最新消息:付费点第二版更新中!投稿联系点点妹qq:707783888,收购求职请联系肥肥qq:1307435

【技术贴】棋牌安全运维以及防御D&C

产品交流 437浏览 0评论

16年可以说是棋牌游戏的元年,17是棋牌游戏的爆发年,也是棋牌游戏竞争最激烈的一年。

在竞争非常激烈的棋牌市场中,各种类型的棋牌游戏依然层出不穷,从金币到房卡模式比比皆是,棋牌运营公司在激烈的市场竞争中存活率也越来越低,问题无非关乎运营安全和运维安全,所以笔者将在本文中详细分析。

前几天一条新闻 德州扑克网游涉案上亿元 杭州公安勇斗“战鱼”抓获上百人映入眼帘,金币类棋牌的受众面会比房卡类更广,玩家门槛也更低,但是平台一旦参与金币的回购或者抽取佣金,那么就涉嫌赌博了。

法律鉴别赌博主要参考以下情况

  • 平台是否抽取佣金。
  • 运营的公司可以发行(出售)虚拟币,但不能回收(回购)虚拟币

区块链如何改变棋牌游戏涉赌困局?

  • 基于区块链实现去中心化和高度匿名的分布式钱包和记账,游戏平台无需提供虚拟币的发行和法币兑换服务;
  • 基于区块链的虚拟币可在个人投资者之间流通,国内外已经有非常成熟的OTC和C2C交易平台,实现个人对个人的虚拟币的买卖;
  • 棋牌融合区块链后可以基于虚拟币实现全球流通,并杜绝金币模式的法律风险,因为金币只在平台或中间商或者玩家之间流通。

总结安全运营一句话: 棋牌运营公司不要碰RMB兑换虚拟币,否则就是赌博;棋牌代理商和中间商不要碰RMB兑换虚拟币,因为这也是赌博。

只有基于区块链的虚拟币具备全球流通性的时候,玩家或投资者通过OTC和C2C模式买入和卖出,那叫做投资虚拟币。所以笔者非常期待2018年能够有游戏厂商基于区块链实现棋牌游戏新模式,一旦区块链模式的棋牌市场化成功,无疑将引爆新一轮的棋牌热潮。

区块链棋牌技术

安全运维

DDoS攻击: 棋牌游戏甩不掉的噩梦

刚笔者说非常看好融合区块链技术的棋牌游戏,但是融合区块链技术后的棋牌游戏运维难度更高,对于棋牌游戏开发者的技术挑战也跟高。比如棋牌游戏如何防御DDoS攻击也成为了不少棋牌运营公司的首要技术挑战。

那笔者就在这里介绍下棋牌游戏容易遭受的DDoS攻击类型和防御实践。

流量攻击

百Gbps级别到Tbps级别的大流量攻击已经是常态

棋牌游戏竞争已经非常激烈了,所以棋牌游戏也是最容易遭受大规模DDoS攻击的目标之一。

下图展示的DDoS软件,操作简单,攻击模式模式12多种。

ddos攻击展示

关于流量型的DDoS攻击,笔者听得最多的一句话就是“DDoS攻击理论上是无法防护的”。

这句话不假,DDoS攻击理论上是无法防护的,就看攻击方和防御方谁的带宽更大。

如果IDC利用他们400G的防御带宽为你防护了200G的攻击,那么,当攻击者下次拿500G攻击来的话,你的用户就无法登陆你的棋牌游戏愉快玩耍了。

比如下面的一波攻击,高达632Gbps

这种攻击很多IDC机房都采用硬件防火墙和空余的IDC下行带宽进行硬抗,但是效果往往不太好,对于用户来说防御的付出成本和防御的收益连1:1都难做到。

于是很多棋牌游戏公司被各种高防IDC机房骗了一波学费后开始变聪明了,比如同时购买多台便宜的300G防护的服务器,然后通过智能DNS或游戏列表实现并联防御,达到300G * 4 = 1200G防御的目的。

但是,IDC机房也不是傻子,如果你的4台300G服务器在同一个高防IDC机房买的话,一旦这4台服务器都遭受200G左右的DDoS攻击,IDC机房一样封掉你的服务器。别问我为什么知道,因为这和成本息息相关,IDC机房也是会算账的。

那或许你会说我可以分多个IDC机房买4台300G防御的服务器啊!

这个确实可以,但是黑客也不笨,对于黑客来讲,可以通过抓包的方式获取4台300G防御的服务器,然后一台一台的攻击过去,这非常有效,一旦4台服务器被IDC机房封禁后,接下来的几个小时你的游戏玩家就遭殃了。

到了这一步很多棋牌公司选择也不多了,要么选择昂贵的阿里云的高防解决方案,要么就购买IDC机房更高规格的防护。

如果攻击在10-20G左右,阿里云这种高防方案的价格对于大部分棋牌游戏公司是可以接受的,但是真到了百G级别或者T级别的DDoS攻击,选择阿里云的棋牌公司也一定是年利润5000万到2亿以上的公司。

当你选择购买IDC机房的更高防护能力的时候,你会发现虽然服务器没被封禁,但是为什么每次棋牌游戏被攻击玩家都抱怨牌打不出去,要么频繁掉线。

这个和硬件防火墙的算法有关系,99.99%的IDC机房都不具备硬件防火墙的研发能力,所以IDC机房都选择购买商用防火墙,例如X盾,ChiXXDDoS,X盟这些硬件防火墙。

而各家棋牌游戏的数据通信方式和规范都不一样,商用化的硬件防火墙不可能对这种非通用化的业务做到100%的安全防护,所以就会出现上面说的情况,服务器没被IDC封禁,但是玩家就是没办法好好的玩耍。

那推广期和成长期的棋牌游戏公司如何防御高达百Gbps和Tbps级别的DDoS攻击,并且保障玩家游戏体验不卡顿,不掉线呢?

其实趋于完美的解决方案是有的,在笔者给出方案之前还是先听笔者在介绍棋牌游戏的另一个杀手,CC攻击!

CC攻击

向游戏网关发送高度模拟的游戏连接数据,拖死棋牌游戏服务器

刚介绍了流量型DDoS攻击后,笔者再来给棋牌游戏和普通的高防IDC机房泼冷水。

大部分文章只介绍了普通的CC攻击:

  • TCP空连接攻击;
  • 垃圾报文和畸形报文攻击。

以上两种CC攻击可以通过硬件防火墙的一些防御策略,比如限制连接数,对报文里的一些固定特征做检测,可以在一定程度上防护普通的CC攻击,但是也会带来极高的误杀率,通常会高达20%以上。

而2017年6月,新型僵尸网络,暗云3就已经具备了针对棋牌游戏的新型CC和DDoS攻击能力,并且每一次暗云发动的DDoS攻击能高达900Gbps!

详情看FreeBuf的分析和报道: http://www.freebuf.com/articles/network/137156.html

笔者在这里简单归纳一下这种新型攻击的危害和特点:

  • 僵尸网络的Slave内置Lua引擎,可以对所有棋牌游戏的业务逻辑进行模拟,例如模拟登陆,注册,进入房间,模拟游戏玩家的游戏数据;
  • 模块化设计,可以根据不同的棋牌游戏,下发不同的攻击逻辑,攻击数据和报文完全和正常玩家一致,硬件防火墙根本无从检测和防御。

下图的Lua脚本中,暗云3支持模拟登录挤爆游戏服务器,在棋牌游戏运营者看来这和普通用户行为是无异的,对于服务器表现就是有数千万玩家同时尝试登录服务器或尝试创建房间等行为。

单从上面这两种危害来说,只要被盯上,基本上会被抹杀,成为棋牌游戏竞争中的牺牲品。

针对黑客模拟游戏数据对游戏进行CC攻击,笔者觉得,棋牌开发者可以将传输的数据报文进行加密处理,这样黑客就很难抓包在分析游戏的传输数据,这样子也就没办法模拟玩家行为进行CC攻击。

讲了CC攻击后,也来说说如何判断是否被CC攻击。

通常被CC攻击后,服务器的连接数会特别高,可以通过netstat -an命令来查看当前服务器的连接数,如果连接数突然高出平时几十倍的话那么一定就是遭受了CC攻击。

如何防御

棋牌游戏如何防御DDoS和CC攻击?

笔者在这里详细介绍下棋牌游戏如何防御DDoS和CC攻击。

对于棋牌游戏和其他类似的在线游戏的攻击防御,无非就是要保障游戏服务器遭受DDoS攻击期间,正常的玩家能够流畅的进行游戏,游戏期间保障游戏不卡顿,不掉线。

这里笔者介绍一下针对在线游戏而生的DDoS攻击防御解决方案——云御。

云御是极御(StopDDoS)旗下的DDoS攻击解决方案。

云御是目前在线游戏防御DDoS攻击的最佳实践,为什么说是最佳实践?

因为云御在全球拥有30多个DDoS Scrubbing Center,目前云御的全网DDoS防御能力高达10Tbps+,下面列出一些云御的武林绝学:

  1. 业务流量价值分层 [优先保障高价值流量的防御效果]
  2. 无感风控和可信源认证 [彻底防御各种类型的CC攻击]
  3. PacketDNA [彻底清洗各种类型的DDoS攻击]
  4. 流量压制 [允许自主压制国外或国内各个地市的流量]
  5. 传输加密 [阻断流量嗅探和外挂重发非法数据包]
  6. 全球同服务 [全球连接延迟低于20ms]

云御将带来的棋牌游戏防御变革:

  1. 大流量攻击情况下玩家游戏体验不卡顿,不掉线
  2. 弹性计费,无攻击就无防御费用
  3. 攻击防护可按次付费
  4. 支持UDP和TCP攻击的完美防护

云御是目前唯一支持无攻击的时候无防护保底费用,遭受攻击后按次付费的在线游戏防护解决方案。

虽然云御的DDoS解决方案十分强大,但是不管笔者怎么说,最终的防护效果还要由用户说了算。

所以笔者联合极御为大家争取到了免费7-30天的云御DDoS防护测试体验。

具体测试请加QQ: 40306356 注明: 申请云御测试或扶持。

关于云御DDoS攻击防御解决方案的白皮书也请联系QQ索要。

笔者将在下期分享棋牌游戏面临的DNS攻击和支付接口攻击等案例。

 

付费点登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述,互联网棋牌有风险,投资需谨慎!

付费点二维码

扫描二维码,关注  付费点(fufeidian)  公众号

转载请注明:付费点 » 【技术贴】棋牌安全运维以及防御D&C

发表我的评论
取消评论
表情