欧美BBWHD老太大,丰满老太婆BBWBBWBBWBBW,老太BBWWBBWW高潮

  • <input id="wei8y"><center id="wei8y"></center></input>
    <option id="wei8y"></option>
  • 游戲行業DDoS攻擊解決方案

    2018-10-12 15:20:56

    1. 行業綜述

    根據全球游戲和全球移動互聯網行業第三方分析機構 Newzoo 的數據顯示:2017年上半年,中國以 275 億美元的游戲市場收入超過美國和日本,成為全球榜首。

    游戲行業的快速發展、高額的攻擊利潤、日趨激烈的行業競爭,讓中國游戲行業的進軍者們,每天都面臨業務和安全的雙重挑戰。

    游戲行業一直是競爭、攻擊最為復雜的一個“江湖”。 曾經多少充滿激情的創業團隊、玩法極具特色的游戲產品,被互聯網攻擊的問題扼殺在搖籃里;又有多少運營出色的游戲產品,因為遭受 DDoS 攻擊,而一蹶不振。

    1.1. DDoS 攻擊的危害

    阿里云安全發布的 2017 年上半年的游戲行業 DDoS 攻擊態勢報告中指出:2017年 1 月至 2017 年 6 月,游戲行業大于 300G 以上的攻擊超過 1800 次,攻擊最大峰值為 608G;游戲公司每月平均被攻擊次數高達 800 余次。

    目前,游戲行業因 DDoS 攻擊引發的危害主要集中在以下幾點:

    ?90%的游戲業務在被攻擊后的 2-3 天內會徹底下線。

    ?攻擊超過 2-3 天以上,玩家數量一般會從幾萬人下降至幾百人。

    ?遭受 DDoS 攻擊后,游戲公司日損失可達數百萬元。

    1.2. 為什么游戲行業是 DDoS 攻擊的重災區?

    據統計表明,超過 50%的 DDoS 和 CC 攻擊,都在針對游戲行業。游戲行業成

    為攻擊的重災區,主要有以下幾點原因:

    ?游戲行業的攻擊成本低,幾乎是防護成本的 1/N,攻防兩端極度不平衡。

    隨著攻擊方的手法日趨復雜、攻擊點的日趨增多,靜態防護策略已無法達到較好的效果,從而加劇了這種不平衡。

    ?游戲行業生命周期短。

    一款游戲從出生到消亡,大多只有半年的時間,如果抗不過一次大的攻擊,很可能就死在半路上。黑客也是瞄中了這一點,認定只要發起攻擊,游戲公司一定會給“保護費”。

    ?游戲行業對連續性的要求很高,需要 7×24 小時在線。

    因此如果受到 DDoS 攻擊,很容易會造成大量的玩家流失。在被攻擊的 2-3 天后,玩家數量從幾萬人掉到幾百人的事例屢見不鮮。

    ?游戲公司之間的惡性競爭,也加劇了針對行業的 DDoS 攻擊。

    1.3. 游戲行業的 DDoS 攻擊類型

    ?空連接

    攻擊者與服務器頻繁建立 TCP 連接,占用服務端的連接資源,有的會斷開、有的則一直保持??者B接攻擊就好比您開了一家飯館,“黑幫勢力”總是去排隊,

    但是并不消費,而此時正常的客人也會無法進去消費。

    ?流量型攻擊

    攻擊者采用 UDP 報文攻擊服務器的游戲端口,影響正常玩家的速度。用飯館的例子,即流量型攻擊相當于“黑幫勢力”直接把飯館的門給堵了。

    ?CC 攻擊

    攻擊者攻擊服務器的認證頁面、登錄頁面、游戲論壇等。用飯館的例子,CC 攻擊相當于,壞人霸占收銀臺結賬、霸占服務員點菜,導致正常的客人無法享受到服務。

    ?假人攻擊

    模擬游戲登錄和創建角色過程,造成服務器人滿為患,影響正常玩家。

    ?對玩家的 DDoS 攻擊

    針對對戰類游戲,攻擊對方玩家的網絡使其游戲掉線或者速度慢。

    ?對網關 DDoS 攻擊

    攻擊游戲服務器的網關,導致游戲運行緩慢。

    ?連接攻擊

    頻繁的攻擊服務器,發送垃圾報文,造成服務器忙于解碼垃圾數據。

    2. 游戲安全痛點

    ?業務投入大,生命周期短

    一旦出現若干天的業務中斷,將直接導致前期的投入化為烏有。

    ?缺少為安全而準備的資源

    游戲行業玩家多、數據庫和帶寬消耗大、基礎設施資源準備時間長,而安全需求往往沒有被游戲公司優先考慮。

    ?可被攻擊的薄弱點多

    網關、帶寬、數據庫、計費系統都可能成為游戲行業攻擊的突破口,相關的存儲系統、域名 DNS 系統、CDN 系統等也會遭受攻擊。

    ?涉及的協議種類多

    難以使用同一套防御模型去識別攻擊并加以防護,許多游戲服務器多用加密私有協議,難以用通用的挑戰機制進行驗證。

    ?實時性要求高,需要 7×24 小時在線

    業務不能中斷,成為 DDoS 攻擊容易奏效的理由。

    ?行業惡性競爭現象猖獗

    DDoS 攻擊成為打倒競爭對手的工具。

    3. 如何判斷已遭受 DDoS 攻擊?

    假定已排除線路和硬件故障的情況下,突然發現連接服務器困難、正在游戲的用戶掉線等現象,則說明您很有可能是遭受了 DDoS 攻擊。

    目前,游戲行業的 IT 基礎設施一般有 2 種部署模式:一種是采用云計算或者托管 IDC 模式,另外一種是自行部署網絡專線。無論是前者還是后者接入,正常情況下,游戲用戶都可以自由流暢地進入服務器并進行游戲娛樂。因此,如果突然出現以下幾種現象,可以基本判斷是“被攻擊”狀態:

    ?主機的 IN/OUT 流量較平時有顯著的增長。

    ?主機的 CPU 或者內存利用率出現無預期的暴漲。

    ?通過查看當前主機的連接狀態,發現有很多半開連接;或者是很多外部 IP 地址,都與本機的服務端口建立幾十個以上的 ESTABLISHED 狀態的連接,則說明遭到了 TCP 多連接攻擊。

    ?游戲客戶端連接游戲服務器失敗或者登錄過程非常緩慢。

    ?正在進行游戲的用戶突然無法操作、或者非常緩慢、或者總是斷線。

    4. 為什么選擇阿里云?

    資源統一管理

    面對快速發展的游戲業務,需要高效進行游戲運維和資源管理。

    ?阿里云超大規模數據中心遍布全球。

    ?統一賬號進行游戲運維和資源管理。

    ?全球統一的售前售后服務體系加本地化服務。

    穩定的國際網絡連通

    穩定、低延時的網絡是讓分布于全球不同國家/地區的玩家能順暢地體驗游戲、并進行公平 PK 的關鍵。

    ?高速通道打通阿里云全球數據中心,形成全球一張網。

    ?網絡質量 SLA 保障、超低延時。

    完善的產品支撐

    游戲行業的安全防護需要設計合理的邏輯架構和物理部署方案以滿足業務的安

    全需求,需要有成熟的安全產品體系支撐。

    ?全套的游戲行業安全參考架構和部署方案。

    ?完整的安全產品體系幫助解決游戲行業各種類型的 DDoS 攻擊問題。

    5. DDoS 攻擊緩解最佳實踐

    目前,有效緩解 DDoS 攻擊的方法可分為 3 大類:

    ?架構優化

    ?服務器加固

    ?商用的 DDoS 防護服務

    您可根據自己的預算和遭受攻擊的嚴重程度,來決定采用哪些安全措施。

    5.1. 架構優化

    在預算有限的情況下,建議您優先從自身架構的優化和服務器加固上下功夫,減緩 DDoS 攻擊造成的影響。

    軟件開發|云服務|IT系統集成

    5.1.1. 部署 DNS 智能解析

    通過智能解析的方式優化 DNS 解析,有效避免 DNS 流量攻擊產生的風險。同時,建議您托管多家 DNS 服務商。

    ?屏蔽未經請求發送的 DNS 響應信息

    典型的 DNS 交換信息是由請求信息組成的。DNS 解析器會將用戶的請求信息發送至 DNS 服務器中,在 DNS 服務器對查詢請求進行處理之后,服務器會將響應信息返回給 DNS 解析器。

    但值得注意的是,響應信息是不會主動發送的。服務器在沒有接收到查詢請求之前,就已經生成了對應的響應信息,這些回應就應被丟棄。

    ?丟棄快速重傳數據包

    即便是在數據包丟失的情況下,任何合法的 DNS 客戶端都不會在較短的時間間隔內向同一 DNS 服務器發送相同的 DNS 查詢請求。如果從相同 IP 地址發送至同一目標地址的相同查詢請求發送頻率過高,這些請求數據包可被丟棄。

    ?啟用 TTL

    如果 DNS 服務器已經將響應信息成功發送了,應該禁止服務器在較短的時間間隔內對相同的查詢請求信息進行響應。

    對于一個合法的 DNS 客戶端,如果已經接收到了響應信息,就不會再次發送相同的查詢請求。每一個響應信息都應進行緩存處理直到 TTL 過期。當 DNS 服務器遭遇大量查詢請求時,可以屏蔽掉不需要的數據包。

    ?丟棄未知來源的 DNS 查詢請求和響應數據

    通常情況下,攻擊者會利用腳本對目標進行分布式拒絕服務攻擊(DDoS 攻擊),而且這些腳本通常是有漏洞的。因此,在服務器中部署簡單的匿名檢測機制,在某種程度上可以限制傳入服務器的數據包數量。

    ?丟棄未經請求或突發的 DNS 請求

    這類請求信息很可能是由偽造的代理服務器所發送的,或是由于客戶端配置錯誤或者是攻擊流量。無論是哪一種情況,都應該直接丟棄這類數據包。

    非泛洪攻擊 (non-flood) 時段,可以創建一個白名單,添加允許服務器處理的合法請求信息。白名單可以屏蔽掉非法的查詢請求信息以及此前從未見過的數據包。

    這種方法能夠有效地保護服務器不受泛洪攻擊的威脅,也能保證合法的域名服務器只對合法的 DNS 查詢請求進行處理和響應。

    ?啟動 DNS 客戶端驗證

    偽造是 DNS 攻擊中常用的一種技術。如果設備可以啟動客戶端驗證信任狀,便可以用于從偽造泛洪數據中篩選出非泛洪數據包。

    ?對響應信息進行緩存處理

    如果某一查詢請求對應的響應信息已經存在于服務器的 DNS 緩存之中,緩存可以直接對請求進行處理。這樣可以有效地防止服務器因過載而發生宕機。

    ?使用 ACL 的權限

    很多請求中包含了服務器不具有或不支持的信息,可以進行簡單的阻斷設置。例如,外部 IP 地址請求區域轉換或碎片化數據包,直接將這類請求數據包丟棄。

    ?利用 ACL,BCP38 及 IP 信譽功能

    托管 DNS 服務器的任何企業都有用戶軌跡的限制,當攻擊數據包被偽造,偽造請求來自世界各地的源地址。設置一個簡單的過濾器可阻斷不需要的地理位置的IP 地址請求或只允許在地理位置白名單內的 IP 請求。

    同時,也存在某些偽造的數據包可能來自與內部網絡地址的情況,可以利用BCP38 通過硬件過濾清除異常來源地址的請求。

    5.1.2. 部署負載均衡

    通過部署負載均衡(SLB)服務器有效減緩 CC 攻擊的影響。通過在 SLB 后端負載多臺服務器的方式,對 DDoS 攻擊中的 CC 攻擊進行防護。

    部署負載均衡方案后,不僅具有 CC 攻擊防護的作用,也能將訪問用戶均衡分配到各個服務器上,減少單臺服務器的負擔,加快訪問速度。

    5.1.3. 使用專有網絡

    通過網絡內部邏輯隔離,防止來自內網肉雞的攻擊。

    5.1.4. 提供余量帶寬

    通過服務器性能測試,評估正常業務環境下能承受的帶寬和請求數,確保流量通道不止是日常的量,有一定的帶寬余量可以有利于處理大規模攻擊。

    5.2. 服務器安全加固

    .......

    電話咨詢
    郵件咨詢
    在線地圖
    QQ客服
    欧美BBWHD老太大,丰满老太婆BBWBBWBBWBBW,老太BBWWBBWW高潮