面對駭客不斷進化的攻擊能力,你的遊戲真的安全麼?
更多深度文章,請關注雲計算頻道:https://yq.aliyun.com/cloud
摘要:在3月8日的“2017遊戲行業全球同服和安全攻防技術沙龍”上,阿裡雲安全方案高級專家蘊藉為大家介紹了國內外遊戲行業的安全形勢以及阿裡云云盾所提供的全方位優先權解決方案,
以下內容根據演講嘉賓現場視頻以及PPT整理而成。
遊戲行業綜述——機遇與風險並存
對於遊戲而言,遭受到攻擊是一件很常見的事情,
DDoS攻擊趨勢及原因分析
對於DDoS攻擊而言,其平均防禦成本隨著DDoS攻擊流量的增長呈現出加速向上的曲線。根據計算資料分析得出:如果DDoS攻擊流量達到250G,每個月的防禦成本大約會需要5萬美元左右;如果達到300G就會需要每月6萬美元;達到350G時防禦成本則需要每月8萬美元;如果達到500G攻擊流量,
除此之外,根據駭客攻擊的時間維度數據也能分析出一定的規律性:基本上在每天的淩晨3點到9點之間,
另外,目前國內主要有兩大黑產組織,這兩個組織也是遍佈整個東南亞地區的,他們的最頂層組織處在中國境外,而且他們所掌握的攻擊流量已經超過了1個T。大家可以想像一下,這樣的攻擊流量其實對於任何一家遊戲公司或者應用而言都將會是致命的,黑產組織中最大的擁有800G的攻擊流量,小一些則擁有的大約600G的攻擊流量,所以他們基本上有能力將任何一個遊戲公司攻擊到掛掉。而目前在阿裡的威脅情報系統中已經將這兩大的危險組織的肉雞分佈進行了區分。
對於實際的攻擊手法而言,由於攻擊源是在逐年增加的,以前只有針對PC的攻擊,後來出現了針對伺服器端的攻擊,曾經有資料統計大約50%以上IDC的伺服器都被駭客成功入侵並成為了肉雞,而現在還有針對於手機的攻擊,很多人的手機其實都處於黑產組織的控制之中,而且現在很多的IoT設備紛紛加入了DDoS攻擊的浪潮之中,也將DDoS攻擊的流量逐年推高。在2014年的時候DDoS攻擊還是以50GBPS為主,攻擊手法以IDC偽造源IP攻擊為主。而在2015年時,攻擊100Gbps+的攻擊已經常態化了,攻擊手法也在升級,從偽造IP轉向反射型Flood攻擊。2016年時,200Gbps+的攻擊常態化,IoT和移動終端的興起導致基於真實設備的攻擊層出不窮。而在2017年的最近兩三個月,大家所看到的趨勢是300Gbps+的攻擊常態化,並且基於私有協議和真實源的攻擊事件呈指數級上升趨,導致攻擊更加難以防範。
而且駭客的具體攻擊手法也非常多樣,可以拿“打尖峰”舉例說明,比如大家都知道阿裡雲上5個G黑洞,此時駭客就不會持續地使用很高的流量進行攻擊,因為他們知道黑洞的原理所以就會使用5.01G的流量進行攻擊,這樣遊戲公司的IP就進入黑洞了,駭客就會主動摸索遊戲公司的的業務防禦上限在哪裡,然後通過打尖峰的手法對遊戲進行攻擊直到服務掛掉。另外一種打法就是壓制一個時間段,比方某一種遊戲會在每天早上9點到9點半之間有大量的玩家湧入進來玩,如果在這半個小時內將遊戲的登陸服務壓制掉就能夠導致遊戲無法提供服務,這樣就會導致玩家轉到其他遊戲。而最可怕的一種攻擊手法就是最近出現的持續壓制,也就是遊戲從早到晚都會處於300G的流量攻擊之下。以上主要是按照攻擊的時間段進行劃分的,而如果按照更細細微性攻擊手法進行劃就可以分為以下兩種攻擊:
大流量壓制,也就是通過海量的流量湧過去將整個機房都堵上。
精細化壓制,使用CC攻擊實現的精細化流量壓制,目前往往以同時使用或者先後使用的方式配合大流量壓制實現。
趨勢一:大流量已經常態化
目前,對於DDoS攻擊而言出現了兩個極為明顯的趨勢。
第一個趨勢就是大流量攻擊已經呈現常態化。駭客已經可以在極短的時間內聚集大量的攻擊流量,這種大流量壓制型攻擊在之前可能只是個傳說,而從今年的情況看來,大流量攻擊已經成為了現實。隨著頻寬成本逐年降低,肉雞資源的逐年豐富,大流量壓制型攻擊已經不再是業界的“都市傳說”,高入口頻寬也已經不再是攻防的保險箱,已經無法實現與攻擊流量進行“軍備競賽”,因此現在也是時候需要考慮對於應對大流量攻擊採取一些變革了。
趨勢二:CC攻擊向精細化轉變
第二個趨勢就是CC攻擊向精細化轉變,攻擊的載體從IDC肉雞到IDC和家庭肉雞,再到IDC、PC移動端設備最後到IDC、PC、IoT和移動端設備不斷轉變,攻擊手法也從半開連結攻擊到TCP資源攻擊再到伺服器資源供給最後到類比私有協議發起攻擊不斷變化,攻擊的手法越來越細化,防禦難度也越來越高。其實很難做到安全防禦既能夠防禦大流量的攻擊也能夠防禦精細化的攻擊,這也是進行安全防禦時可能出現今天能夠防護住但是明天卻又防不住情況的原因,因為黑產也在不斷試探並打擊遊戲的弱點。
欺詐與作弊
另外兩種威脅就是欺詐與作弊,比如垃圾註冊、撞庫以及流量作弊等。
垃圾註冊,玩家大量註冊小號,獲取新號獎勵和刷金幣。
流量作弊,管道商利用模擬器等手段批量掛機,進行流量作弊,獲取非正常利益。
遊戲盜號,攻擊者利用自動化工具,通過掃庫撞庫等方式進行盜號。
破解與外掛
還有兩種威脅就是破解與外掛,包括了用戶端破解和偽造資料包。
遊戲破解,破解用戶端遊戲程式,免費獲得遊戲內購,改變遊戲設定。
內掛,通過破解遊戲和資料包結構,逆向出或直接調用發
包函數,改變正常遊戲資料,實現超出正常玩家的水準和能力。
離線掛,完全脫離遊戲用戶端程式,可以與遊戲伺服器自由通訊的外掛程式,對遊戲的危害最大,嚴重破壞遊戲平衡,縮短遊戲運營週期。無論是手游還是端遊在被破解之後都可以做外掛,還能夠通過破解協定報文類比資料並發送到伺服器上去,消耗遊戲的資源使得正常玩家也無法進行遊戲。
雲盾遊戲安全解決方案
阿裡雲的雲盾所提供的其實是全方位遊戲安全解決方案。針對於DDoS攻擊,雲盾提供了DDoS高防IP和遊戲盾。DDoS高防IP的防護峰值頻寬20~300Gbps,並且防護閾值可以彈性調整;而遊戲盾是雲盾中創新性的防禦DDoS攻擊的手段,當攻擊流量超過300G時就可以使用遊戲盾進行防禦,目前遊戲盾能夠防禦的DDoS攻擊已經達到了600G左右。除此之外,雲盾還提供了針對移動安全和資料風控的解決方案。
遊戲安全之一- DDoS高防IP服務
DDoS高防是一項針對海量DDoS攻擊的清洗服務,防護能力高達300Gbps。DDoS高防IP服務其實是多線的,有電信線路、聯通線路還有BGP線路,其通過CName解析或者將VIP貼到高防中心上去的方式將流量引過去再將流量還原給用戶,但是DDoS高防服務的上線卻只能達到300G,300G以上就會受限於機房頻寬的能力了。
遊戲安全之二- 遊戲盾服務
遊戲盾服務採取的對抗手段再也不是進行安全攻防的“軍備競賽”這樣依靠頻寬去對抗頻寬的手法了,而是採用流量拆分和智慧調度方式去防護DDoS攻擊。其原理其實非常簡單,就是駭客在同一時間只能夠找到幾十台伺服器中的一個IP位址,最多將這個IP位址的伺服器打掛掉,但是無法將整個服務打掛掉,所以遊戲將能夠保全大部分的客戶而只有很少的客戶會受到損失,通過這樣的方式去防護遊戲。針對於CC攻擊,遊戲盾實現了多層的精細化的CC防護,目前看來其效果也非常好,對於今天大家看到的針對大型遊戲公司的CC攻擊而言,20萬QPS已經非常常見了。而且遊戲盾不僅僅是一個產品而是一整套的服務體系,其也在不斷地對於攻防能力進行提升。
遊戲安全之三-移動端安全
對於移動端安全而言,主要進行的是應用加固,通過安全性群組件將移動端應用的協議加密,並進行安全存儲和加密防止駭客破解。
遊戲安全之三-業務風控
對於業務風控而言,如果應用是一個Web用戶端,駭客就可能進行垃圾註冊等進行攻擊,這樣採用業務風控的手段就可以防止駭客刷應用的介面。
實際案例分析
接下來為大家介紹一些使用阿裡云云盾所提供的安全解決方案的實際案例。
案例一
在2014年,阿裡雲第一次將自己的DDoS服務進行商業化,也是在這一年,阿裡雲的一個遊戲客戶遭遇了全球歷史上最大規模的DDoS攻擊,攻擊流量達到了453.8G,並且持續攻擊了大約28個小時。而阿裡雲當時也説明客戶成功地防禦住了這長達28個小時的DDoS攻擊,當時採用了BGP頻寬説明客戶進行防禦,但是其實BGP頻寬的防禦成本是所有防禦頻寬中最高的。
案例二
第二個案例則是大家比較熟悉的,就是閑來互娛的實際案例。閑來互娛是2016年4月份成立的遊戲公司,其主要遊戲業務是地方棋牌遊戲,它剛開始時發展非常迅速,但是卻在5月和6月份時被DDoS攻擊打擊得非常慘烈,使得其業務基本上無法開展並且接近倒閉邊緣。這時阿裡雲向閑來互娛提供了安全防護解決方案,並且阿裡雲和閑來互娛合作將安全解決方案應用到了其整個遊戲攻防體系中去。而在4月份到11月份被昆侖萬維以20億的價格收購之間的4、5個月的時間內其經歷了2次大型的攻擊對抗。第一次對抗發生在安全解決方案部署完成之後,駭客很快發現僅靠大流量攻擊完全打不下來,於是駭客開始破解遊戲用戶端,將遊戲用戶端破解之後就發現了遊戲用戶端中對於流量調度的原理,這樣就能夠把所有的IP防護節點全部找出來,之後對於找出的節點進行逐個打死。所以阿裡雲幫助閑來互娛在第一輪對抗中做的就是將應用進行加密,並將邏輯進行混淆,這樣就使得駭客難以在同一時間發現更多的節點的IP位址,而最多一次只能獲取一個節點的IP。在第二輪攻防中,駭客發現使用大流量攻擊無法打下來,但是使用CC攻擊卻非常有效,於是他們使用CC攻擊的手法去攻擊登錄服務,而大家都知道登陸服務相當於應用的入口,當登陸服務受到攻擊時就發現防禦能力急劇下降,即便其他的遊戲節點都正常也是無濟於事,不能起到任何作用了,所以阿裡雲此時推出了NGCC防護能力,使用NGCC防護之後即便是50萬QPS也能夠輕鬆防禦,基本上就保護住了閑來互娛的第二輪攻擊,一直到其被收購之前都保證遊戲運行非常平穩。
案例三
還有一個案例是2016年2月的另外一個遊戲公司在一個月的時間內連續被攻擊了多次,並且攻擊流量超過了400G,而這個流量在2016年初時是非常高的,這個公司同樣也快被打掛了,此時阿裡雲幫助其啟用了高防+遊戲盾的安全解決方案,同時幫助該公司實現了態勢感知和溯源,也幫其找到了在背後進行攻擊的駭客並通過遊戲公司報警,阿裡雲提供證據最後將犯罪嫌疑人捉拿歸案,這也是反擊能力的體現。大家知道很多遊戲公司被攻擊之後往往是打不還手的,其實並不是因為遊戲公司脾氣好,而是往往通常情況下遊戲公司並不知道到底誰在發起攻擊,所以如果客戶擁有了溯源的能力就可以找到在背後對自己發起攻擊的那個人並將其繩之以法,同時也將會為自己的業務贏得一定時間的安全發展時機。
而目前在阿裡的威脅情報系統中已經將這兩大的危險組織的肉雞分佈進行了區分。對於實際的攻擊手法而言,由於攻擊源是在逐年增加的,以前只有針對PC的攻擊,後來出現了針對伺服器端的攻擊,曾經有資料統計大約50%以上IDC的伺服器都被駭客成功入侵並成為了肉雞,而現在還有針對於手機的攻擊,很多人的手機其實都處於黑產組織的控制之中,而且現在很多的IoT設備紛紛加入了DDoS攻擊的浪潮之中,也將DDoS攻擊的流量逐年推高。在2014年的時候DDoS攻擊還是以50GBPS為主,攻擊手法以IDC偽造源IP攻擊為主。而在2015年時,攻擊100Gbps+的攻擊已經常態化了,攻擊手法也在升級,從偽造IP轉向反射型Flood攻擊。2016年時,200Gbps+的攻擊常態化,IoT和移動終端的興起導致基於真實設備的攻擊層出不窮。而在2017年的最近兩三個月,大家所看到的趨勢是300Gbps+的攻擊常態化,並且基於私有協議和真實源的攻擊事件呈指數級上升趨,導致攻擊更加難以防範。
而且駭客的具體攻擊手法也非常多樣,可以拿“打尖峰”舉例說明,比如大家都知道阿裡雲上5個G黑洞,此時駭客就不會持續地使用很高的流量進行攻擊,因為他們知道黑洞的原理所以就會使用5.01G的流量進行攻擊,這樣遊戲公司的IP就進入黑洞了,駭客就會主動摸索遊戲公司的的業務防禦上限在哪裡,然後通過打尖峰的手法對遊戲進行攻擊直到服務掛掉。另外一種打法就是壓制一個時間段,比方某一種遊戲會在每天早上9點到9點半之間有大量的玩家湧入進來玩,如果在這半個小時內將遊戲的登陸服務壓制掉就能夠導致遊戲無法提供服務,這樣就會導致玩家轉到其他遊戲。而最可怕的一種攻擊手法就是最近出現的持續壓制,也就是遊戲從早到晚都會處於300G的流量攻擊之下。以上主要是按照攻擊的時間段進行劃分的,而如果按照更細細微性攻擊手法進行劃就可以分為以下兩種攻擊:
大流量壓制,也就是通過海量的流量湧過去將整個機房都堵上。
精細化壓制,使用CC攻擊實現的精細化流量壓制,目前往往以同時使用或者先後使用的方式配合大流量壓制實現。
趨勢一:大流量已經常態化
目前,對於DDoS攻擊而言出現了兩個極為明顯的趨勢。
第一個趨勢就是大流量攻擊已經呈現常態化。駭客已經可以在極短的時間內聚集大量的攻擊流量,這種大流量壓制型攻擊在之前可能只是個傳說,而從今年的情況看來,大流量攻擊已經成為了現實。隨著頻寬成本逐年降低,肉雞資源的逐年豐富,大流量壓制型攻擊已經不再是業界的“都市傳說”,高入口頻寬也已經不再是攻防的保險箱,已經無法實現與攻擊流量進行“軍備競賽”,因此現在也是時候需要考慮對於應對大流量攻擊採取一些變革了。
趨勢二:CC攻擊向精細化轉變
第二個趨勢就是CC攻擊向精細化轉變,攻擊的載體從IDC肉雞到IDC和家庭肉雞,再到IDC、PC移動端設備最後到IDC、PC、IoT和移動端設備不斷轉變,攻擊手法也從半開連結攻擊到TCP資源攻擊再到伺服器資源供給最後到類比私有協議發起攻擊不斷變化,攻擊的手法越來越細化,防禦難度也越來越高。其實很難做到安全防禦既能夠防禦大流量的攻擊也能夠防禦精細化的攻擊,這也是進行安全防禦時可能出現今天能夠防護住但是明天卻又防不住情況的原因,因為黑產也在不斷試探並打擊遊戲的弱點。
欺詐與作弊
另外兩種威脅就是欺詐與作弊,比如垃圾註冊、撞庫以及流量作弊等。
垃圾註冊,玩家大量註冊小號,獲取新號獎勵和刷金幣。
流量作弊,管道商利用模擬器等手段批量掛機,進行流量作弊,獲取非正常利益。
遊戲盜號,攻擊者利用自動化工具,通過掃庫撞庫等方式進行盜號。
破解與外掛
還有兩種威脅就是破解與外掛,包括了用戶端破解和偽造資料包。
遊戲破解,破解用戶端遊戲程式,免費獲得遊戲內購,改變遊戲設定。
內掛,通過破解遊戲和資料包結構,逆向出或直接調用發
包函數,改變正常遊戲資料,實現超出正常玩家的水準和能力。
離線掛,完全脫離遊戲用戶端程式,可以與遊戲伺服器自由通訊的外掛程式,對遊戲的危害最大,嚴重破壞遊戲平衡,縮短遊戲運營週期。無論是手游還是端遊在被破解之後都可以做外掛,還能夠通過破解協定報文類比資料並發送到伺服器上去,消耗遊戲的資源使得正常玩家也無法進行遊戲。
雲盾遊戲安全解決方案
阿裡雲的雲盾所提供的其實是全方位遊戲安全解決方案。針對於DDoS攻擊,雲盾提供了DDoS高防IP和遊戲盾。DDoS高防IP的防護峰值頻寬20~300Gbps,並且防護閾值可以彈性調整;而遊戲盾是雲盾中創新性的防禦DDoS攻擊的手段,當攻擊流量超過300G時就可以使用遊戲盾進行防禦,目前遊戲盾能夠防禦的DDoS攻擊已經達到了600G左右。除此之外,雲盾還提供了針對移動安全和資料風控的解決方案。
遊戲安全之一- DDoS高防IP服務
DDoS高防是一項針對海量DDoS攻擊的清洗服務,防護能力高達300Gbps。DDoS高防IP服務其實是多線的,有電信線路、聯通線路還有BGP線路,其通過CName解析或者將VIP貼到高防中心上去的方式將流量引過去再將流量還原給用戶,但是DDoS高防服務的上線卻只能達到300G,300G以上就會受限於機房頻寬的能力了。
遊戲安全之二- 遊戲盾服務
遊戲盾服務採取的對抗手段再也不是進行安全攻防的“軍備競賽”這樣依靠頻寬去對抗頻寬的手法了,而是採用流量拆分和智慧調度方式去防護DDoS攻擊。其原理其實非常簡單,就是駭客在同一時間只能夠找到幾十台伺服器中的一個IP位址,最多將這個IP位址的伺服器打掛掉,但是無法將整個服務打掛掉,所以遊戲將能夠保全大部分的客戶而只有很少的客戶會受到損失,通過這樣的方式去防護遊戲。針對於CC攻擊,遊戲盾實現了多層的精細化的CC防護,目前看來其效果也非常好,對於今天大家看到的針對大型遊戲公司的CC攻擊而言,20萬QPS已經非常常見了。而且遊戲盾不僅僅是一個產品而是一整套的服務體系,其也在不斷地對於攻防能力進行提升。
遊戲安全之三-移動端安全
對於移動端安全而言,主要進行的是應用加固,通過安全性群組件將移動端應用的協議加密,並進行安全存儲和加密防止駭客破解。
遊戲安全之三-業務風控
對於業務風控而言,如果應用是一個Web用戶端,駭客就可能進行垃圾註冊等進行攻擊,這樣採用業務風控的手段就可以防止駭客刷應用的介面。
實際案例分析
接下來為大家介紹一些使用阿裡云云盾所提供的安全解決方案的實際案例。
案例一
在2014年,阿裡雲第一次將自己的DDoS服務進行商業化,也是在這一年,阿裡雲的一個遊戲客戶遭遇了全球歷史上最大規模的DDoS攻擊,攻擊流量達到了453.8G,並且持續攻擊了大約28個小時。而阿裡雲當時也説明客戶成功地防禦住了這長達28個小時的DDoS攻擊,當時採用了BGP頻寬説明客戶進行防禦,但是其實BGP頻寬的防禦成本是所有防禦頻寬中最高的。
案例二
第二個案例則是大家比較熟悉的,就是閑來互娛的實際案例。閑來互娛是2016年4月份成立的遊戲公司,其主要遊戲業務是地方棋牌遊戲,它剛開始時發展非常迅速,但是卻在5月和6月份時被DDoS攻擊打擊得非常慘烈,使得其業務基本上無法開展並且接近倒閉邊緣。這時阿裡雲向閑來互娛提供了安全防護解決方案,並且阿裡雲和閑來互娛合作將安全解決方案應用到了其整個遊戲攻防體系中去。而在4月份到11月份被昆侖萬維以20億的價格收購之間的4、5個月的時間內其經歷了2次大型的攻擊對抗。第一次對抗發生在安全解決方案部署完成之後,駭客很快發現僅靠大流量攻擊完全打不下來,於是駭客開始破解遊戲用戶端,將遊戲用戶端破解之後就發現了遊戲用戶端中對於流量調度的原理,這樣就能夠把所有的IP防護節點全部找出來,之後對於找出的節點進行逐個打死。所以阿裡雲幫助閑來互娛在第一輪對抗中做的就是將應用進行加密,並將邏輯進行混淆,這樣就使得駭客難以在同一時間發現更多的節點的IP位址,而最多一次只能獲取一個節點的IP。在第二輪攻防中,駭客發現使用大流量攻擊無法打下來,但是使用CC攻擊卻非常有效,於是他們使用CC攻擊的手法去攻擊登錄服務,而大家都知道登陸服務相當於應用的入口,當登陸服務受到攻擊時就發現防禦能力急劇下降,即便其他的遊戲節點都正常也是無濟於事,不能起到任何作用了,所以阿裡雲此時推出了NGCC防護能力,使用NGCC防護之後即便是50萬QPS也能夠輕鬆防禦,基本上就保護住了閑來互娛的第二輪攻擊,一直到其被收購之前都保證遊戲運行非常平穩。
案例三
還有一個案例是2016年2月的另外一個遊戲公司在一個月的時間內連續被攻擊了多次,並且攻擊流量超過了400G,而這個流量在2016年初時是非常高的,這個公司同樣也快被打掛了,此時阿裡雲幫助其啟用了高防+遊戲盾的安全解決方案,同時幫助該公司實現了態勢感知和溯源,也幫其找到了在背後進行攻擊的駭客並通過遊戲公司報警,阿裡雲提供證據最後將犯罪嫌疑人捉拿歸案,這也是反擊能力的體現。大家知道很多遊戲公司被攻擊之後往往是打不還手的,其實並不是因為遊戲公司脾氣好,而是往往通常情況下遊戲公司並不知道到底誰在發起攻擊,所以如果客戶擁有了溯源的能力就可以找到在背後對自己發起攻擊的那個人並將其繩之以法,同時也將會為自己的業務贏得一定時間的安全發展時機。