作者：騰訊游戲云資深架構(gòu)師 vince

本篇文章主要是分享游戲業(yè)務(wù)面臨的安全風(fēng)險場景，以及基于這些場景的特點，我們應(yīng)該如何做好對應(yīng)的防護。

背景：游戲行業(yè)DDoS攻擊愈演愈烈

《2017年度游戲行業(yè)DDoS態(tài)勢報告》顯示，中國成為全球DDoS攻擊最大受害區(qū)，占比84.79%。

第二個特點是，大流量攻擊越來越多，其中百G以上攻擊占比逐年加大：

第三個特點是游戲行業(yè)被攻擊情況嚴(yán)重，已是最大受害行業(yè)。而其中棋牌類被攻擊尤其嚴(yán)重，百G以上攻擊棋牌類占比57%：

另外，國內(nèi)已經(jīng)開始出現(xiàn)超大流量攻擊。在今年4月8日，騰訊云防護了1.23T的超大攻擊流量，DDoS攻擊越來越兇猛。面對越來越嚴(yán)峻的安全攻擊現(xiàn)狀，如何構(gòu)筑我們的業(yè)務(wù)防線，這是所有游戲研發(fā)和發(fā)行商都要面對的問題。

常見游戲風(fēng)險場景

鑒于游戲業(yè)務(wù)面臨日益嚴(yán)峻的安全攻擊風(fēng)險，我們有必要對其進行進一步的剖析，為后續(xù)建立相應(yīng)的安全防護打好基礎(chǔ)。游戲安全場景由兩部分要素組成。一部分是業(yè)務(wù)屬性，另一部分是技術(shù)和部署架構(gòu)；業(yè)務(wù)屬性包括了游戲類型、攻擊趨勢、延遲要求等，決定了被DDoS的概率、攻擊流量的大小，需要使用什么類型的防護資源，如BGP還是三大運營商的單線線路；技術(shù)和部署架構(gòu)，包括使用的通信協(xié)議、部署架構(gòu)等，決定了需要使用什么防護產(chǎn)品來對抗。

業(yè)務(wù)屬性

業(yè)務(wù)屬性可以從以下圖中的幾個方面來展開：

1、 游戲類型

近幾年隨著手游的持續(xù)走熱，越來越多的手游類型出現(xiàn)，常見的手游類型如MOBA，MMO，以及16年開始興起的棋牌等。MOBA和MMO等游戲由于地域?qū)傩粤６容^粗，基本是以國家維度來做發(fā)行，競爭激烈但基本是良性競爭居多；而棋牌主要集中在國內(nèi)發(fā)行，由于地方特色玩法各異，所以地域?qū)傩詷O強，競爭對手較為明確，容易產(chǎn)生不當(dāng)競爭行為，典型的就是利用DDS攻擊打擊競爭對手。

2、 生命周期

不同的業(yè)務(wù)在生命周期的不同階段，所可能受到的攻擊情況也不同。以棋牌，特別是地方棋牌為例，在新游上線初期，可能就會被“圍毆”打癱。因為這個時候攻擊影響和成本堪稱“性價比”最高，新游首發(fā)階段，如果連續(xù)被攻擊幾天，不僅游戲口碑變差，運營投入的廣告轉(zhuǎn)換率和留存率也會很低，給發(fā)行商帶來很大經(jīng)濟損失。

3、 延遲要求

在防護業(yè)務(wù)時，兩個方面需要考慮，一個是防住攻擊，第二是盡量不影響玩家體驗。能否防住攻擊，與高防產(chǎn)品技術(shù)、架構(gòu)和資源有關(guān)，后續(xù)再深入介紹。為了不影響玩家體驗，建議網(wǎng)絡(luò)延遲不要增加至超過上述延遲的上限。又因網(wǎng)絡(luò)延遲主要和網(wǎng)絡(luò)線路質(zhì)量有關(guān)，故建議MOBA，MMO使用BGP線路的防護資源；棋牌類可以使用BGP（常態(tài)下業(yè)務(wù)訪問+基礎(chǔ)防護）+三網(wǎng)（大流量下防護）的組合防護資源。

4、 攻擊類型

從近年來的攻擊情況看，主要以反射性UDP攻擊為主，且流量巨大。18年初出現(xiàn)利用Memcached可以放大5萬倍的流量，非常驚人，急需有效的UDP防護策略來防護。從攻擊時長和頻次來看，一定程度上可以預(yù)判攻擊意圖和后續(xù)攻擊的情況，便于做防護準(zhǔn)備。例如對于攻擊時間長，頻次高的情況，甚至十分鐘左右就是一輪高峰值攻擊，這種情況下，對方勢必要打癱目標(biāo)，所以開發(fā)商需要和云廠商一起合作才能做好針對性防護。

5、 攻擊大小

從以上2017年的攻擊統(tǒng)計情況來看，攻擊主要集中在2-4月份，全年有3/4的時間攻擊量和頻次都不高。 從攻擊大小上看，87.1%的攻擊是在50G以下，約51.2%的攻擊是在10G以下。所以是否常態(tài)下置備 50G 或 20G的防護資源，在攻擊超過這個基數(shù)時也可以提供防護？總結(jié)說，是否可以以“保底+彈性”的防護模式，做到防護效果和成本的均衡？

技術(shù)和部署架構(gòu)

1、 通用游戲架構(gòu)

從游戲通用架構(gòu)上來看，玩家通過CDN下載更新資源包，通過域名登錄游戲，然后連接分配的游戲服開始游戲。其他游戲周邊服務(wù)都在內(nèi)網(wǎng)。惡意攻擊者通過偽裝成正常玩家，拿到所有直接公網(wǎng)暴露給游戲玩家的域名、公網(wǎng)IP等，從而通過其控制的互聯(lián)網(wǎng)的巨量肉雞對游戲進行攻擊；在這個游戲架構(gòu)場景中，可能被攻擊的對象是CDN，DNS，登錄服入口，游戲服入口等暴露在公網(wǎng)的服務(wù)。其中CDN和DNS一般都是平臺型的服務(wù)，攻擊不多。重點攻擊對象是登錄服，游戲服務(wù)等。

2、 不同延遲需求

在防護時，登錄、支付等服務(wù)相比游戲服，延遲容忍度更高一下；所以防護措施與游戲服不同，可以考慮電信聯(lián)通等單線的大帶寬高防資源；游戲服的延遲要求與類型密切相關(guān)，可以參見上述提及的延遲要求。

3、 可否更換 IP

從業(yè)務(wù)技術(shù)架構(gòu)上看，能否更換IP，決定了防護的靈活性；若可以更換IP，則可以靈活的調(diào)度多個IP實現(xiàn)“游擊戰(zhàn)”式的靈活防護；如果不能更換IP，只能用帶寬先把攻擊流量承接下來，然后再做清洗；這種情況在攻擊量超過帶寬上限時，服務(wù)端公網(wǎng)入口已經(jīng)被擁塞至幾近癱瘓，業(yè)務(wù)請求幾乎都不能被正常處理。

4、 是否可多地域部署

此外，如果業(yè)務(wù)可以多地域部署，則可以更好的利用多地的高防資源防護，并且玩家游戲體驗更好。

防護思路總結(jié)

架構(gòu)設(shè)計階段

把安全防護考慮在內(nèi)，盡量采用公網(wǎng)IP可更換或服務(wù)端提供域名訪問、可多地域部署的架構(gòu)

業(yè)務(wù)部署階段

規(guī)劃好暴露在公網(wǎng)的服務(wù)（即需要防護的目標(biāo)）的數(shù)量，使其處在一個合理區(qū)間，以便在單點攻擊發(fā)生時，不會影響全部玩家；同時也要綜合考慮防護成本和效果；

根據(jù)游戲類型，以及自身的競爭環(huán)境是否健康，規(guī)劃游戲是否需要獨立的防護資源，游戲內(nèi)不同玩家分組，不同業(yè)務(wù)模塊是否需要獨立防護；否則多業(yè)務(wù)可以共享防護資源；

根據(jù)延遲要求，選擇防護資源的地域和線路；一個游戲內(nèi)的不同服務(wù)，延遲要求可能也不相同，例如大廳服通常相對游戲服的延遲要求就低一些；

根據(jù)業(yè)內(nèi)攻擊數(shù)據(jù)統(tǒng)計，以及自身的競爭現(xiàn)狀，規(guī)劃是否需要保底+彈性的靈活防護模式，以平衡防護效果和成本；

業(yè)務(wù)被攻擊時

根據(jù)攻擊情況，調(diào)整保底和彈性模式；結(jié)合攻擊頻率，調(diào)整防護策略。如果是大流量攻擊，但是還在防護帶寬內(nèi)，可以考慮繼續(xù)使用大帶寬防護或者適當(dāng)升級帶寬以保障防護效果；如果是大流量帶寬攻擊頻繁，超過可以購買的帶寬或者防護成本過高，可以考慮多高防 IP調(diào)度的方式；

如遇到頻繁且復(fù)雜的攻擊場景，有必要建立多層防護。例如使用多 IP 靈活調(diào)度作為第一層，第二層可以使用大帶寬的三網(wǎng)防護兜底，針對 CC 可以做到有效防護，在一些復(fù)雜場景，一定程度上可以做自定義防護；

騰訊云專家助力

在以上各階段，可以聯(lián)系騰訊云團隊，可以一起更有效的做好多輪次攻防。

騰訊云游戲高防產(chǎn)品-宙斯盾

結(jié)合上述的防護思路，在面對越來越嚴(yán)峻的安全威脅時，可以使用騰訊云提供的高防服務(wù)宙斯盾來保障業(yè)務(wù)安全。騰訊云宙斯盾安全防護提供了全方位多層次的 DDoS 防護方案，可以完全契合上述防護思路。您可以根據(jù)業(yè)務(wù)部署特點選擇 DDoS 高防 IP、DDoS 高防包，并根據(jù)防護需求配置高級安全策略、CC 防護策略、水印防護策略等以靈活應(yīng)對多種 DDoS 和 CC攻擊威脅。

防護域名

防護域名提供智能解析和自動切換的能力。 在同時具備包括BGP的多線路防護資源時，優(yōu)先解析到BGP；若發(fā)生攻擊導(dǎo)致BGP線路被封禁，系統(tǒng)會自動切換到三網(wǎng)防護資源，此時會根據(jù)訪問者的來源IP自動解析到對應(yīng)的運營商線路，從而盡可能的保證最優(yōu)的延遲；

高防IP

借助BGP高防IP的力量來防護，客戶端連接到高防IP，高防IP再轉(zhuǎn)發(fā)給游戲服務(wù)器；可以轉(zhuǎn)發(fā)云外或者云上的服務(wù)器。

高防包

對于部署在騰訊云上的業(yè)務(wù)，高防包就像一層護甲，直接在現(xiàn)有業(yè)務(wù)IP上生效，做到快速接入高防，業(yè)務(wù)無需做變更；高防包分兩種：

• 單IP高防包，為騰訊云上一個服務(wù)器或者負載均衡提供防護；
• 多IP高防包，也叫共享高防包，可以防護多個騰訊云服務(wù)器或者負載均衡；

高級安全策略

如果DDoS攻擊流量的報文中有一定特征，可以通過設(shè)置針對性的安全策略，進行有針對性的過濾

CC防護策略

CC防護一直是個難點，通過在CC檢測清洗層面，設(shè)置自定義的檢測和處理策略，可以有效阻擊一定的CC攻擊。如果一些特殊的CC流量已經(jīng)到達服務(wù)器，也可以通過開啟緊急防護模式，收緊防護策略，從而達到防護效果。

空連接防護

在CC防護中，空連接是一種常用的手段。宙斯盾會先與請求端建立連接，待有非空連接到來時，才使請求端與服務(wù)端真正建立連接，避免空連接攻擊對服務(wù)產(chǎn)生影響。

水印防護

如果CC攻擊頻繁且攻擊量大，急需徹底防護CC，可以使用水印防護的方案。騰訊云宙斯盾通過在業(yè)務(wù)報文中增加動態(tài)標(biāo)簽，即水印的方式，來識別是否是游戲的正常流量，且潛在攻擊者無法通過抓取報文進行回放等方式進行攻擊，100%有效過濾攻擊流量。

常見游戲類型防護方案

MOBA/MMO

對于 MOBA和MMO 類型的現(xiàn)有項目可以使用BGP高防包覆蓋所有公網(wǎng)服務(wù)；

新游戲可以使用BGP高防IP或者BGP 高防包覆蓋所有公網(wǎng)服務(wù)，在發(fā)生攻擊被黑洞時，可以通過提升防護套餐快速解除黑洞狀態(tài)，恢復(fù)業(yè)務(wù)訪問；

棋牌

對于棋牌業(yè)務(wù)來說，攻擊情況比較復(fù)雜。攻擊流量大、類型多樣、變化快，攻擊人員更專業(yè)，攻擊周期可能會很長，少數(shù)情況甚至長達數(shù)月或超過一年。所以需要有一套應(yīng)對復(fù)雜狀況的方案。根據(jù)經(jīng)驗，我們建立了一個多層次防護體系，可以節(jié)節(jié)對抗，有針對性的變化防護策略，達到有效防護的目的。

防護方案整體上可以采用防護域名+ BGP 高防IP + 三網(wǎng)高防 IP + 高防IP 靈活調(diào)度的策略。第一層防護，使用BGP高防IP防護中小流量，并且作為業(yè)務(wù)對外正常服務(wù)的入口；第二層防護，使用三網(wǎng)高防或BGP高防IP靈活調(diào)度來防護、三網(wǎng)高防作為保底措施；第三層，若攻擊報文有長度、內(nèi)容特征，可以使用自定義防護策略，過濾這些報文；第四層，若有明顯CC攻擊，默認的空連接防護以及緊急防護模式（更嚴(yán)格的過濾策略），可以幫助業(yè)務(wù)正常提供服務(wù)，也可以在研發(fā)或上線后逐步接入水印防護，100%有效防護CC攻擊。