摘要:在3月8日的“2017游戏行业全球同服和安全攻防技术沙龙”上,阿里云安全方案高级专家蕴藉为大家介绍了国内外游戏行业的安全形势以及阿里云云盾所提供的全方位优先权解决方案,并结合具体案例介绍了阿里云游戏安全解决方案的应用实战效果。
对于游戏而言,遭受到攻击是一件很常见的事情,据统计国内一半以上的DDoS攻击都是针对游戏行业的。目前游戏行业总体而言是机遇与风险并存的,2017年中国网游市场规模已经突破了2000亿,但是网络游戏却也是DDoS攻击的头号重灾区,其实不仅仅是中国,全球市场上针对于游戏的DDoS攻击永远是排在第一位的,而在中国这样的现象则更加严重,尤其在是从今年春节之前一直到3月份延续的这波攻击中,很多游戏厂商一直被DDoS攻击所压制。除此之外,移动端的快速增长也带来了移动安全问题,另外还出现了利用欺诈手段或游戏漏洞破坏游戏环境的现象。
DDoS攻击趋势及原因分析
对于DDoS攻击而言,其平均防御成本随着DDoS攻击流量的增长呈现出加速向上的曲线。根据计算数据分析得出:如果DDoS攻击流量达到250G,每个月的防御成本大约会需要5万美元左右;如果达到300G就会需要每月6万美元;达到350G时防御成本则需要每月8万美元;如果达到500G攻击流量,那么防御成本则需要14万美元,也就是每个月需要花费大约一百万人民币去进行DDoS攻击的防御。在2017年,300G以上的攻击已经呈现常态化了。而对于DDoS攻击每小时所造成的商业价值损失而言,据数据统计36%的应用被攻击一小时的损失在5000美元到2万美元之间,34%在2万美元到10万美元之间,还有15%被攻击时每小时损失会超过10万美元。
除此之外,根据黑客攻击的时间维度数据也能分析出一定的规律性:基本上在每天的凌晨3点到9点之间,黑客攻击将会处于睡眠期,这个时间段其实属于黑客换装弹药的时间,在这个时间段,他们会把第二天需要攻击对象的名单和需要使用脚本准备好,当早上9点的时候,黑客的脚本就会自动运行然后开展新一波的攻击,所以在早上9点到凌晨3点之间这段时间,黑客的攻击是比较频繁的。
另外,目前国内主要有两大黑产组织,这两个组织也是遍布整个东南亚地区的,他们的最顶层组织处在中国境外,而且他们所掌握的攻击流量已经超过了1个T。大家可以想象一下,这样的攻击流量其实对于任何一家游戏公司或者应用而言都将会是致命的,黑产组织中最大的拥有800G的攻击流量,小一些则拥有的大约600G的攻击流量,所以他们基本上有能力将任何一个游戏公司攻击到挂掉。而目前在阿里的威胁情报系统中已经将这两大的危险组织的肉鸡分布进行了区分。
今天,黑客发起攻击的成本其实会非常低,比如对于海外的UTB小包而言,一个G一天只要花费50元,即便是最贵的DNS反射攻击也只要1个G一天350元。但是黑客显然不是这样报价的,比如黑客盯上了某一个游戏,就会去以包天或者包月或者按照效果付费的方式进行购买攻击包,一定会将游戏服务打死,甚至会提供打不死不收钱的“包打死”服务。前一段时间大家应该都看到了阿里云的吴翰清在自己的公众号上发了一篇文章谈了他回到阿里的29个月。其实这篇文章中也谈到了,在2016年的时候阿里云打击了刚才提到的两个黑产组织中的一个,在打击之后在几个月的时间之内,整个中国的黑产组织其实就消失掉了,国内的DDoS攻击量也下降了56%,同时全球的DDoS攻击量也下降了8%,但是因为黑产组织的核心组织人员都在中国境外,半年之后这个组织就又死灰复燃了。
对于实际的攻击手法而言,由于攻击源是在逐年增加的,以前只有针对PC的攻击,后来出现了针对服务器端的攻击,曾经有数据统计大约50%以上IDC的服务器都被黑客成功入侵并成为了肉鸡,而现在还有针对于手机的攻击,很多人的手机其实都处于黑产组织的控制之中,而且现在很多的IoT设备纷纷加入了DDoS攻击的浪潮之中,也将DDoS攻击的流量逐年推高。在2014年的时候DDoS攻击还是以50GBPS为主,攻击手法以IDC伪造源IP攻击为主。而在2015年时,攻击100Gbps+的攻击已经常态化了,攻击手法也在升级,从伪造IP转向反射型Flood攻击。2016年时,200Gbps+的攻击常态化,IoT和移动终端的兴起导致基于真实设备的攻击层出不穷。而在2017年的最近两三个月,大家所看到的趋势是300Gbps+的攻击常态化,并且基于私有协议和真实源的攻击事件呈指数级上升趋,导致攻击更加难以防范。
那么黑客为什么会攻击游戏行业呢?首先可能是发泄自己的不满,有些同学对于游戏产生了不满情绪,那就可能为了发泄自己的不满将游戏打挂掉。还有黑产接单打单,比如两家竞争同一市场的游戏公司,其中一家公司就有可能找黑产对于对方的业务进行打击。还有敲诈勒索,阿里云也遇到很多客户说自己曾收到了黑客在微信或者QQ上面的勒索流言,要求给对方钱财否则将对游戏业务进行攻击。还有业务扶持,黑产也会与一些行业中的公司进行合作,扶持某家公司成为行业的龙头老大,其他的竞争对手就会全部被打死。最后就是机房合作,黑客会要求一些游戏厂商必须搬到某个机房中,如果不然就进行攻击。所以就是出于以上的种种原因,地下黑产才形成了今天这样对于游戏客户的攻击形式。
而且黑客的具体攻击手法也非常多样,可以拿“打尖峰”举例说明,比如大家都知道阿里云上5个G黑洞,此时黑客就不会持续地使用很高的流量进行攻击,因为他们知道黑洞的原理所以就会使用5.01G的流量进行攻击,这样游戏公司的IP就进入黑洞了,黑客就会主动摸索游戏公司的的业务防御上限在哪里,然后通过打尖峰的手法对游戏进行攻击直到服务挂掉。另外一种打法就是压制一个时间段,比方某一种游戏会在每天早上9点到9点半之间有大量的玩家涌入进来玩,如果在这半个小时内将游戏的登陆服务压制掉就能够导致游戏无法提供服务,这样就会导致玩家转到其他游戏。而最可怕的一种攻击手法就是最近出现的持续压制,也就是游戏从早到晚都会处于300G的流量攻击之下。以上主要是按照攻击的时间段进行划分的,而如果按照更细粒度攻击手法进行划就可以分为以下两种攻击:
目前,对于DDoS攻击而言出现了两个极为明显的趋势。
第一个趋势就是大流量攻击已经呈现常态化。黑客已经可以在极短的时间内聚集大量的攻击流量,这种大流量压制型攻击在之前可能只是个传说,而从今年的情况看来,大流量攻击已经成为了现实。随着带宽成本逐年降低,肉鸡资源的逐年丰富,大流量压制型攻击已经不再是业界的“都市传说”,高入口带宽也已经不再是攻防的保险箱,已经无法实现与攻击流量进行“军备竞赛”,因此现在也是时候需要考虑对于应对大流量攻击采取一些变革了。
趋势二:CC攻击向精细化转变
第二个趋势就是CC攻击向精细化转变,攻击的载体从IDC肉鸡到IDC和家庭肉鸡,再到IDC、PC移动端设备最后到IDC、PC、IoT和移动端设备不断转变,攻击手法也从半开链接攻击到TCP资源攻击再到服务器资源供给最后到模拟私有协议发起攻击不断变化,攻击的手法越来越细化,防御难度也越来越高。其实很难做到安全防御既能够防御大流量的攻击也能够防御精细化的攻击,这也是进行安全防御时可能出现今天能够防护住但是明天却又防不住情况的原因,因为黑产也在不断试探并打击游戏的弱点。
欺诈与作弊
另外两种威胁就是欺诈与作弊,比如垃圾注册、撞库以及流量作弊等。
破解与外挂
还有两种威胁就是破解与外挂,包括了客户端破解和伪造数据包。
云盾游戏安全解决方案
阿里云的云盾所提供的其实是全方位游戏安全解决方案。针对于DDoS攻击,云盾提供了DDoS高防IP和游戏盾。DDoS高防IP的防护峰值带宽20~300Gbps,并且防护阈值可以弹性调整;而游戏盾是云盾中创新性的防御DDoS攻击的手段,当攻击流量超过300G时就可以使用游戏盾进行防御,目前游戏盾能够防御的DDoS攻击已经达到了600G左右。除此之外,云盾还提供了针对移动安全和数据风控的解决方案。
游戏安全之一- DDoS高防IP服务
DDoS高防是一项针对海量DDoS攻击的清洗服务,防护能力高达300Gbps。DDoS高防IP服务其实是多线的,有电信线路、联通线路还有BGP线路,其通过CName解析或者将VIP贴到高防中心上去的方式将流量引过去再将流量还原给用户,但是DDoS高防服务的上线却只能达到300G,300G以上就会受限于机房带宽的能力了。
游戏安全之二- 游戏盾服务
游戏盾服务采取的对抗手段再也不是进行安全攻防的“军备竞赛”这样依靠带宽去对抗带宽的手法了,而是采用流量拆分和智能调度方式去防护DDoS攻击。其原理其实非常简单,就是黑客在同一时间只能够找到几十台服务器中的一个IP地址,最多将这个IP地址的服务器打挂掉,但是无法将整个服务打挂掉,所以游戏将能够保全大部分的客户而只有很少的客户会受到损失,通过这样的方式去防护游戏。针对于CC攻击,游戏盾实现了多层的精细化的CC防护,目前看来其效果也非常好,对于今天大家看到的针对大型游戏公司的CC攻击而言,20万QPS已经非常常见了。而且游戏盾不仅仅是一个产品而是一整套的服务体系,其也在不断地对于攻防能力进行提升。
游戏安全之三-移动端安全
对于移动端安全而言,主要进行的是应用加固,通过安全组件将移动端应用的协议加密,并进行安全存储和加密防止黑客破解。
游戏安全之三-业务风控
对于业务风控而言,如果应用是一个Web客户端,黑客就可能进行垃圾注册等进行攻击,这样采用业务风控的手段就可以防止黑客刷应用的接口。
实际案例分析
接下来为大家介绍一些使用阿里云云盾所提供的安全解决方案的实际案例。
案例一
在2014年,阿里云第一次将自己的DDoS服务进行商业化,也是在这一年,阿里云的一个游戏客户遭遇了全球历史上最大规模的DDoS攻击,攻击流量达到了453.8G,并且持续攻击了大约28个小时。而阿里云当时也帮助客户成功地防御住了这长达28个小时的DDoS攻击,当时采用了BGP带宽帮助客户进行防御,但是其实BGP带宽的防御成本是所有防御带宽中最高的。
案例二
第二个案例则是大家比较熟悉的,就是闲来互娱的实际案例。闲来互娱是2016年4月份成立的游戏公司,其主要游戏业务是地方棋牌游戏,它刚开始时发展非常迅速,但是却在5月和6月份时被DDoS攻击打击得非常惨烈,使得其业务基本上无法开展并且接近倒闭边缘。这时阿里云向闲来互娱提供了安全防护解决方案,并且阿里云和闲来互娱合作将安全解决方案应用到了其整个游戏攻防体系中去。而在4月份到11月份被昆仑万维以20亿的价格收购之间的4、5个月的时间内其经历了2次大型的攻击对抗。第一次对抗发生在安全解决方案部署完成之后,黑客很快发现仅靠大流量攻击完全打不下来,于是黑客开始破解游戏客户端,将游戏客户端破解之后就发现了游戏客户端中对于流量调度的原理,这样就能够把所有的IP防护节点全部找出来,之后对于找出的节点进行逐个打死。所以阿里云帮助闲来互娱在第一轮对抗中做的就是将应用进行加密,并将逻辑进行混淆,这样就使得黑客难以在同一时间发现更多的节点的IP地址,而最多一次只能获取一个节点的IP。在第二轮攻防中,黑客发现使用大流量攻击无法打下来,但是使用CC攻击却非常有效,于是他们使用CC攻击的手法去攻击登录服务,而大家都知道登陆服务相当于应用的入口,当登陆服务受到攻击时就发现防御能力急剧下降,即便其他的游戏节点都正常也是无济于事,不能起到任何作用了,所以阿里云此时推出了NGCC防护能力,使用NGCC防护之后即便是50万QPS也能够轻松防御,基本上就保护住了闲来互娱的第二轮攻击,一直到其被收购之前都保证游戏运行非常平稳。
案例三
还有一个案例是2016年2月的另外一个游戏公司在一个月的时间内连续被攻击了多次,并且攻击流量超过了400G,而这个流量在2016年初时是非常高的,这个公司同样也快被打挂了,此时阿里云帮助其启用了高防+游戏盾的安全解决方案,同时帮助该公司实现了态势感知和溯源,也帮其找到了在背后进行攻击的黑客并通过游戏公司报警,阿里云提供证据最后将犯罪嫌疑人捉拿归案,这也是反击能力的体现。大家知道很多游戏公司被攻击之后往往是打不还手的,其实并不是因为游戏公司脾气好,而是往往通常情况下游戏公司并不知道到底谁在发起攻击,所以如果客户拥有了溯源的能力就可以找到在背后对自己发起攻击的那个人并将其绳之以法,同时也将会为自己的业务赢得一定时间的安全发展时机。
以下内容根据演讲嘉宾现场视频以及PPT整理而成。
DDoS攻击趋势及原因分析
对于DDoS攻击而言,其平均防御成本随着DDoS攻击流量的增长呈现出加速向上的曲线。根据计算数据分析得出:如果DDoS攻击流量达到250G,每个月的防御成本大约会需要5万美元左右;如果达到300G就会需要每月6万美元;达到350G时防御成本则需要每月8万美元;如果达到500G攻击流量,那么防御成本则需要14万美元,也就是每个月需要花费大约一百万人民币去进行DDoS攻击的防御。在2017年,300G以上的攻击已经呈现常态化了。而对于DDoS攻击每小时所造成的商业价值损失而言,据数据统计36%的应用被攻击一小时的损失在5000美元到2万美元之间,34%在2万美元到10万美元之间,还有15%被攻击时每小时损失会超过10万美元。
除此之外,根据黑客攻击的时间维度数据也能分析出一定的规律性:基本上在每天的凌晨3点到9点之间,黑客攻击将会处于睡眠期,这个时间段其实属于黑客换装弹药的时间,在这个时间段,他们会把第二天需要攻击对象的名单和需要使用脚本准备好,当早上9点的时候,黑客的脚本就会自动运行然后开展新一波的攻击,所以在早上9点到凌晨3点之间这段时间,黑客的攻击是比较频繁的。
另外,目前国内主要有两大黑产组织,这两个组织也是遍布整个东南亚地区的,他们的最顶层组织处在中国境外,而且他们所掌握的攻击流量已经超过了1个T。大家可以想象一下,这样的攻击流量其实对于任何一家游戏公司或者应用而言都将会是致命的,黑产组织中最大的拥有800G的攻击流量,小一些则拥有的大约600G的攻击流量,所以他们基本上有能力将任何一个游戏公司攻击到挂掉。而目前在阿里的威胁情报系统中已经将这两大的危险组织的肉鸡分布进行了区分。
今天,黑客发起攻击的成本其实会非常低,比如对于海外的UTB小包而言,一个G一天只要花费50元,即便是最贵的DNS反射攻击也只要1个G一天350元。但是黑客显然不是这样报价的,比如黑客盯上了某一个游戏,就会去以包天或者包月或者按照效果付费的方式进行购买攻击包,一定会将游戏服务打死,甚至会提供打不死不收钱的“包打死”服务。前一段时间大家应该都看到了阿里云的吴翰清在自己的公众号上发了一篇文章谈了他回到阿里的29个月。其实这篇文章中也谈到了,在2016年的时候阿里云打击了刚才提到的两个黑产组织中的一个,在打击之后在几个月的时间之内,整个中国的黑产组织其实就消失掉了,国内的DDoS攻击量也下降了56%,同时全球的DDoS攻击量也下降了8%,但是因为黑产组织的核心组织人员都在中国境外,半年之后这个组织就又死灰复燃了。
对于实际的攻击手法而言,由于攻击源是在逐年增加的,以前只有针对PC的攻击,后来出现了针对服务器端的攻击,曾经有数据统计大约50%以上IDC的服务器都被黑客成功入侵并成为了肉鸡,而现在还有针对于手机的攻击,很多人的手机其实都处于黑产组织的控制之中,而且现在很多的IoT设备纷纷加入了DDoS攻击的浪潮之中,也将DDoS攻击的流量逐年推高。在2014年的时候DDoS攻击还是以50GBPS为主,攻击手法以IDC伪造源IP攻击为主。而在2015年时,攻击100Gbps+的攻击已经常态化了,攻击手法也在升级,从伪造IP转向反射型Flood攻击。2016年时,200Gbps+的攻击常态化,IoT和移动终端的兴起导致基于真实设备的攻击层出不穷。而在2017年的最近两三个月,大家所看到的趋势是300Gbps+的攻击常态化,并且基于私有协议和真实源的攻击事件呈指数级上升趋,导致攻击更加难以防范。
那么黑客为什么会攻击游戏行业呢?首先可能是发泄自己的不满,有些同学对于游戏产生了不满情绪,那就可能为了发泄自己的不满将游戏打挂掉。还有黑产接单打单,比如两家竞争同一市场的游戏公司,其中一家公司就有可能找黑产对于对方的业务进行打击。还有敲诈勒索,阿里云也遇到很多客户说自己曾收到了黑客在微信或者QQ上面的勒索流言,要求给对方钱财否则将对游戏业务进行攻击。还有业务扶持,黑产也会与一些行业中的公司进行合作,扶持某家公司成为行业的龙头老大,其他的竞争对手就会全部被打死。最后就是机房合作,黑客会要求一些游戏厂商必须搬到某个机房中,如果不然就进行攻击。所以就是出于以上的种种原因,地下黑产才形成了今天这样对于游戏客户的攻击形式。
而且黑客的具体攻击手法也非常多样,可以拿“打尖峰”举例说明,比如大家都知道阿里云上5个G黑洞,此时黑客就不会持续地使用很高的流量进行攻击,因为他们知道黑洞的原理所以就会使用5.01G的流量进行攻击,这样游戏公司的IP就进入黑洞了,黑客就会主动摸索游戏公司的的业务防御上限在哪里,然后通过打尖峰的手法对游戏进行攻击直到服务挂掉。另外一种打法就是压制一个时间段,比方某一种游戏会在每天早上9点到9点半之间有大量的玩家涌入进来玩,如果在这半个小时内将游戏的登陆服务压制掉就能够导致游戏无法提供服务,这样就会导致玩家转到其他游戏。而最可怕的一种攻击手法就是最近出现的持续压制,也就是游戏从早到晚都会处于300G的流量攻击之下。以上主要是按照攻击的时间段进行划分的,而如果按照更细粒度攻击手法进行划就可以分为以下两种攻击:
- 大流量压制,也就是通过海量的流量涌过去将整个机房都堵上。
- 精细化压制,使用CC攻击实现的精细化流量压制,目前往往以同时使用或者先后使用的方式配合大流量压制实现。
目前,对于DDoS攻击而言出现了两个极为明显的趋势。
趋势二:CC攻击向精细化转变
欺诈与作弊
另外两种威胁就是欺诈与作弊,比如垃圾注册、撞库以及流量作弊等。
- 垃圾注册,玩家大量注册小号,获取新号奖励和刷金币。
- 流量作弊,渠道商利用模拟器等手段批量挂机,进行流量作弊,获取非正常利益。
- 游戏盗号,攻击者利用自动化工具,通过扫库撞库等方式进行盗号。
破解与外挂
还有两种威胁就是破解与外挂,包括了客户端破解和伪造数据包。
- 游戏破解,破解客户端游戏程序,免费获得游戏内购,改变游戏设定。
- 内挂,通过破解游戏和数据包结构,逆向出或直接调用发
- 包函数,改变正常游戏数据,实现超出正常玩家的水平和能力。
- 脱机挂,完全脱离游戏客户端程序,可以与游戏服务器自由通讯的外挂程序,对游戏的危害最大,严重破坏游戏平衡,缩短游戏运营周期。无论是手游还是端游在被破解之后都可以做外挂,还能够通过破解协议报文模拟数据并发送到服务器上去,消耗游戏的资源使得正常玩家也无法进行游戏。
云盾游戏安全解决方案
游戏安全之一- DDoS高防IP服务
游戏安全之二- 游戏盾服务
游戏安全之三-移动端安全
游戏安全之三-业务风控
实际案例分析
接下来为大家介绍一些使用阿里云云盾所提供的安全解决方案的实际案例。
案例一
在2014年,阿里云第一次将自己的DDoS服务进行商业化,也是在这一年,阿里云的一个游戏客户遭遇了全球历史上最大规模的DDoS攻击,攻击流量达到了453.8G,并且持续攻击了大约28个小时。而阿里云当时也帮助客户成功地防御住了这长达28个小时的DDoS攻击,当时采用了BGP带宽帮助客户进行防御,但是其实BGP带宽的防御成本是所有防御带宽中最高的。
案例二
第二个案例则是大家比较熟悉的,就是闲来互娱的实际案例。闲来互娱是2016年4月份成立的游戏公司,其主要游戏业务是地方棋牌游戏,它刚开始时发展非常迅速,但是却在5月和6月份时被DDoS攻击打击得非常惨烈,使得其业务基本上无法开展并且接近倒闭边缘。这时阿里云向闲来互娱提供了安全防护解决方案,并且阿里云和闲来互娱合作将安全解决方案应用到了其整个游戏攻防体系中去。而在4月份到11月份被昆仑万维以20亿的价格收购之间的4、5个月的时间内其经历了2次大型的攻击对抗。第一次对抗发生在安全解决方案部署完成之后,黑客很快发现仅靠大流量攻击完全打不下来,于是黑客开始破解游戏客户端,将游戏客户端破解之后就发现了游戏客户端中对于流量调度的原理,这样就能够把所有的IP防护节点全部找出来,之后对于找出的节点进行逐个打死。所以阿里云帮助闲来互娱在第一轮对抗中做的就是将应用进行加密,并将逻辑进行混淆,这样就使得黑客难以在同一时间发现更多的节点的IP地址,而最多一次只能获取一个节点的IP。在第二轮攻防中,黑客发现使用大流量攻击无法打下来,但是使用CC攻击却非常有效,于是他们使用CC攻击的手法去攻击登录服务,而大家都知道登陆服务相当于应用的入口,当登陆服务受到攻击时就发现防御能力急剧下降,即便其他的游戏节点都正常也是无济于事,不能起到任何作用了,所以阿里云此时推出了NGCC防护能力,使用NGCC防护之后即便是50万QPS也能够轻松防御,基本上就保护住了闲来互娱的第二轮攻击,一直到其被收购之前都保证游戏运行非常平稳。
案例三
还有一个案例是2016年2月的另外一个游戏公司在一个月的时间内连续被攻击了多次,并且攻击流量超过了400G,而这个流量在2016年初时是非常高的,这个公司同样也快被打挂了,此时阿里云帮助其启用了高防+游戏盾的安全解决方案,同时帮助该公司实现了态势感知和溯源,也帮其找到了在背后进行攻击的黑客并通过游戏公司报警,阿里云提供证据最后将犯罪嫌疑人捉拿归案,这也是反击能力的体现。大家知道很多游戏公司被攻击之后往往是打不还手的,其实并不是因为游戏公司脾气好,而是往往通常情况下游戏公司并不知道到底谁在发起攻击,所以如果客户拥有了溯源的能力就可以找到在背后对自己发起攻击的那个人并将其绳之以法,同时也将会为自己的业务赢得一定时间的安全发展时机。