【技术贴】棋牌安全运维以及防御D&C

原创 棋牌源码  2018-07-19 14:12:57  阅读 213 次 评论 0 条
  • 摘要:

    【技术贴】棋牌安全运维以及防御D&C_IDC-唐糖_新浪博客,IDC-唐糖,

    17年可以说是棋牌游戏的元年,18年是棋牌游戏的爆发年,也是棋牌游戏竞争最激烈的一年。

    在竞争非常激烈的棋牌市场中,各种类型的棋牌游戏依然层出不穷,从金币到房卡模式比比皆是,棋牌运营公司在激烈的市场竞争中存活率也越来越低,问题无非关乎运营安全和运维安全,所以笔者将在本文中详细分析。

    前几天一条新闻 德州扑克网游涉案上亿元 杭州公安勇斗“战鱼”抓获上百人映入眼帘,金币类棋牌的受众面会比房卡类更广,玩家门槛也更低,但是平台一旦参与金币的回购或者抽取佣金,那么就涉嫌赌博了。

    法律鉴别赌博主要参考以下情况

    • 平台是否抽取佣金。

    • 运营的公司可以发行(出售)虚拟币,但不能回收(回购)虚拟币

    区块链如何改变棋牌游戏涉赌困局?

    • 基于区块链实现去中心化和高度匿名的分布式钱包和记账,游戏平台无需提供虚拟币的发行和法币兑换服务;

    • 基于区块链的虚拟币可在个人投资者之间流通,国内外已经有非常成熟的OTC和C2C交易平台,实现个人对个人的虚拟币的买卖;

    • 棋牌融合区块链后可以基于虚拟币实现全球流通,并杜绝金币模式的法律风险,因为金币只在平台或中间商或者玩家之间流通。

    总结安全运营一句话: 棋牌运营公司不要碰RMB兑换虚拟币,否则就是赌博;棋牌代理商和中间商不要碰RMB兑换虚拟币,因为这也是赌博。

    只有基于区块链的虚拟币具备全球流通性的时候,玩家或投资者通过OTC和C2C模式买入和卖出,那叫做投资虚拟币。所以笔者非常期待2018年能够有游戏厂商基于区块链实现棋牌游戏新模式,一旦区块链模式的棋牌市场化成功,无疑将引爆新一轮的棋牌热潮。

    【技术贴】棋牌安全运维以及防御D&C  第1张

    这种攻击很多IDC机房都采用硬件防火墙和空余的IDC下行带宽进行硬抗,但是效果往往不太好,对于用户来说防御的付出成本和防御的收益连1:1都难做到。

    于是很多棋牌游戏公司被各种高防IDC机房骗了一波学费后开始变聪明了,比如同时购买多台便宜的300G防护的服务器,然后通过智能DNS或游戏列表实现并联防御,达到300G * 4 = 1200G防御的目的。

    但是,IDC机房也不是傻子,如果你的4台300G服务器在同一个高防IDC机房买的话,一旦这4台服务器都遭受200G左右的DDoS攻击,IDC机房一样封掉你的服务器。别问我为什么知道,因为这和成本息息相关,IDC机房也是会算账的。

    那或许你会说我可以分多个IDC机房买4台300G防御的服务器啊!

    这个确实可以,但是黑客也不笨,对于黑客来讲,可以通过抓包的方式获取4台300G防御的服务器,然后一台一台的攻击过去,这非常有效,一旦4台服务器被IDC机房封禁后,接下来的几个小时你的游戏玩家就遭殃了。

    到了这一步很多棋牌公司选择也不多了,要么选择昂贵的阿里云的高防解决方案,要么就购买IDC机房更高规格的防护。

    如果攻击在10-20G左右,阿里云这种高防方案的价格对于大部分棋牌游戏公司是可以接受的,但是真到了百G级别或者T级别的DDoS攻击,选择阿里云的棋牌公司也一定是年利润5000万到2亿以上的公司。

    当你选择购买IDC机房的更高防护能力的时候,你会发现虽然服务器没被封禁,但是为什么每次棋牌游戏被攻击玩家都抱怨牌打不出去,要么频繁掉线。

    这个和硬件防火墙的算法有关系,99.99%的IDC机房都不具备硬件防火墙的研发能力,所以IDC机房都选择购买商用防火墙,例如X盾,ChiXXDDoS,X盟这些硬件防火墙。

    而各家棋牌游戏的数据通信方式和规范都不一样,商用化的硬件防火墙不可能对这种非通用化的业务做到100%的安全防护,所以就会出现上面说的情况,服务器没被IDC封禁,但是玩家就是没办法好好的玩耍。

    那推广期和成长期的棋牌游戏公司如何防御高达百Gbps和Tbps级别的DDoS攻击,并且保障玩家游戏体验不卡顿,不掉线呢?

    其实趋于完美的解决方案是有的,在笔者给出方案之前还是先听笔者在介绍棋牌游戏的另一个杀手,CC攻击!

    CC攻击

    向游戏网关发送高度模拟的游戏连接数据,拖死棋牌游戏服务器

    刚介绍了流量型DDoS攻击后,笔者再来给棋牌游戏和普通的高防IDC机房泼冷水。

    大部分文章只介绍了普通的CC攻击:

    • TCP空连接攻击;

    • 垃圾报文和畸形报文攻击。

    以上两种CC攻击可以通过硬件防火墙的一些防御策略,比如限制连接数,对报文里的一些固定特征做检测,可以在一定程度上防护普通的CC攻击,但是也会带来极高的误杀率,通常会高达20%以上。

    而2017年6月,新型僵尸网络,暗云3就已经具备了针对棋牌游戏的新型CC和DDoS攻击能力,并且每一次暗云发动的DDoS攻击能高达900Gbps!

    详情看FreeBuf的分析和报道: http://www.freebuf.com/articles/network/137156.html

    笔者在这里简单归纳一下这种新型攻击的危害和特点:

    • 僵尸网络的Slave内置Lua引擎,可以对所有棋牌游戏的业务逻辑进行模拟,例如模拟登陆,注册,进入房间,模拟游戏玩家的游戏数据;

    • 模块化设计,可以根据不同的棋牌游戏,下发不同的攻击逻辑,攻击数据和报文完全和正常玩家一致,硬件防火墙根本无从检测和防御。

    下图的Lua脚本中,暗云3支持模拟登录挤爆游戏服务器,在棋牌游戏运营者看来这和普通用户行为是无异的,对于服务器表现就是有数千万玩家同时尝试登录服务器或尝试创建房间等行为。

    【技术贴】棋牌安全运维以及防御D&C  第2张

    单从上面这两种危害来说,只要被盯上,基本上会被抹杀,成为棋牌游戏竞争中的牺牲品。

    针对黑客模拟游戏数据对游戏进行CC攻击,笔者觉得,棋牌开发者可以将传输的数据报文进行加密处理,这样黑客就很难抓包在分析游戏的传输数据,这样子也就没办法模拟玩家行为进行CC攻击。

    讲了CC攻击后,也来说说如何判断是否被CC攻击。

    通常被CC攻击后,服务器的连接数会特别高,可以通过netstat -an命令来查看当前服务器的连接数,如果连接数突然高出平时几十倍的话那么一定就是遭受了CC攻击。

    如何防御

    棋牌游戏如何防御DDoS和CC攻击?

    笔者在这里详细介绍下棋牌游戏如何防御DDoS和CC攻击。

    对于棋牌游戏和其他类似的在线游戏的攻击防御,无非就是要保障游戏服务器遭受DDoS攻击期间,正常的玩家能够流畅的进行游戏,游戏期间保障游戏不卡顿,不掉线。

    这里笔者介绍一下针对在线游戏而生的DDoS攻击防御解决方案——上层云清洗加定制版端口协议攻击


    【技术贴】棋牌安全运维以及防御D&C  第3张




    群联是目前在线游戏防御DDoS攻击的最佳实践,为什么说是最佳实践?

    因为群联在全球拥有30多个DDoS Scrubbing Center,目前群联的全网DDoS防御能力高达10Tbps+,下面列出一些群联的武林绝学:

    1. 业务流量价值分层 [优先保障高价值流量的防御效果]

    2. 无感风控和可信源认证 [彻底防御各种类型的CC攻击]

    3. PacketDNA [彻底清洗各种类型的DDoS攻击]

    4. 流量压制 [允许自主压制国外或国内各个地市的流量]

    5. 传输加密 [阻断流量嗅探和外挂重发非法数据包]

    6. 全球同服务 [全球连接延迟低于20ms]

    群联将带来的棋牌游戏防御变革:

    1. 绿盟黑洞防火墙(无视一切CC和DDOS攻击)

    2、全自动调整防护,拦截一切已知攻击

    3、专业网络防护工程师秒响应处理、保姆式技术服务

    4、7*24小时系统全程监控站点运行状态,专人值守!

    5、提供真机IP测试,攻击压力测试


    虽然群联的DDoS解决方案十分强大,但是不管笔者怎么说,最终的防护效果还要由用户说了算。

    具体测试请加QQ:115332863 注明: 申请群联云盾测试或扶持。

    关于群联云盾DDoS攻击防御解决方案的白皮书也请联系QQ或者加下方微信索要。


    【技术贴】棋牌安全运维以及防御D&C  第4张

    本文地址:http://www.6603.com.cn/post/193.html
    版权声明:本文为原创文章,版权归 棋牌源码 所有,欢迎分享本文,转载请保留出处!
  • 发表评论


    表情

    还没有留言,还不快点抢沙发?