网络优化之游戏盾

游戏盾

什么是游戏盾

游戏盾是阿里云针对游戏行业面对的DDoS、CC攻击推出的针对性的网络安全解决方案，相比高防IP，除了能针对大型DDoS攻击（T级别）进行有效防护外，还具有完全解决游戏行业特有的TCP协议的CC攻击问题能力，防御成本更低，效果更好！

与传统单点防护DDoS防护方案相比，游戏盾用数据和算法来实现智能调度，将“正常玩家”流量和“黑客攻击”流量快速分流至不一样的节点，最大限度缓解大流量攻击；经过端到端加密，让模拟用户行为的小流量攻击也没法到达客户端。

游戏盾提供了一个只能由SDK接入的而且免疫DDoS/CC攻击的弹性安全网络。SDK经过服务本地化代理接入游戏盾的弹性安全网络，实现玩家（Token）由具体的游戏盾网络接入点（GroupName）访问防御目标（Dip）端口（Dport）的逻辑。经过服务SDK提供的服务本地化接口，将任意IP、端口的服务本地化，而且由SDK接管全部的通讯流量，进行调度和加密传输。

游戏盾架构

游戏盾由两大模块组成：

• 分布式抗D节点：经过分布式的抗D节点，游戏盾能够作到防护600G以上的攻击。
• 游戏安全网关：经过针对私有协议的解码，支持防护游戏行业特有的CC攻击。 游戏盾防护DDoS攻击的原理。

游戏盾防护DDoS攻击的原理

与普通的DDoS高防机房不一样，游戏盾并非经过海量的带宽硬抗攻击，而是经过分布式的抗D节点，将黑客的攻击进行有效的拆分和调度，使得攻击没法集中到某一个点上。同时基于SDK端数据、流量数据，能够经过动态的调度策略将黑客隔离！

游戏盾防护CC攻击的原理

游戏安全网关经过在用户业务和攻击者之间创建起一道游戏业务的防火墙，根据攻击者的TCP链接行为、游戏链接后的动态信息、全流量数据，准确分辨出真正的玩家和黑客。

• 游戏安全网关支持大数据分析，根据真实用户业务的特色分析出正常的玩家行为，从而直接拦截异常的客户端（协议非法）。且能够随时针对全国省份、海外的流量进行精确封禁，支持百万级的黑白名单。

• 游戏安全网关能够同SDK创建加密通讯隧道，全面接管客户端和服务端的网络通讯，仅放行通过SDK和游戏安全网关鉴权的流量，完全解决TCP协议层的CC攻击（模拟协议型攻击）。

产品特性

从单点防护到分层治理

分层而治，是解决这些问题的基础。全部资源的不对等，都是由于攻击方太容易找到目标，而防护方太容易成为目标。

分层而治中的“分”，表明流量的拆分、业务的拆分、和目标的拆分；让攻击者的成本和门槛增大，把用户成本控制到最低；“层”表明一种漏斗模型。之前，咱们都是用带宽去硬抗DDoS攻击，而在游戏盾中，咱们用最适合的‘武器’去作最擅长的事。

• 用户层（SDK）：用户层的数据老是不那么可信的，做为通讯的发起方，保护好本身是头等大事。

• 网络层（Selb）：网络的问题就交给专门的网络设备解决，不要再使用服务器硬扛了。

• 接入层（游戏安全网关）：还记得CC攻击的影响吗？接入层就是为了应对它准备的。在这一层，只处理用户行为，不处理业务。

• 业务层：真正的业务服务器必须好好保护，不能直接暴露，物理通路的隔离是相对比较好的选择。

游戏盾改变了DDoS攻防只是“拼带宽”的传统概念，成为针对游戏行业用户的总体风控方案。在游戏盾的风控理论下，只要咱们解决好用户端的问题，就能够解决无限大的DDoS攻击，从而达到攻防成本的平衡。

游戏盾的应用

为何用游戏盾？

咱们的服务器在国外，访问速度特别慢，超时的状况特别多，用户体验差，本着用户至上的价值观，咱们在这方面作了不少的努力，好比国内的4443域名，阿里高仿以及接下来咱们说到的游戏盾。咱们主要使用游戏盾加速类业务。

技术实现

1. App启动时，经过解析域名判断是否为国内流量

国内流量则初始化游戏盾，国外的流量不须要作处理

2. 根据用户偏好设置，是不是线上环境，是否国内等一系列条件设置的请求默认方式

在咱们App的首页侧边栏->设置->开启加速开关能够手动选择是否启用游戏盾

3. 每次网络请求前经过请求策略管理类实现基础域名的获取

每次发起网络请求以前会根据策略获取对应的基础域名，拼装地址而后才实际发起请求

4. 网络请求成功与失败都进行评分机制

请求结束会触发降级策略，默认分数为100，每失败一次-5，连续成功5次+5，低于60分就降级直到降级成为普通域名

5. app先后台切换以及评分机制重置、请求方式重置

6. 网络发生变化进行游戏盾port的更新

7. 提供用户手动关闭游戏盾加速方案入口。减小游戏盾方面的问题从而致使的风险

线路切换

游戏盾提供多地区上车点和下车点的组合来实现部分区域的传输加速效果。以下图：

可是，游戏盾提供的节点调度算法以安全防护为主，就近接入的调度算法也只能感知到客户端到上车点是否最快，这种机制和全链路是否最快存在很大的差别。因此，咱们须要按照实际业务要求自行设计加速方案即：线路切换。

在初始化游戏盾结束后，使用4个groupname获取IP地址和端口，获得4条线路，分别使用4条线路调用咱们的测速接口(htttps://xxx/timestamp)，根据结果选择延迟最小的线路做为默认请求线路。除此以外，还能够添加一个入口，让用户动态选择对应的线路。