的時間,在這個時間段,他們會把第二天需要攻擊對象的名單和需要使用腳本準備好,當早上9點的時候,黑客的腳本就會自動運作然後開展新一波的攻擊,是以在早上9點到淩晨3點之間這段時間,黑客的攻擊是比較頻繁的。
另外,目前國内主要有兩大黑産組織,這兩個組織也是遍布整個東南亞地區的,他們的最頂層組織處在中國境外,而且他們所掌握的攻擊流量已經超過了1個t。大家可以想象一下,這樣的攻擊流量其實對于任何一家遊戲公司或者應用而言都将會是緻命的,黑産組織中最大的擁有800g的攻擊流量,小一些則擁有的大約600g的攻擊流量,是以他們基本上有能力将任何一個遊戲公司攻擊到挂掉。而目前在阿裡的威脅情報系統中已經将這兩大的危險組織的殭屍電腦分布進行了區分。
今天,黑客發起攻擊的成本其實會非常低,比如對于海外的utb小包而言,一個g一天隻要花費50元,即便是最貴的dns反射攻擊也隻要1個g一天350元。但是黑客顯然不是這樣報價的,比如黑客盯上了某一個遊戲,就會去以包天或者包月或者按照效果付費的方式進行購買攻擊包,一定會将遊戲服務打死,甚至會提供打不死不收錢的“包打死”服務。前一段時間大家應該都看到了阿裡雲的吳翰清在自己的公衆号上發了一篇文章談了他回到阿裡的29個月。其實這篇文章中也談到了,在2016年的時候阿裡雲打擊了剛才提到的兩個黑産組織中的一個,在打擊之後在幾個月的時間之内,整個中國的黑産組織其實就消失掉了,國内的ddos攻擊量也下降了56%,同時全球的ddos攻擊量也下降了8%,但是因為黑産組織的核心組織人員都在中國境外,半年之後這個組織就又死灰複燃了。
對于實際的攻擊手法而言,由于攻擊源是在逐年增加的,以前隻有針對pc的攻擊,後來出現了針對伺服器端的攻擊,曾經有資料統計大約50%以上idc的伺服器都被黑客成功入侵并成為了殭屍電腦,而現在還有針對于手機的攻擊,很多人的手機其實都處于黑産組織的控制之中,而且現在很多的iot裝置紛紛加入了ddos攻擊的浪潮之中,也将ddos攻擊的流量逐年推高。在2014年的時候ddos攻擊還是以50gbps為主,攻擊手法以idc僞造源ip攻擊為主。而在2015年時,攻擊100gbps+的攻擊已經常态化了,攻擊手法也在更新,從僞造ip轉向反射型flood攻擊。2016年時,200gbps+的攻擊常态化,iot和移動終端的興起導緻基于真實裝置的攻擊層出不窮。而在2017年的最近兩三個月,大家所看到的趨勢是300gbps+的攻擊常态化,并且基于私有協定和真實源的攻擊事件呈指數級上升趨,導緻攻擊更加難以防範。
那麼黑客為什麼會攻擊遊戲行業呢?首先可能是發洩自己的不滿,有些同學對于遊戲産生了不滿情緒,那就可能為了發洩自己的不滿将遊戲打挂掉。還有黑産接單打單,比如兩家競争同一市場的遊戲公司,其中一家公司就有可能找黑産對于對方的業務進行打擊。還有敲詐勒索,阿裡雲也遇到很多客戶說自己曾收到了黑客在微信或者qq上面的勒索流言,要求給對方錢财否則将對遊戲業務進行攻擊。還有業務扶持,黑産也會與一些行業中的公司進行合作,扶持某家公司成為行業的龍頭老大,其他的競争對手就會全部被打死。最後就是機房合作,黑客會要求一些遊戲廠商必須搬到某個機房中,如果不然就進行攻擊。是以就是出于以上的種種原因,地下黑産才形成了今天這樣對于遊戲客戶的攻擊形式。
而且黑客的具體攻擊手法也非常多樣,可以拿“打尖峰”舉例說明,比如大家都知道阿裡雲上5個g黑洞,此時黑客就不會持續地使用很高的流量進行攻擊,因為他們知道黑洞的原理是以就會使用5.01g的流量進行攻擊,這樣遊戲公司的ip就進入黑洞了,黑客就會主動摸索遊戲公司的的業務防禦上限在哪裡,然後通過打尖峰的手法對遊戲進行攻擊直到服務挂掉。另外一種打法就是壓制一個時間段,比方某一種遊戲會在每天早上9點到9點半之間有大量的玩家湧入進來玩,如果在這半個小時内将遊戲的登陸服務壓制掉就能夠導緻遊戲無法提供服務,這樣就會導緻玩家轉到其他遊戲。而最可怕的一種攻擊手法就是最近出現的持續壓制,也就是遊戲從早到晚都會處于300g的流量攻擊之下。以上主要是按照攻擊的時間段進行劃分的,而如果按照更細粒度攻擊手法進行劃就可以分為以下兩種攻擊:
大流量壓制,也就是通過海量的流量湧過去将整個機房都堵上。
精細化壓制,使用cc攻擊實作的精細化流量壓制,目前往往以同時使用或者先後使用的方式配合大流量壓制實作。
<b>趨勢一:大流量已經常态化</b>
目前,對于ddos攻擊而言出現了兩個極為明顯的趨勢。
第一個趨勢就是大流量攻擊已經呈現常态化。黑客已經可以在極短的時間内聚集大量的攻擊流量,這種大流量壓制型攻擊在之前可能隻是個傳說,而從今年的情況看來,大流量攻擊已經成為了現實。随着帶寬成本逐年降低,殭屍電腦資源的逐年豐富,大流量壓制型攻擊已經不再是業界的“都市傳說”,高入口帶寬也已經不再是攻防的保險箱,已經無法實作與攻擊流量進行“軍備競賽”,是以現在也是時候需要考慮對于應對大流量攻擊采取一些變革了。
<b>趨勢二:cc攻擊向精細化轉變</b>
第二個趨勢就是cc攻擊向精細化轉變,攻擊的載體從idc殭屍電腦到idc和家庭殭屍電腦,再到idc、pc移動端裝置最後到idc、pc、iot和移動端裝置不斷轉變,攻擊手法也從半開連結攻擊到tcp資源攻擊再到伺服器資源供給最後到模拟私有協定發起攻擊不斷變化,攻擊的手法越來越細化,防禦難度也越來越高。其實很難做到安全防禦既能夠防禦大流量的攻擊也能夠防禦精細化的攻擊,這也是進行安全防禦時可能出現今天能夠防護住但是明天卻又防不住情況的原因,因為黑産也在不斷試探并打擊遊戲的弱點。
<b>欺詐與作弊</b>
另外兩種威脅就是欺詐與作弊,比如垃圾注冊、撞庫以及流量作弊等。
垃圾注冊,玩家大量注冊小号,擷取新号獎勵和刷金币。
流量作弊,管道商利用模拟器等手段批量挂機,進行流量作弊,擷取非正常利益。
遊戲盜号,攻擊者利用自動化工具,通過掃庫撞庫等方式進行盜号。
<b>破解與外挂</b>
還有兩種威脅就是破解與外挂,包括了用戶端破解和僞造資料包。
遊戲破解,破解用戶端遊戲程式,免費獲得遊戲内購,改變遊戲設定。
内挂,通過破解遊戲和資料包結構,逆向出或直接調用發
包函數,改變正常遊戲資料,實作超出正常玩家的水準和能力。
脫機挂,完全脫離遊戲用戶端程式,可以與遊戲伺服器自由通訊的外挂程式,對遊戲的危害最大,嚴重破壞遊戲平衡,縮短遊戲營運周期。無論是手遊還是端遊在被破解之後都可以做外挂,還能夠通過破解協定封包模拟資料并發送到伺服器上去,消耗遊戲的資源使得正常玩家也無法進行遊戲。
<b>雲盾遊戲安全解決方案</b>
阿裡雲的雲盾所提供的其實是全方位遊戲安全解決方案。針對于ddos攻擊,雲盾提供了ddos高防ip和遊戲盾。ddos高防ip的防護峰值帶寬20~300gbps,并且防護門檻值可以彈性調整;而遊戲盾是雲盾中創新性的防禦ddos攻擊的手段,當攻擊流量超過300g時就可以使用遊戲盾進行防禦,目前遊戲盾能夠防禦的ddos攻擊已經達到了600g左右。除此之外,雲盾還提供了針對移動安全和資料風控的解決方案。
<b>遊戲安全之一- ddos高防ip服務</b>
ddos高防是一項針對海量ddos攻擊的清洗服務,防護能力高達300gbps。ddos高防ip服務其實是多線的,有電信線路、聯通線路還有bgp線路,其通過cname解析或者将vip貼到高防中心上去的方式将流量引過去再将流量還原給使用者,但是ddos高防服務的上線卻隻能達到300g,300g以上就會受限于機房帶寬的能力了。
<b>遊戲安全之二- 遊戲盾服務</b>
遊戲盾服務采取的對抗手段再也不是進行安全攻防的“軍備競賽”這樣依靠帶寬去對抗帶寬的手法了,而是采用流量拆分和智能排程方式去防護ddos攻擊。其原理其實非常簡單,就是黑客在同一時間隻能夠找到幾十台伺服器中的一個ip位址,最多将這個ip位址的伺服器打挂掉,但是無法将整個服務打挂掉,是以遊戲将能夠保全大部分的客戶而隻有很少的客戶會受到損失,通過這樣的方式去防護遊戲。針對于cc攻擊,遊戲盾實作了多層的精細化的cc防護,目前看來其效果也非常好,對于今天大家看到的針對大型遊戲公司的cc攻擊而言,20萬qps已經非常常見了。而且遊戲盾不僅僅是一個産品而是一整套的服務體系,其也在不斷地對于攻防能力進行提升。
<b>遊戲安全之三-移動端安全</b>
對于移動端安全而言,主要進行的是應用加強,通過安全元件将移動端應用的協定加密,并進行安全存儲和加密防止黑客破解。
<b>遊戲安全之三-業務風控</b>
對于業務風控而言,如果應用是一個web用戶端,黑客就可能進行垃圾注冊等進行攻擊,這樣采用業務風控的手段就可以防止黑客刷應用的接口。
<b>實際案例分析</b>
接下來為大家介紹一些使用阿裡雲雲盾所提供的安全解決方案的實際案例。
<b>案例一</b>
在2014年,阿裡雲第一次将自己的ddos服務進行商業化,也是在這一年,阿裡雲的一個遊戲客戶遭遇了全球曆史上最大規模的ddos攻擊,攻擊流量達到了453.8g,并且持續攻擊了大約28個小時。而阿裡雲當時也幫助客戶成功地防禦住了這長達28個小時的ddos攻擊,當時采用了bgp帶寬幫助客戶進行防禦,但是其實bgp帶寬的防禦成本是所有防禦帶寬中最高的。
<b>案例二</b>
第二個案例則是大家比較熟悉的,就是閑來互娛的實際案例。閑來互娛是2016年4月份成立的遊戲公司,其主要遊戲業務是地方棋牌遊戲,它剛開始時發展非常迅速,但是卻在5月和6月份時被ddos攻擊打擊得非常慘烈,使得其業務基本上無法開展并且接近倒閉邊緣。這時阿裡雲向閑來互娛提供了安全防護解決方案,并且阿裡雲和閑來互娛合作将安全解決方案應用到了其整個遊戲攻防體系中去。而在4月份到11月份被昆侖萬維以20億的價格收購之間的4、5個月的時間内其經曆了2次大型的攻擊對抗。第一次對抗發生在安全解決方案部署完成之後,黑客很快發現僅靠大流量攻擊完全打不下來,于是黑客開始破解遊戲用戶端,将遊戲用戶端破解之後就發現了遊戲用戶端中對于流量排程的原理,這樣就能夠把所有的ip防護節點全部找出來,之後對于找出的節點進行逐個打死。是以阿裡雲幫助閑來互娛在第一輪對抗中做的就是将應用進行加密,并将邏輯進行混淆,這樣就使得黑客難以在同一時間發現更多的節點的ip位址,而最多一次隻能擷取一個節點的ip。在第二輪攻防中,黑客發現使用大流量攻擊無法打下來,但是使用cc攻擊卻非常有效,于是他們使用cc攻擊的手法去攻擊登入服務,而大家都知道登陸服務相當于應用的入口,當登陸服務受到攻擊時就發現防禦能力急劇下降,即便其他的遊戲節點都正常也是無濟于事,不能起到任何作用了,是以阿裡雲此時推出了ngcc防護能力,使用ngcc防護之後即便是50萬qps也能夠輕松防禦,基本上就保護住了閑來互娛的第二輪攻擊,一直到其被收購之前都保證遊戲運作非常平穩。
<b>案例三</b>
還有一個案例是2016年2月的另外一個遊戲公司在一個月的時間内連續被攻擊了多次,并且攻擊流量超過了400g,而這個流量在2016年初時是非常高的,這個公司同樣也快被打挂了,此時阿裡雲幫助其啟用了高防+遊戲盾的安全解決方案,同時幫助該公司實作了态勢感覺和溯源,也幫其找到了在背後進行攻擊的黑客并通過遊戲公司報警,阿裡雲提供證據最後将犯罪嫌疑人捉拿歸案,這也是反擊能力的展現。大家知道很多遊戲公司被攻擊之後往往是打不還手的,其實并不是因為遊戲公司脾氣好,而是往往通常情況下遊戲公司并不知道到底誰在發起攻擊,是以如果客戶擁有了溯源的能力就可以找到在背後對自己發起攻擊的那個人并将其繩之以法,同時也将會為自己的業務赢得一定時間的安全發展時機。