阿里云：游戏行业DDoS攻击解决方案

时间 2019-11-13

标签阿里游戏行业 ddos 攻击解决方案栏目阿里巴巴繁體版

原文原文链接

转自：http://www.gamelook.com.cn/2018/01/319420前端

根据全球游戏和全球移动互联网行业第三方分析机构Newzoo的数据显示：2017年上半年，中国以275亿美圆的游戏市场收入超过美国和日本，成为全球榜首。算法

游戏行业的快速发展、高额的攻击利润、日趋激烈的行业竞争，让中国游戏行业的进军者们，天天都面临业务和安全的双重挑战。数据库

游戏行业一直是竞争、攻击最为复杂的一个江湖。曾经多少充满激情的创业团队、玩法极具特点的游戏产品，被互联网攻击的问题扼杀在摇篮里；又有多少运营出色的游戏产品，由于遭受DDoS攻击，而一蹶不振。后端

DDoS攻击的危害缓存

阿里云安全发布的2017年上半年的游戏行业DDoS攻击态势报告中指出：2017年1月至2017年6月，游戏行业大于300G以上的攻击超过1800次，攻击最大峰值为608G；游戏公司每个月平均被攻击次数高达800余次。安全

目前，游戏行业因DDoS攻击引起的危害主要集中在如下几点：服务器

90%的游戏业务在被攻击后的2-3天内会完全下线。
攻击超过2-3天以上，玩家数量通常会从几万人降低至几百人。
遭受DDoS攻击后，游戏公司日损失可达数百万元。

为何游戏行业是DDoS攻击的重灾区？网络

据统计代表，超过50%的DDoS和CC攻击，都在针对游戏行业。游戏行业成为攻击的重灾区，主要有如下几点缘由：架构

游戏行业的攻击成本低，几乎是防御成本的1/N，攻防两端极度不平衡。
随着攻击方的手法日趋复杂、攻击点的日趋增多，静态防御策略已没法达到较好的效果，从而加重了这种不平衡。并发
游戏行业生命周期短。
一款游戏从出生到消亡，大多只有半年的时间，若是抗不过一次大的攻击，极可能就死在半路上。黑客也是瞄中了这一点，认定只要发起攻击，游戏公司必定会给保护费。
游戏行业对连续性的要求很高，须要7×24小时在线。
所以若是受到DDoS攻击，很容易会形成大量的玩家流失。在被攻击的2-3天后，玩家数量从几万人掉到几百人的事例家常便饭。
游戏公司之间的恶性竞争，也加重了针对行业的DDoS攻击。

游戏行业的DDoS攻击类型

空链接
攻击者与服务器频繁创建TCP链接，占用服务端的链接资源，有的会断开、有的则一直保持。空链接攻击就比如您开了一家饭馆，黑帮势力老是去排队，可是并不消费，而此时正常的客人也会没法进去消费。
流量型攻击
攻击者采用UDP报文攻击服务器的游戏端口，影响正常玩家的速度。用饭馆的例子，即流量型攻击至关于黑帮势力直接把饭馆的门给堵了。
CC攻击
攻击者攻击服务器的认证页面、登陆页面、游戏论坛等。仍是用饭馆的例子，CC攻击至关于，坏人霸占收银台结帐、霸占服务员点菜，致使正常的客人没法享受到服务。
假人攻击
模拟游戏登陆和建立角色过程，形成服务器人满为患，影响正常玩家。
对玩家的DDoS攻击
针对对战类游戏，攻击对方玩家的网络使其游戏掉线或者速度慢。
对网关DDoS攻击
攻击游戏服务器的网关，致使游戏运行缓慢。
链接攻击
频繁的攻击服务器，发送垃圾报文，形成服务器忙于解码垃圾数据。

游戏安全痛点

业务投入大，生命周期短
一旦出现若干天的业务中断，将直接致使前期的投入化为乌有。
缺乏为安全而准备的资源
游戏行业玩家多、数据库和带宽消耗大、基础设施资源准备时间长，而安全需求每每没有被游戏公司优先考虑。
可被攻击的薄弱点多
网关、带宽、数据库、计费系统均可能成为游戏行业攻击的突破口，相关的存储系统、域名DNS系统、CDN系统等也会遭受攻击。
涉及的协议种类多
难以使用同一套防护模型去识别攻击并加以防御，许多游戏服务器多用加密私有协议，难以用通用的挑战机制进行验证。
实时性要求高，须要7×24小时在线
业务不能中断，成为DDoS攻击容易奏效的理由。
行业恶性竞争现象猖獗
DDoS攻击成为打倒竞争对手的工具。

如何判断已遭受DDoS攻击？

假定已排除线路和硬件故障的状况下，忽然发现链接服务器困难、正在游戏的用户掉线等现象，则说明您颇有多是遭受了DDoS攻击。

目前，游戏行业的IT基础设施通常有 2 种部署模式：一种是采用云计算或者托管IDC模式，另一种是自行部署网络专线。不管是前者仍是后者接入，正常状况下，游戏用户均可以自由流畅地进入服务器并进行游戏娱乐。所以，若是忽然出现如下几种现象，能够基本判断是被攻击状态：

主机的IN/OUT流量较平时有显著的增加。
主机的CPU或者内存利用率出现无预期的暴涨。
经过查看当前主机的链接状态，发现有不少半开链接；或者是不少外部IP地址，都与本机的服务端口创建几十个以上的ESTABLISHED状态的链接，则说明遭到了TCP多链接攻击。
游戏客户端链接游戏服务器失败或者登陆过程很是缓慢。
正在进行游戏的用户忽然没法操做、或者很是缓慢、或者老是断线。

DDoS攻击缓解最佳实践

目前，有效缓解DDoS攻击的方法可分为 3 大类：

架构优化
服务器加固
商用的DDoS防御服务

您可根据本身的预算和遭受攻击的严重程度，来决定采用哪些安全措施。

架构优化

在预算有限的状况下，建议您优先从自身架构的优化和服务器加固上下功夫，减缓DDoS攻击形成的影响。

部署DNS智能解析

经过智能解析的方式优化DNS解析，有效避免DNS流量攻击产生的风险。同时，建议您托管多家DNS服务商。

屏蔽未经请求发送的DNS响应信息
典型的DNS交换信息是由请求信息组成的。DNS解析器会将用户的请求信息发送至DNS服务器中，在DNS服务器对查询请求进行处理以后，服务器会将响应信息返回给DNS解析器。

但值得注意的是，响应信息是不会主动发送的。服务器在没有接收到查询请求以前，就已经生成了对应的响应信息，这些回应就应被丢弃。
丢弃快速重传数据包
即使是在数据包丢失的状况下，任何合法的DNS客户端都不会在较短的时间间隔内向同一DNS服务器发送相同的DNS查询请求。若是从相同IP地址发送至同一目标地址的相同查询请求发送频率太高，这些请求数据包可被丢弃。
启用TTL
若是DNS服务器已经将响应信息成功发送了，应该禁止服务器在较短的时间间隔内对相同的查询请求信息进行响应。

对于一个合法的DNS客户端，若是已经接收到了响应信息，就不会再次发送相同的查询请求。每个响应信息都应进行缓存处理直到TTL过时。当DNS服务器遭遇大量查询请求时，能够屏蔽掉不须要的数据包。
丢弃未知来源的DNS查询请求和响应数据
一般状况下，攻击者会利用脚本对目标进行分布式拒绝服务攻击（DDoS攻击），并且这些脚本一般是有漏洞的。所以，在服务器中部署简单的匿名检测机制，在某种程度上能够限制传入服务器的数据包数量。
丢弃未经请求或突发的DNS请求
这类请求信息极可能是由伪造的代理服务器所发送的，或是因为客户端配置错误或者是攻击流量。不管是哪种状况，都应该直接丢弃这类数据包。

非泛洪攻击 (non-flood) 时段，能够建立一个白名单，添加容许服务器处理的合法请求信息。白名单能够屏蔽掉非法的查询请求信息以及此前从未见过的数据包。

这种方法可以有效地保护服务器不受泛洪攻击的威胁，也能保证合法的域名服务器只对合法的DNS查询请求进行处理和响应。
启动DNS客户端验证
伪造是DNS攻击中经常使用的一种技术。若是设备能够启动客户端验证信任状，即可以用于从伪造泛洪数据中筛选出非泛洪数据包。
对响应信息进行缓存处理
若是某一查询请求对应的响应信息已经存在于服务器的DNS缓存之中，缓存能够直接对请求进行处理。这样能够有效地防止服务器因过载而发生宕机。
使用ACL的权限
不少请求中包含了服务器不具备或不支持的信息，能够进行简单的阻断设置。例如，外部IP地址请求区域转换或碎片化数据包，直接将这类请求数据包丢弃。
利用ACL，BCP38及IP信誉功能
托管DNS服务器的任何企业都有用户轨迹的限制，当攻击数据包被伪造，伪造请求来自世界各地的源地址。设置一个简单的过滤器可阻断不须要的地理位置的IP地址请求或只容许在地理位置白名单内的IP请求。

同时，也存在某些伪造的数据包可能来自与内部网络地址的状况，能够利用BCP38经过硬件过滤清除异常来源地址的请求。

部署负载均衡

经过部署负载均衡（SLB）服务器有效减缓CC攻击的影响。经过在SLB后端负载多台服务器的方式，对DDoS攻击中的CC攻击进行防御。

部署负载均衡方案后，不只具备CC攻击防御的做用，也能将访问用户均衡分配到各个服务器上，减小单台服务器的负担，加快访问速度。

使用专有网络

经过网络内部逻辑隔离，防止来自内网肉鸡的攻击。

提供余量带宽

经过服务器性能测试，评估正常业务环境下能承受的带宽和请求数，确保流量通道不止是平常的量，有必定的带宽余量能够有利于处理大规模攻击。

服务器安全加固

在服务器上进行安全加固，减小可被攻击的点，增大攻击方的攻击成本：

确保服务器的系统文件是最新的版本，并及时更新系统补丁。
对全部服务器主机进行检查，清楚访问者的来源。
过滤没必要要的服务和端口。例如，WWW服务器，只开放80端口，将其余全部端口关闭，或在防火墙上作阻止策略。
限制同时打开的SYN半链接数目，缩短SYN半链接的timeout时间，限制SYN/ICMP流量。
仔细检查网络设备和服务器系统的日志。一旦出现漏洞或是时间变动，则说明服务器可能遭到了攻击。
限制在防火墙外与网络文件共享。下降黑客截取系统文件的机会，若黑客以特洛伊木马替换它，文件传输功能无疑会陷入瘫痪。
充分利用网络设备保护网络资源。在配置路由器时应考虑如下策略的配置：流控、包过滤、半链接超时、垃圾包丢弃，来源伪造的数据包丢弃，SYN 阀值，禁用ICMP和UDP广播。
经过iptable之类的软件防火墙限制疑似恶意IP的TCP新建链接，限制疑似恶意IP的链接、传输速率。
识别游戏特征，自动将不符合游戏特征的链接断开。
防止空链接和假人攻击，将空链接的IP地址直接加入黑名单。
配置学习机制，保护游戏在线玩家不掉线。例如，经过服务器搜集正常玩家的信息，当面对攻击时，将正常玩家导入预先准备的服务器，并暂时放弃新进玩家的接入，以保障在线玩家的游戏体验。

商用DDoS攻击解决方案

针对超大流量的攻击或者复杂的游戏CC攻击，能够考虑采用专业的DDoS解决方案。目前，通用的游戏行业安全解决方案作法是在IDC机房前端部署防火墙或者流量清洗的一些设备，或者采用大带宽的高防机房来清洗攻击。

当宽带资源充足时，此技术模式的确是防护游戏行业DDoS攻击的有效方式。不过带宽资源有时也会成为瓶颈：例如单点的IDC很容易被打满，对游戏公司自己的成本要求也比较高。

DDoS攻击解决方案——游戏盾

游戏盾是阿里云针对游戏行业面对的DDoS、CC攻击推出的具备针对性的网络安全解决方案，相较与高防IP，除了能针对大型DDoS攻击（T级别）进行有效防护外，还具有完全解决游戏行业特有的TCP协议的CC攻击问题能力，防御成本更低，效果更好！

2017年3月29日，阿里云云盾在深圳云栖大会发布了游戏行业安全风控新模式：游戏盾。游戏盾在风险治理方式、算法技术上全面革新，帮助游戏行业用户用更低的成本缓解超大流量攻击和CC攻击，解决以往的攻防框架中资源不对等的问题。

与传统单点防护DDoS防护方案相比，游戏盾用数据和算法来实现智能调度，将正常玩家流量和黑客攻击流量快速分流至不一样的节点，最大限度缓解大流量攻击；经过端到端加密，让模拟用户行为的小流量攻击也没法到达客户端。

同时，在传统防护中，黑客很容易锁定攻击目标IP，在攻击过程当中受损很是小。而游戏盾的智能调度和识别，可以让用户隐形，让黑客显形 —— 每一次攻击都会让黑客受损一次，攻击设备和肉鸡再也不重复可用。颠覆以往DDoS攻防资源不对等的情况。

游戏盾的前世此生

游戏盾从诞生之初到如今，经历了3次重大的技术变革。从初代的云层，到如今的游戏盾，不管是从技术架构仍是从功能实现上，都发生了翻天覆地的变化。

而驱动这些变化的浅层因素，是攻防资源的不对等问题；深层因素则是对现有网络自己的路由规则和基础设施的深度思索。

简单来讲，游戏盾经过风控模式调度流量来撬动攻防天平；而从本质来讲，游戏盾更像是一个除了路由和DNS以外，可以再次改变流量走向的存在。

云层：第一次实验

游戏盾的前身是云层项目。它诞生在2015年初的一次营救实验。

一家公司遭受黑客的反复攻击，传统的DDoS防护方法已所有败下阵来。在紧急状况下，公司向阿里云安全团队寻求合做，并提出能够尝试一种经过快速流量调度，来躲避黑客攻击的新方法。

当时，这种方法并无在任何实战场景中被验证过。阿里云DDoS防御安全技术团队在摸着石头过河的状况下，与用户的技术团队一块儿合做，将这种新的防御方法付诸于实践，成功扛下了一次次攻击。

云层时代也就此开始。

当时，黑客的攻击手法相对来讲比较单一，找到目标IP地址，经过一波大流量（10~50GBps）攻击将IP打进黑洞。而黑客发动下一波攻击的准备时间大约须要10~15分钟。而云层经过秒级分布式IP的快速调度，压制了黑客的分钟级攻击跟随，赢得了这场竞赛的阶段性胜利。

接下来，云层模式在其它几场攻防实战中屡立战功。但与此同时，新形态的攻击方式也在不断地进化，云层尽管实现了秒级的IP调度速度，但要跟上黑客的嗅探和跟随，其算法和效率仍然须要进化。在这种背景下，游戏盾的时代来了！

游戏盾：正式踏入战场

一直以来，国内超过50%的DDoS和CC攻击，都是针对游戏行业。所以，游戏成了DDoS攻防最好的战场，也是调度算法的最佳训练场。

因而，阿里云安全团队决定将云层时代积累下来的技术经验，应用在游戏行业中，成为全部用户可以用得上、而且管用的风控模式。

在游戏盾诞生以前的很长一段时间，阿里云安全团队对游戏行业的攻防对抗模式反复分析，深刻了解了游戏业务的注册特色、登陆特色、玩家特色，并在此基础上重构了游戏盾的智能调度算法。

游戏盾继承了云层快速调度的能力，又经过对端信息的采集、和对网络通讯等行为进行归一化的处理分析。基于云上的资源和特性，游戏盾得以对海量的端数据进行计算、处理和存储。相比线下环境，借助云计算平台在计算和数据处理上的优点，阿里云取得了实质性的突破——完成对每个终端设备的画像，并最终沉淀为端威胁值这一新的调度因子。

游戏盾全部数据处理的核心是空中流量调度系统（AirTraffic Control ，ATC），它以深度机器学习（DL）和神经网络（LSTM）为认知基础，将恶意用户快速隔离在调度体系以外。

在游戏行业炮火重重的前线上，游戏盾完成了涅槃重生，并在最猛烈的攻击之下不断进行自我升级。同时，威胁识别和影响面控制代替调度成为了新的技术关键词。

精细化和分层而治：领先一小步

固然，这仍只是一个开始。攻击方也在逐步加剧本身的兵力投入。想要领先黑客一小步，光靠数据和算法还不够，须要真正了解对方的攻击趋势和攻击手法。

在实战的磨砺中，游戏盾正式踏入精细化攻防对抗这一领域：NetGuard应运而生。借助前2个阶段所积累的AI建模分析能力，游戏盾向针对业务层的攻击发起挑战。

游戏盾经过串行学习特定业务数据特征，快速识别畸形和突发的异常流量，并在干路上进行阻截。与此同时，阿里云安全团队提出了由用户层、网络层、接入层和业务层4级联动的立体防御体系，让游戏盾帮助用户搭建最适合本身的安全架构。

游戏盾的立体防御体系的核心，在于分层而治。首先，大流量攻击依托网络层去解决；而技巧型CC攻击经过接入层去解决。立体防御体系能够达到突破带宽限制，控制攻击影响范围和时间，精准识别用户行为的目标。

倾斜的天平

从2015到2017，通过2年的攻防实战和技术打磨让游戏盾将一种新的安全风控模式，应用到攻防战场中，帮助游戏行业的用户去解决实质性的问题。

然而，从云层到游戏盾，只是阿里云安全团队撬动DDoS攻防天平的第一步。真正前进的方向，是构筑一张安全、可信、承载着“干净流量”的网络，并将这张网络延展到更广的边界。

方案简介

游戏盾是阿里云DDoS高防IP产品系列中针对游戏行业的安全解决方案。游戏盾专为游戏行业定制，针对性解决游戏行业中复杂的DDoS攻击、游戏CC攻击等问题。

游戏盾由 2 大模块组成：

分布式抗D节点：经过分布式的抗D节点，游戏盾能够作到防护600G以上的攻击。
游戏安全网关：经过针对私有协议的解码，支持防护游戏行业特有的CC攻击。

游戏盾如何防护DDoS攻击？

与普通的DDoS高防机房不一样，游戏盾并非经过海量的带宽硬抗攻击，而是经过分布式的抗D节点，将黑客的攻击进行有效的拆分和调度，使得攻击没法集中到某一个点上。同时基于SDK端数据、流量数据，能够经过动态的调度策略将黑客隔离！

游戏盾如何防护CC攻击？

通常来讲，游戏行业的CC攻击跟网站的CC攻击不一样。网站类的CC攻击主要是基于HTTP或者HTTPS协议，协议比较规范，相对容易进行数据分析和协议分析。可是游戏行业的协议大部分是私有的或者不常见的协议，所以对于CC攻击的防护，阿里云推出了专业的云上防护游戏安全网关（原称NetGuard、简称NG）。

游戏安全网关经过在用户业务和攻击者之间创建起一道游戏业务的防火墙，根据攻击者的TCP链接行为、游戏链接后的动态信息、全流量数据，准确分辨出真正的玩家和黑客。
游戏安全网关支持大数据分析，根据真实用户业务的特色分析出正常的玩家行为，从而直接拦截异常的客户端。且能够随时针对全国省份、海外的流量进行精确封禁，支持百万级的黑白名单。
游戏安全网关能够同SDK创建加密通讯隧道，全面接管客户端和服务端的网络通讯，仅放行通过SDK和游戏安全网关鉴权的流量。完全解决TCP协议层的CC攻击。（需SDK版本在5.1.7以上）

方案特色

技术革新——智能调度算法拆分流量

DDoS攻防的本质，是资源的对抗。从网络、CDN、服务器到数据库，只要存在资源差的地方，就能够有DDoS攻击在发生。

从云层、弹性安全网络到如今的游戏盾，阿里云安全团队在与游戏行业用户并肩做战几年后，用数据和算法来改变了大流量攻击防护的模式。

今天，游戏盾在应对黑客攻击的时候，不只是被动在防护，也具有主动的反击能力。有效识别哪一个客户端是黑客、哪一个客户端是好的用户，经过更加灵活的调度算法，让用户的正常流量和黑客的攻击流量不往一处走，扛住一次次超大型的DDoS攻击。

风控模式革新——从单点防护到分层治理

在游戏盾的演进过程当中，阿里云安全团队成功平衡了 4 大资源不对等的难题：

如何对抗黑客T级压倒性带宽资源。
如何攻破黑客的肉鸡资源。
如何填补黑客只须要攻点、用户须要防面的鸿沟。
如何解决资金成本的问题。

分层而治，是解决这些问题的基础。全部资源的不对等，都是由于攻击方太容易找到目标，而防护方太容易成为目标。分层而治中的分，表明流量的拆分、业务的拆分和目标的拆分；让攻击者的成本和门槛增大，把用户成本控制到最低；层表明一种漏斗模型。

用户层：用户层的数据老是不那么可信的，做为通讯的发起方，保护好本身是头等大事。
网络层：网络的问题就交给专门的网络设备解决，不要再使用服务器硬扛了。
接入层：接入层是为了应对CC攻击而准备的。在这一层，只处理用户行为，不处理业务。
业务层：真正的业务服务器必须好好保护，不能直接暴露，物理通路的隔离是相对比较好的选择。

游戏盾改变了DDoS攻防只是拼带宽的传统概念，成为针对游戏行业用户的总体风控方案。在游戏盾的风控理论下，只要您解决好用户端的问题，就能够解决无限大的DDoS攻击，从而达到攻防成本的平衡。

与传统DDoS攻击解决方案对比

全套安全解决方案

阿里云深度分析游戏安全问题，基于阿里巴巴集团海量攻防实战积累，为游戏运营量身打造最全面、最可信的阿里云游戏安全完整解决方案。

该解决方案具备如下特色：

全方位安全防御
超强防御、实时响应
针对游戏、智能调节
行业最强安全大数据

本方案可以全面解决游戏行业安全风险，涉及的云产品具体以下：

游戏盾：抵御大流量攻击和CC攻击、保障核心用户体验。
数据风控&移动安全：人机识别，App加固，预防恶意注册、流量做弊、撞库盗号。
Web应用防火墙：保障游戏主站及支付服务安全，全面支持HTTPS。
安骑士：预防暴力破解、服务器漏洞修复。
堡垒机：资源分级受权管理，运维更安全。
态势感知：利用机器学习还原已发生的攻击，预测未发生的攻击，扩大安全可见性。
先知：加入先知平台的安全众测服务，帮助游戏公司全面发现业务漏洞及风险。

云安全产品介绍

数据风控

除DDoS攻击以外，游戏行业另外一大安全威胁就是欺诈做弊，包括：

垃圾注册：玩家大量注册小号，获取新号奖励和刷金币。
流量做弊：渠道商利用模拟器等手段批量挂机，进行流量做弊，获取非正常利益。
游戏盗号：攻击者利用自动化工具，经过扫库撞库等方式进行盗号。

然而，这些安全威胁会直接致使游戏公司耗费大量心血设计的游戏平衡遭到破坏，从而大大下降玩家体验、致使用户流失。所以，在游戏安全解决方案中，数据风控是必不可少的安全产品之一。

产品简介

阿里云数据风控产品由阿里聚安全提供，凝聚了阿里巴巴集团多年业务风控经验，专业、实时对抗垃圾注册、刷库撞库、活动做弊、论坛灌水等严重威胁游戏业务安全的风险。在拦截恶意欺诈、做弊流量的同时，保障正常玩家体验顺畅无影响。

产品优点

相较业内同类产品，阿里云的数据风控针对游戏行业具备如下优点：

精准的风险识别率
依据历史大数据分析，数据风控能够达到高于于95%95%的风险识别率，并保持低于1%的风险误识率。

在游戏行业中，实行恶意欺诈做弊的拦截过程当中，除了尽量阻断恶意请求，更重要的是不能误拦截正常玩家的访问请求。所以，从业务安全角度来讲，风险识别的精准度相当重要。
业内领先的验证技术
经过创新的验证技术，极大提升对恶意用户的拦截能力。在保证精准的风险识别率的前提下，尽量多的拦截恶意用户请求，就是对绿色游戏环境最大的守护。同时，随着游戏行业的快速发展，新型的欺诈、做弊方式层出不穷，创新领先的验证技术是提高拦截能力的关键。
支持多平台的防控
同时支持Web端和移动平台的风险防控。近些年，随着移动端游戏的兴起，移动游戏行业的竞争早已白热化，支持移动平台的业务风险防控能力甚至比Web端更为重要。
稳定可靠的系统支持
高于99.99%的可用性、毫秒级响应时间、每秒万级并发量，保障业务顺利进行。

对于游戏行业爆发式的流量涌入（游戏新上线、推广活动期间等），须要高可用、高性能的业务安全产品进行护航。

应用场景

用户注册
游戏行业常常会遭受大量垃圾帐号注册的威胁，使用数据风控产品保障业务安全，有效下降垃圾帐号带来的垃圾广告、诈骗、营销活动做弊等安全风险。
说明：在用户注册过程当中应用数据风控后，垃圾帐号比例显著降低，大幅提升垃圾帐号注册团伙的欺诈成本。
用户登陆
游戏行业常常会面临盗号威胁，因为玩家并不彻底了解帐户安全的相关知识，对于本身的游戏帐户安全也缺少足够的重视，所以常常出现玩家帐号被盗的现象，而盗号对玩家来讲无疑是灭顶之灾，即便经过帐号找回机制拿回帐号，游戏帐号中的物品、装备、金钱也极可能已经被盗取，对玩家的利益形成重大损失。随之而来的，就是玩家的流失。

在游戏帐户登陆过程当中应用数据风控后，被盗帐号数量显著降低，大幅下降玩家因恶意盗号而产生重大损失的可能性。
推广活动
游戏行业竞争激烈，游戏公司也会投入大量金钱进行推广活动。然而，实际推广过程当中大量的推广费用被羊毛党经过恶意欺诈的方式所消耗，而推广活动的目标玩家却没法获得优惠，致使游戏公司巨额的推广费用都打了水漂。

在游戏推广活动过程当中应用数据风控后，恶意领用状况比例大幅降低，游戏公司花费的推广费用起到实质效果。

Web应用防火墙

游戏公司的官方网站页面是游戏的门户，也是游戏公司推出活动的宣传窗口，同时大多游戏公司也会在网站中提供社区功能供玩家进行交流。所以，对于游戏官方网站的安全防御也必不可少。另外，部分游戏直接以网页的形式（页游）供玩家进行游玩，对于这种状况，Web应用的防御更是重中之重。

产品简介

Web应用防火墙（WAF）基于云安全大数据能力，防护SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木立刻传、非受权核心资源访问等OWASP常见攻击，并过滤海量恶意CC攻击，避免您的资产数据泄露，保障网站或App业务的安全与可用性。

产品优点

相较业内同类产品，阿里云的 Web 应用防火墙具备如下优点：

稳定快速：国内BGP多线路节点容灾，智能最优路径，毫秒级响应。
专业安全：专业安全团队运营、最新0DAY漏洞 24 小时内防御；多维防御配置，保障CC防御效果。
贴近业务：特有业务风控防御，防爬、防刷、拒绝黄牛党。
报表丰富：提供详细的数据报表，快速全面了解业务当前安全情况。

移动安全

游戏行业另外一大安全威胁是破解、外挂，包括客户端破解和伪造数据包等风险。

游戏破解
破解客户端游戏程序，免费得到游戏内购，改变游戏设定。
内挂
经过破解游戏和数据包结构，逆向出或直接调用发包函数，改变正常游戏数据，实现超出正常玩家的水平和能力。
脱机挂
彻底脱离游戏客户端程序，但能够与游戏服务器自由通信的外挂程序。此类外挂对游戏的危害最大，严重破坏游戏平衡，缩短游戏运营周期。不管是手游仍是端游在被破解以后均可以作外挂，还可以经过破解协议报文模拟数据并发送到服务器上去，消耗游戏的资源使得正常玩家也没法进行游戏。
这类安全威胁，对游戏公司总体的安全架构的各方面来讲都是巨大的挑战。首先对于游戏客户端程序，须要具备明确的安全代码开发规范，保障客户端程序安全的健壮性。同时，数据包在客户端与游戏服务器之间的传输过程当中必须采用加密传输；而且在服务器端也须要部署完善的安全措施和安全能力。
首先针对客户端，手游客户端的安全问题随着移动游戏行业的大热，已经成为游戏公司不得不重视的关键点。

产品简介

阿里云移动安全（Mobile Security）基于阿里聚安全的核心技术，为游戏移动端应用（App）提供全生命周期的安全服务，准确发现游戏移动端应用的安全漏洞、恶意代码、仿冒应用等安全风险；经过应用加固和安全组件等功能，大幅提升应用反逆向、反破解能力。移动安全包含如下功能：

漏洞检测
依托阿里巴巴集团专利安全技术，提供深度静态检测、和业界先进的动态分析技术，查找代码后门及应用漏洞。
仿冒检测
对全网应用渠道进行持续监测，能够收集仿冒应用，二次打包等各类威胁，为用户提供仿冒应用数，装机量，资产损失等数据。
应用加固和安全组件
安全组件SDK提供的安全存储、安全加密、安全签名、安全检测等功能，可有效抵御游戏外挂、二次打包等风险，保障移动平台应用完整性、执行环境可信、数据机密性。
全网联动
实时联动全网安全事件、最新互联网及应用安全问题，动态调整安全防御策略。

产品优点

相较业内同类产品，阿里云的移动安全服务有以下优点：

强大的扫描能力
自主研发的恶意代码扫描引擎是AV-Test历史上最年轻的满分冠军，漏洞扫描引擎领先业界同类竞品一代以上，覆盖95%以上的已知漏洞，仿冒监测引擎实现全网覆盖。

强大的漏洞扫描能力能够帮助游戏公司发现游戏移动客户端存在的安全漏洞，大幅下降恶意攻击者利用漏洞破解游戏客户端的可能性。
淘宝同款防御技术
移动安全由应用加固和安全组件组成的内外结合的全方位安全防御技术应用于支付宝和淘宝等超级应用上，稳定性强、兼容性好、体积小，对移动应用几乎没有影响。

经过对手游客户端进行应用加固，并添加安全组件的方式，加强手游客户端程序安全的健壮性，进一步下降被破解的风险。
雄厚的人才积累
移动安全拥有多位业界重大影响力的白帽子，如Xfocus创始人，dex2jar做者，Black Hat /RSA特约Speaker，具备很是雄厚的技术实力。

手游客户端的反破解是游戏公司与黑客之间的攻防战，开放于应用市场的移动客户端可能遭受各类技术手段的破解尝试，而雄厚的安全技术实力正是移动端应用安全的强力后盾。
快速接入，可系统集成
全部服务均可以经过SaaS服务提供，方便企业用户可以简单快速接入，并可集成到自有系统中，实现自动化服务。

移动安全能够简单快速的接入手游客户端程序，将对游戏的开发、上线进度的影响降到最低，而且能够集成到游戏公司自有系统中，轻松完成移动应用的安全改造。
全生命周期风险管控
经过恶意代码扫描、漏洞扫描发现内在风险，经过应用加固、安全组件抵御外部攻击风险，经过仿冒检测快速掌握品牌风险。完整的风险管控流程，覆盖移动应用全生命周期的可能遇到的风险。

完整的全生命周期风险管控，帮助游戏公司在手游客户端应用的各个阶段实现安全加固，发现内在风险、抵御外部风险、掌握品牌风险。

应用场景

游戏公司自主研发

具有App自主开发能力的游戏公司，经过移动安全对已上线的版本进行漏洞扫描和仿冒检测，修复线上漏洞，举报封杀仿冒应用来源。在后续的新版本开发中，在开发阶段就接入移动安全的安全组件，在测试阶段进行漏洞扫描和修复，并在上线前进行应用加固，从内到外进行安全加强。移动App新版本上线一段时间后，不定时进行仿冒检测，掌握仿冒应用状况。

对第三方开发进行验收

对于委托第三方开发的游戏移动端App应用，游戏公司验收时没法及时发现App的安全问题，好比无心或有意使用了恶意代码，上线后可能蒙受巨大损失。所以，须要对已上线的应用进行漏洞扫描、仿冒检测、恶意代码扫描，及时排查修复线上问题。在后续的新版本的验收时，使用漏洞扫描和恶意代码扫描，及时发现安全隐患。

安骑士

加固移动客户端的安全以后，您更须要全面加固服务器端的安全能力，保障游戏业务的安全稳定。服务器常常面临着各种漏洞、木马后门、异常登陆等威胁，而任何一项风险事件被恶意攻击者利用都意味着用户信息、帐号数据、游戏数据等可能泄露或被恶意篡改。

产品简介

安骑士是一款服务器主机安全管理产品。经过安装在服务器上的轻量级Agent插件与云端防御中心的规则联动，实时感知和防护入侵事件，保障服务器的安全。

产品优点

相较业内同类产品，阿里云的安骑士具备如下优点：

集中安全管理：非单机版软件，在云端Web控制台统一管理全部服务器的安全状态。
资源占用极低：Agent插件正常资源仅占用 1%CPU 50MB内存如下。
实时安全监控：非触发式安全扫描，系统自动感知资产变化、实时检测漏洞和黑客行为。
一键安全处置：闭环安全，不只发现问题，还支持一键漏洞修复、一键病毒隔离，解决主机安全问题。

堡垒机

随着游戏的内容更新、新版本的发布，承载着游戏运行的这些服务器上常常会进行各种操做。同时，游戏服务器的运维也须要大批人员进行操做，一旦某个操做出现失误，每每带来巨大的损失，好比紧急停服维护在各种游戏运营过程当中都司空见惯。所以，对于游戏服务器上的操做须要慎之又慎，而且须要完善的服务器审计进行监控和记录，便于第一时间发现误操做，并对常常出现的失败操做进行分析改进。

产品简介

堡垒机主要是基于协议正向代理实现，对SSH、Windows远程桌面、SFTP等常见运维协议的数据流进行全程记录，再经过协议数据流重组的方式进行录像回放，达到运维审计的目的。

产品优点

相较业内同类产品，阿里云的堡垒机具备如下优点：

审计合规
知足《萨班斯法案》、金融监管、《等级保护》的审计要求。
高效易用
管理界面简洁易用，可快捷同步当前云帐号中的ECS列表。
多协议支持
支持SSH、Windows远程桌面、SFTP等常见运维协议。
追溯回放
追溯运维操做的故障，在线回放操做记录。

态势感知

游戏行业遭受的恶意攻击每每错综复杂，在被动采起各类安全防御措施以后，如何可以主动发现、预知攻击，才是更为领先的防护理念。再也不仅仅是头痛医头脚痛医脚的传统安全解决思路，而将整个安全数据进行总体分析，从更全面的角度看待本身当前面临的安全威胁，并预知可能发生的安全攻击。

产品简介

态势感知是一个大数据安全分析平台，能对您云上全部资产进行安全告警，并用机器学习来发现潜在的入侵和高隐蔽性攻击，回溯攻击历史，预测即将发生的安全事件。态势感知收集企业 20 种原始日志和网络空间威胁情报，利用机器学习还原已发生的攻击，并预测未发生的攻击，扩大安全可见性，并集中管理云上资产安全事件。

产品优点

安全事件告警和检索：包含了ECS，RDS等所有云上资产的告警，对安全事件进行实时监控和处理建议说明，并对告警事件进行分析和全文检索。
原始日志存储和检索：针对不一样版本，提供了7~180天内的原始日志检索功能，并提供逻辑表达式，知足自定义查询日志和分析的需求。
安全风险量化和预测：经过机器学习，把全量的日志进行精量化威胁分析，并经过资产依赖关系和攻击手段判断，预测潜在的安全风险。
提供安全可视化界面，全面+实时地感知安全问题。

先知计划

不一样的游戏环境、不一样的游戏运营方式可能存在着不一样的漏洞，借助专家群众的力量去发现自身全链路的安全问题，才是互联网思路的解决方式。

产品简介

先知平台提供私密的安全众测服务，可帮助游戏公司全面发现业务漏洞及风险，按效果付费。加入先知平台后，可自主发布奖励计划，激励先知平台的安全专家来测试和提交企业自身网站或业务系统的漏洞，保证安全风险能够快速进行响应和修复，防止形成更大的业务损失。相比传统渗透测试，先知具备测试效率高、测试人员多、测试效果好、性价比高等优点。

产品优点

相对于其余众测平台，先知平台有以下优点：

客户案例

案例一

游戏公司 A，其主要游戏业务是地方棋牌游戏，刚开始时发展很是迅速，可是却在2016年5月和6月份时被DDoS攻击打击得很是惨烈，使得其业务基本上没法开展而且接近倒闭边缘。

这时，阿里云向该游戏公司提供了游戏行业安全解决方案，而且将安全解决方案应用到了其整个游戏攻防体系中去。在4月份到11月份期间，经历了 2 次大型的攻击对抗。

第一次对抗发生在安全解决方案部署完成以后，黑客很快发现仅靠大流量攻击彻底打不下来，因而黑客开始破解游戏客户端，将游戏客户端破解以后就发现了游戏客户端中对于流量调度的原理，这样就可以把全部的 IP 防御节点所有找出来，以后对于找出的节点进行逐个打死。阿里云在第一轮对抗中作的就是将应用进行加密，并将逻辑进行混淆，这样就使得黑客难以在同一时间发现更多的节点的IP地址，而最多一次只能获取一个节点的IP。

在第二轮攻防中，黑客发现使用大流量攻击没法打下来，可是使用CC攻击却很是有效，因而他们使用CC攻击的手法去攻击登陆服务，当登陆服务受到攻击时就发现防护能力急剧降低，即使其余的游戏节点都正常也是无济于事，不能起到任何做用，因此阿里云此时推出了游戏安全网关的CC防御能力，使用游戏安全网关的CC防御以后即使是 500 万QPS也可以轻松防护。

案例二

2016年2月，游戏公司B在一个月的时间内连续被攻击了屡次，而且攻击流量超过了 400 G，而这个流量在2016年初时是很是高的，公司B一样也快被打挂了，此时阿里云帮助其启用了高防+游戏盾的安全解决方案，同时帮助该公司实现了态势感知和溯源，也帮其找到了在背后进行攻击的黑客并经过游戏公司报警，阿里云提供证据最后将犯罪嫌疑人捉拿归案，这也是反击能力的体现。

不少游戏公司被攻击以后每每是打不还手的，其实并非由于游戏公司脾气好，而是每每一般状况下游戏公司并不知道到底谁在发起攻击，因此若是客户拥有了溯源的能力就能够找到在背后对本身发起攻击的那我的并将其绳之以法，同时也将会为本身的业务赢得必定时间的安全发展时机。

总结与展望

本文档从行业背景、DDoS攻击分析、经常使用缓解DDoS攻击方法、阿里云游戏盾DDoS攻击解决方案以及阿里云游戏安全总体解决方案等多个方面进行了阐述，旨在为游戏行业的客户提供全面的安全解决方案。

阿里云游戏行业DDoS攻击解决方案——游戏盾，是阿里云的人工智能技术与调度算法在安全行业中的成功实践。

随着攻防进程的推动，网络层和接入层逐步壮大，游戏盾的风控模式，会逐步延展到各个行业中，创建起一张安全、可信的网络。在这张网络中，传输着干净的流量，而攻击被前置到网络的边缘处。全部的端，在接入这张网络时，都会通过风险控制的识别，同时网内的风控系统，也让恶意攻击者没法访问到他锁定的资源。

将来，以资源为基础的DDoS防御时代终将被打破，推出对DDoS真正免疫的风控架构，而这不只仅局限于游戏行业。