原来游戏技术行业最大的秘密居然是...

欢迎你们前往腾讯云+社区，获取更多腾讯海量技术实践干货哦~

本文由腾讯游戏云发表于云+社区专栏

本篇文章主要是分享游戏业务面临的安全风险场景，以及基于这些场景的特色，咱们应该如何作好对应的防御。

【1、背景：游戏行业DDoS攻击愈演愈烈】

《2017年度游戏行业DDoS态势报告》显示，中国成为全球DDoS攻击最大受害区，占比84.79%。

第二个特色是，大流量攻击愈来愈多，其中百G以上攻击占比逐年加大：

第三个特色是游戏行业被攻击状况严重，已经是最大受害行业。而其中棋类类被攻击尤为严重，百G以上攻击棋类类占比57%：

另外，国内已经开始出现超大流量攻击。在今年4月8日，腾讯云防御了1.23T的超大攻击流量，DDoS攻击愈来愈凶猛。面对愈来愈严峻的安全攻击现状，如何构筑咱们的业务防线，这是全部游戏研发和发行商都要面对的问题。

【2、常见游戏风险场景】

鉴于游戏业务面临日益严峻的安全攻击风险，咱们有必要对其进行进一步的剖析，为后续创建相应的安全防御打好基础。游戏安全场景由两部分要素组成。一部分是业务属性，另外一部分是技术和部署架构；业务属性包括了游戏类型、攻击趋势、延迟要求等，决定了被DDoS的几率、攻击流量的大小，须要使用什么类型的防御资源，如BGP仍是三大运营商的单线线路；技术和部署架构，包括使用的通讯协议、部署架构等，决定了须要使用什么防御产品来对抗。

业务属性

业务属性能够从如下图中的几个方面来展开：

一、 游戏类型

近几年随着手游的持续走热，愈来愈多的手游类型出现，常见的手游类型如MOBA，MMO，以及16年开始兴起的棋类等。MOBA和MMO等游戏因为地域属性粒度较粗，基本是以国家维度来作发行，竞争激烈但基本是良性竞争居多；而棋类主要集中在国内发行，因为地方特点玩法各异，因此地域属性极强，竞争对手较为明确，容易产生不当竞争行为，典型的就是利用DDoS攻击打击竞争对手。

二、 生命周期

不一样的业务在生命周期的不一样阶段，所可能受到的攻击状况也不一样。以棋类，特别是地方棋类为例，在新游上线初期，可能就会被“围殴”打瘫。由于这个时候攻击影响和成本堪称“性价比”最高，新游首发阶段，若是连续被攻击几天，不只游戏口碑变差，运营投入的广告转换率和留存率也会很低，给发行商带来很大经济损失。

三、 延迟要求

在防御业务时，两个方面须要考虑，一个是防住攻击，第二是尽可能不影响玩家体验。可否防住攻击，与高防产品技术、架构和资源有关，后续再深刻介绍。为了避免影响玩家体验，建议网络延迟不要增长至超过上述延迟的上限。又因网络延迟主要和网络线路质量有关，故建议MOBA，MMO使用BGP线路的防御资源；棋类类可使用BGP（常态下业务访问+基础防御）+三网（大流量下防御）的组合防御资源。

四、 攻击类型

从近年来的攻击状况看，主要以反射性UDP攻击为主，且流量巨大。18年初出现利用Memcached能够放大5万倍的流量，很是惊人，急需有效的UDP防御策略来防御。从攻击时长和频次来看，必定程度上能够预判攻击意图和后续攻击的状况，便于作防御准备。例如对于攻击时间长，频次高的状况，甚至十分钟左右就是一轮高峰值攻击，这种状况下，对方势必要打瘫目标，因此开发商须要和云厂商一块儿合做才能作好针对性防御。

五、 攻击大小

从以上2017年的攻击统计状况来看，攻击主要集中在2-4月份，整年有3/4的时间攻击量和频次都不高。 从攻击大小上看，87.1%的攻击是在50G如下，约51.2%的攻击是在10G如下。因此是否常态下置备 50G 或 20G的防御资源，在攻击超过这个基数时也能够提供防御？总结说，是否能够以“保底+弹性”的防御模式，作到防御效果和成本的均衡？

技术和部署架构

一、 通用游戏架构

从游戏通用架构上来看，玩家经过CDN下载更新资源包，经过域名登陆游戏，而后链接分配的游戏服开始游戏。其余游戏周边服务都在内网。恶意攻击者经过假装成正常玩家，拿到全部直接公网暴露给游戏玩家的域名、公网IP等，从而经过其控制的互联网的巨量肉鸡对游戏进行攻击；在这个游戏架构场景中，可能被攻击的对象是CDN，DNS，登陆服入口，游戏服入口等暴露在公网的服务。其中CDN和DNS通常都是平台型的服务，攻击很少。重点攻击对象是登陆服，游戏服务等。

二、 不一样延迟需求

在防御时，登陆、支付等服务相比游戏服，延迟容忍度更高一下；因此防御措施与游戏服不一样，能够考虑电信联通等单线的大带宽高防资源；游戏服的延迟要求与类型密切相关，能够参见上述说起的延迟要求。

三、 能否更换 IP

从业务技术架构上看，可否更换IP，决定了防御的灵活性；若能够更换IP，则能够灵活的调度多个IP实现“游击战”式的灵活防御；若是不能更换IP，只能用带宽先把攻击流量承接下来，而后再作清洗；这种状况在攻击量超过带宽上限时，服务端公网入口已经被拥塞至几近瘫痪，业务请求几乎都不能被正常处理。

四、 是否可多地域部署

此外，若是业务能够多地域部署，则能够更好的利用多地的高防资源防御，而且玩家游戏体验更好。

【3、防御思路总结】

架构设计阶段

把安全防御考虑在内，尽可能采用公网IP可更换或服务端提供域名访问、可多地域部署的架构

业务部署阶段

规划好暴露在公网的服务（即须要防御的目标）的数量，使其处在一个合理区间，以便在单点攻击发生时，不会影响所有玩家；同时也要综合考虑防御成本和效果；

根据游戏类型，以及自身的竞争环境是否健康，规划游戏是否须要独立的防御资源，游戏内不一样玩家分组，不一样业务模块是否须要独立防御；不然多业务能够共享防御资源；

根据延迟要求，选择防御资源的地域和线路；一个游戏内的不一样服务，延迟要求可能也不相同，例如大厅服一般相对游戏服的延迟要求就低一些；

根据业内攻击数据统计，以及自身的竞争现状，规划是否须要保底+弹性的灵活防御模式，以平衡防御效果和成本；

业务被攻击时

根据攻击状况，调整保底和弹性模式；结合攻击频率，调整防御策略。若是是大流量攻击，可是还在防御带宽内，能够考虑继续使用大带宽防御或者适当升级带宽以保障防御效果；若是是大流量带宽攻击频繁，超过能够购买的带宽或者防御成本太高，能够考虑多高防 IP调度的方式；

如遇到频繁且复杂的攻击场景，有必要创建多层防御。例如使用多 IP 灵活调度做为第一层，第二层可使用大带宽的三网防御兜底，针对 CC 能够作到有效防御，在一些复杂场景，必定程度上能够作自定义防御；

腾讯云专家助力

在以上各阶段，能够联系腾讯云团队，能够一块儿更有效的作好多轮次攻防。

【4、腾讯云新一代高防解决方案】

结合上述的防御思路，在面对愈来愈严峻的安全威胁时，可使用腾讯云新一代高防解决方案来保障业务安全。腾讯云新一代高防解决方案提供了全方位多层次的 DDoS 防御方案，能够彻底契合上述防御思路。您能够根据业务部署特色选择 DDoS 高防 IP、DDoS 高防包，并根据防御需求配置高级安全策略、CC 防御策略、水印防御策略等以灵活应对多种 DDoS 和 CC攻击威胁。

防御域名

防御域名提供智能解析和自动切换的能力。 在同时具有包括BGP的多线路防御资源时，优先解析到BGP；若发生攻击致使BGP线路被封禁，系统会自动切换到三网防御资源，此时会根据访问者的来源IP自动解析到对应的运营商线路，从而尽量的保证最优的延迟；

高防IP

借助BGP高防IP的力量来防御，客户端链接到高防IP，高防IP再转发给游戏服务器；能够转发云外或者云上的服务器。

高防包

对于部署在腾讯云上的业务，高防包就像一层护甲，直接在现有业务IP上生效，作到快速接入高防，业务无需作变动；高防包分两种：

ü 单IP高防包，为腾讯云上一个服务器或者负载均衡提供防御；

ü 多IP高防包，也叫共享高防包，能够防御多个腾讯云服务器或者负载均衡；

高级安全策略

若是DDoS攻击流量的报文中有必定特征，能够经过设置针对性的安全策略，进行有针对性的过滤

CC防御策略

CC防御一直是个难点，经过在CC检测清洗层面，设置自定义的检测和处理策略，能够有效阻击必定的CC攻击。若是一些特殊的CC流量已经到达服务器，也能够经过开启紧急防御模式，收紧防御策略，从而达到防御效果。

空链接防御

在CC防御中，空链接是一种经常使用的手段。腾讯云后台会先与请求端创建链接，待有非空链接到来时，才使请求端与服务端真正创建链接，避免空链接攻击对服务产生影响。

水印防御

若是CC攻击频繁且攻击量大，急需完全防御CC，可使用水印防御的方案。腾讯云新一代高防解决方案经过在业务报文中增长动态标签，即水印的方式，来识别是不是游戏的正常流量，且潜在攻击者没法经过抓取报文进行回放等方式进行攻击，100%有效过滤攻击流量。

【5、常见游戏类型防御方案】

MOBA/MMO

对于 MOBA和MMO 类型的现有项目可使用BGP高防包覆盖全部公网服务；

新游戏可使用BGP高防IP或者BGP 高防包覆盖全部公网服务，在发生攻击被黑洞时，能够经过提高防御套餐快速解除黑洞状态，恢复业务访问；

棋类

对于棋类业务来讲，攻击状况比较复杂。攻击流量大、类型多样、变化快，攻击人员更专业，攻击周期可能会很长，少数状况甚至长达数月或超过一年。因此须要有一套应对复杂情况的方案。根据经验，咱们创建了一个多层次防御体系，能够节节对抗，有针对性的变化防御策略，达到有效防御的目的。

防御方案总体上能够采用防御域名+ BGP 高防IP + 三网高防 IP + 高防IP 灵活调度的策略。第一层防御，使用BGP高防IP防御中小流量，而且做为业务对外正常服务的入口；第二层防御，使用三网高防或BGP高防IP灵活调度来防御、三网高防做为保底措施；第三层，若攻击报文有长度、内容特征，可使用自定义防御策略，过滤这些报文；第四层，如有明显CC攻击，默认的空链接防御以及紧急防御模式（更严格的过滤策略），能够帮助业务正常提供服务，也能够在研发或上线后逐步接入水印防御，100%有效防御CC攻击。

【6、结语】

以上便是对常见游戏场景和防御方案的简要分析，若有DDoS防御需求，能够联系腾讯云商务或行业架构师沟通详细需求和新一代高防解决方案方案。

问答 如何防范DDos攻击？ 相关阅读 小隐隐于野：基于TCP反射DDoS攻击分析 实战分享：如何成功防御1.2T国内已知最大流量DDoS攻击 “吃鸡”全球登顶背后的神助攻，了解一下？

**此文已由做者受权腾讯云+社区发布，原文连接：cloud.tencent.com/developer/a… **

欢迎你们前往腾讯云+社区或关注云加社区微信公众号（QcloudCommunity），第一时间获取更多海量技术实践干货哦~