游戏DDoS防护新思路--SDK版

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
全局流量管理 GTM,标准版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介: 探索一种新的防护模式,彻底摆脱针对tcp业务端口的cc和ddos攻击,文章阐述原理、技术实践。软件已经开源,希望跟大家一起交流沟通。

目前游戏行业仍是攻击的重灾区,这个产品也应运而生,采用分布式节点部署,攻击流量分散在不同的节点上,可以无上限防御DDOSCC攻击其他协议攻击等非常全面的防御各种攻击入侵渗透,同时为用户访问加速。

此产品设计之初仅仅是“江湖救急”为了帮助几个朋友的游戏和在线教育平台抵抗大流量攻击,后来朋友介绍朋友,不断有平台接入测试,为不少平台轻松防护了棘手的流量攻击。由于传统高防的不足,针对TCP端口的CC攻击没有太好的过滤策略,外加流量攻击量不断飙高,依靠硬防生抗效果不理想同时防护价格昂贵等,产品经过不断历练进行了三次重构。目前产品已经足够稳定。

这个产品是一款专注于C/S架构的安全防护产品,利用分布式云集群拦截针对用户服务器的CC攻击、DDOS攻击,通过在APP客户端集成SDK防御模块,来实现精准快速的切换以及链路加密通讯,由于采用了隧道加密通讯技术,使用动态虚拟IP连接,因此,任何DDOS攻击流量都无法进入隧道,同时还可以隐藏真实服务器IP。

image.png

整个防护由三大模块组成,分别是客户端SDK、智能调度和身份验证

image.png

简单演示一下大概效果,有感兴趣的朋友可以进行沟通交流。市面上有不少同类商用产品,各有各的优点,这个产品并非商业软件,而是之前给客户平台提供运维时候自己团队开发的产物,有需要的可以免费提供部署和搭建。后续根据实际情况考虑开源。

一、生成SDK文件

通过搭建jenkins在线生成SDK文件

image.png

产品支持android\ios\windows三端的源码和无源码集成。

随便从搜索引擎找了一款游戏app进行演示,因为直接下载的apk文件并无源码,因此,通过逆向的方式将SDK集成进去。

image.png

通过脚本进行集成之后进行测试(三端无源码集成过程后续单独写一个独立的介绍)。

如果客户端有微信登录需要提供证书文件进行重签名。

 

二、抓包分析

首先安装原版app进行抓包分析。

image.png

image.png

通过原版抓包能看到大量dns请求以及http明文请求数据。

再将逆向集成SDK的app进行安装并抓包。

SDK启动的时候会HOOK掉app的所有网络通讯,由于SDK和节点之间是加密传输的,因此抓包也无法获取dns解析记录以及http、tcp等明文信息,全部都是私有加密协议进行了封包。(截图中dns解析记录应该是在app启动SDK之前或者手机其他app解析请求)对比原版app的dns解析记录。

image.png

image.png

image.png

62001端口为SDK跟节点加密通讯端口。所有数据都被加密传输,无法解密出明文数据。

image.png

上图为节点里面进行dns解析服务,所有的客户端dns解析都会在远端节点进行解析,从而防范了dns污染和劫持。也可以避免攻击者获取域名信息。集成SDK之后抓包看到的全部都是加密封装后的TCP数据包。

image.png

抓包看到SDK跟分配的节点117进行通讯,在IP为117的节点里面将加密隧道程序断开,模拟节点被攻击产生无法访问的情况。抓包看到SDK迅速切换到分配给用户的第二个可用IP154.所有的切换都是无感知进行的。为了避免攻击者重复拉取全部节点池,SDK的验证端做了身份识别,token、deviceid等方式进行验证。每个用户分配的一组3个ip都不会重复,如果攻击者打死分配给他的节点IP,也只会影响到黑客自己。

image.png

断线重连,节点异常自动切换。

SDK方案优点主要是不依靠生抗来防护,而是通过大量分布式节点调度防护。

其次能完美防护CC攻击,因为节点对外不提供任何业务端口,只对外开放一个加密传输隧道端口(62001)。

SDK节点切换都是瞬间切换,不依靠域名dns解析方式。cname防护集群切换依靠域名解析同时无法实现无缝切换,并且防CC效果依然不理想。

image.png

Q & A 问答集

1、端口防CC效果如何?

答:SDK跟节点之间通讯是建立一个加密隧道,只有APP集成sdk之后的数据才会进入,攻击量无法进入隧道内,同时节点不对外开放任何业务端口,只有一个加密隧道通讯端口62001开放。因此,任何针对业务端口的CC都起不到任何效果。所有的业务数据都通过封装发送到节点的加密隧道端口,到达节点之后进行解密解包将用户业务数据发送给原站服务器。

2、最高能防御多大攻击量?

答:因为不是依靠高防的生抗模式,全部都通过调度算法分配节点,因此,黑客攻击打死的节点也只是影响黑客自己,通过多层识别,杜绝全部节点被拉取。用户可以在分配的一组唯一IP之间无感知切换。cname高防转发模式则会出现掉线,延迟高,过滤规则误封真实用户的情况。无感知切换是通过SDK进行处理的,不存在通过cname域名进行调度切换的弊端。

3、文中提到的虚拟IP如何使用?

答:为了更好的保护APP不被逆向破解,我们建议用户客户端链接服务端的域名解析到虚拟IP,如果客户端绑定的是IP地址,可以换成我们的虚拟IP。虚拟IP是一个环路IP不会在互联网上传输,但是客户端集成SDK之后就可以使用虚拟IP跟我们节点建立加密通讯了。虚拟IP类似127.0.0.1~127.0.0.255

4、集成之后是否可以抓包到客户端明文数据?

答:APP集成SDK之后会hook全部app的通讯数据封装到我们的加密协议里面,并与节点建立加密隧道。任何数据都是加密之后传输的,通过抓包是无法显示明文的。有的客户有单独需求,比如社交视频等app,这类客户流媒体数据较多,如果都走节点会造成增加成本和担忧额外延迟等情况,因此sdk支持例外设置,比如链接第三方流媒体或者存储更新资源等无需保护的链接进行直连访问。

 

需要技术交流可以加q:278056823 vx: zenops

相关文章
|
程序员 编译器 开发工具
游戏编程之三 DirectX SDK简介
游戏编程之三 DirectX SDK简介
184 0
|
域名解析 网络协议 安全
社交、直播类APP的DDoS防护新方案--SDK版
针对当下流行的直播社交类app遇到的安全问题进行了专门研究,希望能给相关领域的朋友一定帮助。
社交、直播类APP的DDoS防护新方案--SDK版
|
安全 网络协议 网络安全
【云栖号案例 | 游戏&娱乐】冠赢网络上云 游戏盾彻底解决DDoS/CC攻击
DDoS/CC攻击是游戏APP类业务常遇到的安全问题。上云后通过将SDK嵌入客户端中,自动进行分组及调度,及时找出并处置风险设备,实现业务与安全的双赢。
【云栖号案例 | 游戏&娱乐】冠赢网络上云 游戏盾彻底解决DDoS/CC攻击
|
安全 网络安全 数据安全/隐私保护
【云栖号案例 | 娱乐&游戏】棋牌游戏上云 成功抵挡低频爆发式的DDOS攻击
棋牌游戏公司会遭到大量的DDOS流量攻击,被打入黑洞导致业务中断。上云后公司后期成本可控,可抵挡持续性低频的实际攻击,为后期稳定发展提供了基座。
【云栖号案例 | 娱乐&游戏】棋牌游戏上云 成功抵挡低频爆发式的DDOS攻击
|
机器学习/深度学习 安全 网络协议
棋牌游戏DDoS防御细谈
随着闲徕、皮皮等这一类新兴棋牌游戏公司的异军突起,今天整个行业都涌现出了大量的棋牌游戏公司。很多公司对这个行业不了解,贸然进行进入,并未对自身的系统、业务安全做很好的认知,存在很大的盲区,一旦被攻击束手无策,尤其是DDoS攻击是什么,怎么打出来的,怎么防护都不了解。
3555 0
|
安全 网络安全 Apache
游戏安全资讯精选 2018年第七期:棋牌游戏的商业模式和风险,黑客利用Apache CouchDB中的两个“老漏洞”挖币,阿里云成功防御国内最大规模Memcached DDoS反射攻击
棋牌游戏的商业模式和风险,黑客利用Apache CouchDB中的两个“老漏洞”挖币,阿里云成功防御国内最大规模Memcached DDoS反射攻击
3097 0
|
安全 算法 大数据
游戏安全资讯精选 2017年第十八期:富控互动拟13.668亿收购棋牌游戏公司百搭网络51%股权,游戏市场的收入超2千亿,阿里云与中国电信云堤达成DDoS防护领域重大合作,阿里云云盾 · 云防火墙技术解读
富控互动拟13.668亿收购棋牌游戏公司百搭网络51%股权,游戏市场的收入超2千亿,阿里云与中国电信云堤达成DDoS防护领域重大合作,阿里云云盾 · 云防火墙技术解读
2751 0
|
安全 网络安全 数据安全/隐私保护
游戏安全资讯精选 2017年第十一期 英国彩票网遭遇DDoS攻击,中断90分钟 微软“10月周二补丁日”发布63个漏洞补丁
英国彩票网遭遇DDoS攻击,中断90分钟,微软“10月周二补丁日”发布63个漏洞补丁,云栖大会安全发布汇总,高防降价90%,亚洲首个“芯片级”加密
2197 0
|
机器学习/深度学习 云安全 安全
游戏安全资讯精选 2017年第十期 英国彩票网遭遇DDoS攻击,中断90分钟 DNSMASQ多高危漏洞公告 阿里云协助警方破获国内最大黑客攻击案,攻击峰值690G
英国彩票网遭遇DDoS攻击,中断90分钟,DNSMASQ多高危漏洞公告,阿里云协助警方破获国内最大黑客攻击案,攻击峰值690G
1949 0
|
云安全 安全 网络安全
游戏安全资讯精选 2017年 第四期:游戏行业上周最大DDoS流量超770G, 魔兽世界遭遇DDoS攻击,开源CMS Drupal 8发布更新修复多处高危漏洞补丁
游戏行业上周最大DDoS流量超770G, 魔兽世界遭遇DDoS攻击,HBO向黑客妥协:承诺25万美元赎金,开源CMS Drupal 8发布更新修复多处高危漏洞补丁;IDC云安全评估: 阿里云为最重视安全建设的云服务提供商
2850 0

热门文章

最新文章

下一篇
无影云桌面