阿里雲：遊戲行業DDoS攻擊解決方案

時間 2019-11-13

標籤阿里遊戲行業 ddos 攻擊解決方案欄目阿里巴巴简体版

原文原文鏈接

轉自：http://www.gamelook.com.cn/2018/01/319420前端

根據全球遊戲和全球移動互聯網行業第三方分析機構Newzoo的數據顯示：2017年上半年，中國以275億美圓的遊戲市場收入超過美國和日本，成爲全球榜首。算法

遊戲行業的快速發展、高額的攻擊利潤、日趨激烈的行業競爭，讓中國遊戲行業的進軍者們，天天都面臨業務和安全的雙重挑戰。數據庫

遊戲行業一直是競爭、攻擊最爲複雜的一個江湖。曾經多少充滿激情的創業團隊、玩法極具特點的遊戲產品，被互聯網攻擊的問題扼殺在搖籃裏；又有多少運營出色的遊戲產品，由於遭受DDoS攻擊，而一蹶不振。後端

DDoS攻擊的危害緩存

阿里雲安全發佈的2017年上半年的遊戲行業DDoS攻擊態勢報告中指出：2017年1月至2017年6月，遊戲行業大於300G以上的攻擊超過1800次，攻擊最大峯值爲608G；遊戲公司每個月平均被攻擊次數高達800餘次。安全

目前，遊戲行業因DDoS攻擊引起的危害主要集中在如下幾點：服務器

90%的遊戲業務在被攻擊後的2-3天內會完全下線。
攻擊超過2-3天以上，玩家數量通常會從幾萬人降低至幾百人。
遭受DDoS攻擊後，遊戲公司日損失可達數百萬元。

爲何遊戲行業是DDoS攻擊的重災區？網絡

據統計代表，超過50%的DDoS和CC攻擊，都在針對遊戲行業。遊戲行業成爲攻擊的重災區，主要有如下幾點緣由：架構

遊戲行業的攻擊成本低，幾乎是防禦成本的1/N，攻防兩端極度不平衡。
隨着攻擊方的手法日趨複雜、攻擊點的日趨增多，靜態防禦策略已沒法達到較好的效果，從而加重了這種不平衡。併發
遊戲行業生命週期短。
一款遊戲從出生到消亡，大多隻有半年的時間，若是抗不過一次大的攻擊，極可能就死在半路上。黑客也是瞄中了這一點，認定只要發起攻擊，遊戲公司必定會給保護費。
遊戲行業對連續性的要求很高，須要7×24小時在線。
所以若是受到DDoS攻擊，很容易會形成大量的玩家流失。在被攻擊的2-3天后，玩家數量從幾萬人掉到幾百人的事例家常便飯。
遊戲公司之間的惡性競爭，也加重了針對行業的DDoS攻擊。

遊戲行業的DDoS攻擊類型

空鏈接
攻擊者與服務器頻繁創建TCP鏈接，佔用服務端的鏈接資源，有的會斷開、有的則一直保持。空鏈接攻擊就比如您開了一家飯館，黑幫勢力老是去排隊，可是並不消費，而此時正常的客人也會沒法進去消費。
流量型攻擊
攻擊者採用UDP報文攻擊服務器的遊戲端口，影響正常玩家的速度。用飯館的例子，即流量型攻擊至關於黑幫勢力直接把飯館的門給堵了。
CC攻擊
攻擊者攻擊服務器的認證頁面、登陸頁面、遊戲論壇等。仍是用飯館的例子，CC攻擊至關於，壞人霸佔收銀臺結帳、霸佔服務員點菜，致使正常的客人沒法享受到服務。
假人攻擊
模擬遊戲登陸和建立角色過程，形成服務器人滿爲患，影響正常玩家。
對玩家的DDoS攻擊
針對對戰類遊戲，攻擊對方玩家的網絡使其遊戲掉線或者速度慢。
對網關DDoS攻擊
攻擊遊戲服務器的網關，致使遊戲運行緩慢。
鏈接攻擊
頻繁的攻擊服務器，發送垃圾報文，形成服務器忙於解碼垃圾數據。

遊戲安全痛點

業務投入大，生命週期短
一旦出現若干天的業務中斷，將直接致使前期的投入化爲烏有。
缺乏爲安全而準備的資源
遊戲行業玩家多、數據庫和帶寬消耗大、基礎設施資源準備時間長，而安全需求每每沒有被遊戲公司優先考慮。
可被攻擊的薄弱點多
網關、帶寬、數據庫、計費系統均可能成爲遊戲行業攻擊的突破口，相關的存儲系統、域名DNS系統、CDN系統等也會遭受攻擊。
涉及的協議種類多
難以使用同一套防護模型去識別攻擊並加以防禦，許多遊戲服務器多用加密私有協議，難以用通用的挑戰機制進行驗證。
實時性要求高，須要7×24小時在線
業務不能中斷，成爲DDoS攻擊容易奏效的理由。
行業惡性競爭現象猖獗
DDoS攻擊成爲打倒競爭對手的工具。

如何判斷已遭受DDoS攻擊？

假定已排除線路和硬件故障的狀況下，忽然發現鏈接服務器困難、正在遊戲的用戶掉線等現象，則說明您頗有多是遭受了DDoS攻擊。

目前，遊戲行業的IT基礎設施通常有 2 種部署模式：一種是採用雲計算或者託管IDC模式，另一種是自行部署網絡專線。不管是前者仍是後者接入，正常狀況下，遊戲用戶均可以自由流暢地進入服務器並進行遊戲娛樂。所以，若是忽然出現如下幾種現象，能夠基本判斷是被攻擊狀態：

主機的IN/OUT流量較平時有顯著的增加。
主機的CPU或者內存利用率出現無預期的暴漲。
經過查看當前主機的鏈接狀態，發現有不少半開鏈接；或者是不少外部IP地址，都與本機的服務端口創建幾十個以上的ESTABLISHED狀態的鏈接，則說明遭到了TCP多鏈接攻擊。
遊戲客戶端鏈接遊戲服務器失敗或者登陸過程很是緩慢。
正在進行遊戲的用戶忽然沒法操做、或者很是緩慢、或者老是斷線。

DDoS攻擊緩解最佳實踐

目前，有效緩解DDoS攻擊的方法可分爲 3 大類：

架構優化
服務器加固
商用的DDoS防禦服務

您可根據本身的預算和遭受攻擊的嚴重程度，來決定採用哪些安全措施。

架構優化

在預算有限的狀況下，建議您優先從自身架構的優化和服務器加固上下功夫，減緩DDoS攻擊形成的影響。

部署DNS智能解析

經過智能解析的方式優化DNS解析，有效避免DNS流量攻擊產生的風險。同時，建議您託管多家DNS服務商。

屏蔽未經請求發送的DNS響應信息
典型的DNS交換信息是由請求信息組成的。DNS解析器會將用戶的請求信息發送至DNS服務器中，在DNS服務器對查詢請求進行處理以後，服務器會將響應信息返回給DNS解析器。

但值得注意的是，響應信息是不會主動發送的。服務器在沒有接收到查詢請求以前，就已經生成了對應的響應信息，這些迴應就應被丟棄。
丟棄快速重傳數據包
即使是在數據包丟失的狀況下，任何合法的DNS客戶端都不會在較短的時間間隔內向同一DNS服務器發送相同的DNS查詢請求。若是從相同IP地址發送至同一目標地址的相同查詢請求發送頻率太高，這些請求數據包可被丟棄。
啓用TTL
若是DNS服務器已經將響應信息成功發送了，應該禁止服務器在較短的時間間隔內對相同的查詢請求信息進行響應。

對於一個合法的DNS客戶端，若是已經接收到了響應信息，就不會再次發送相同的查詢請求。每個響應信息都應進行緩存處理直到TTL過時。當DNS服務器遭遇大量查詢請求時，能夠屏蔽掉不須要的數據包。
丟棄未知來源的DNS查詢請求和響應數據
一般狀況下，攻擊者會利用腳本對目標進行分佈式拒絕服務攻擊（DDoS攻擊），並且這些腳本一般是有漏洞的。所以，在服務器中部署簡單的匿名檢測機制，在某種程度上能夠限制傳入服務器的數據包數量。
丟棄未經請求或突發的DNS請求
這類請求信息極可能是由僞造的代理服務器所發送的，或是因爲客戶端配置錯誤或者是攻擊流量。不管是哪種狀況，都應該直接丟棄這類數據包。

非泛洪攻擊 (non-flood) 時段，能夠建立一個白名單，添加容許服務器處理的合法請求信息。白名單能夠屏蔽掉非法的查詢請求信息以及此前從未見過的數據包。

這種方法可以有效地保護服務器不受泛洪攻擊的威脅，也能保證合法的域名服務器只對合法的DNS查詢請求進行處理和響應。
啓動DNS客戶端驗證
僞造是DNS攻擊中經常使用的一種技術。若是設備能夠啓動客戶端驗證信任狀，即可以用於從僞造泛洪數據中篩選出非泛洪數據包。
對響應信息進行緩存處理
若是某一查詢請求對應的響應信息已經存在於服務器的DNS緩存之中，緩存能夠直接對請求進行處理。這樣能夠有效地防止服務器因過載而發生宕機。
使用ACL的權限
不少請求中包含了服務器不具備或不支持的信息，能夠進行簡單的阻斷設置。例如，外部IP地址請求區域轉換或碎片化數據包，直接將這類請求數據包丟棄。
利用ACL，BCP38及IP信譽功能
託管DNS服務器的任何企業都有用戶軌跡的限制，當攻擊數據包被僞造，僞造請求來自世界各地的源地址。設置一個簡單的過濾器可阻斷不須要的地理位置的IP地址請求或只容許在地理位置白名單內的IP請求。

同時，也存在某些僞造的數據包可能來自與內部網絡地址的狀況，能夠利用BCP38經過硬件過濾清除異常來源地址的請求。

部署負載均衡

經過部署負載均衡（SLB）服務器有效減緩CC攻擊的影響。經過在SLB後端負載多臺服務器的方式，對DDoS攻擊中的CC攻擊進行防禦。

部署負載均衡方案後，不只具備CC攻擊防禦的做用，也能將訪問用戶均衡分配到各個服務器上，減小單臺服務器的負擔，加快訪問速度。

使用專有網絡

經過網絡內部邏輯隔離，防止來自內網肉雞的攻擊。

提供餘量帶寬

經過服務器性能測試，評估正常業務環境下能承受的帶寬和請求數，確保流量通道不止是平常的量，有必定的帶寬餘量能夠有利於處理大規模攻擊。

服務器安全加固

在服務器上進行安全加固，減小可被攻擊的點，增大攻擊方的攻擊成本：

確保服務器的系統文件是最新的版本，並及時更新系統補丁。
對全部服務器主機進行檢查，清楚訪問者的來源。
過濾沒必要要的服務和端口。例如，WWW服務器，只開放80端口，將其餘全部端口關閉，或在防火牆上作阻止策略。
限制同時打開的SYN半鏈接數目，縮短SYN半鏈接的timeout時間，限制SYN/ICMP流量。
仔細檢查網絡設備和服務器系統的日誌。一旦出現漏洞或是時間變動，則說明服務器可能遭到了攻擊。
限制在防火牆外與網絡文件共享。下降黑客截取系統文件的機會，若黑客以特洛伊木馬替換它，文件傳輸功能無疑會陷入癱瘓。
充分利用網絡設備保護網絡資源。在配置路由器時應考慮如下策略的配置：流控、包過濾、半鏈接超時、垃圾包丟棄，來源僞造的數據包丟棄，SYN 閥值，禁用ICMP和UDP廣播。
經過iptable之類的軟件防火牆限制疑似惡意IP的TCP新建鏈接，限制疑似惡意IP的鏈接、傳輸速率。
識別遊戲特徵，自動將不符合遊戲特徵的鏈接斷開。
防止空鏈接和假人攻擊，將空鏈接的IP地址直接加入黑名單。
配置學習機制，保護遊戲在線玩家不掉線。例如，經過服務器蒐集正常玩家的信息，當面對攻擊時，將正常玩家導入預先準備的服務器，並暫時放棄新進玩家的接入，以保障在線玩家的遊戲體驗。

商用DDoS攻擊解決方案

針對超大流量的攻擊或者複雜的遊戲CC攻擊，能夠考慮採用專業的DDoS解決方案。目前，通用的遊戲行業安全解決方案作法是在IDC機房前端部署防火牆或者流量清洗的一些設備，或者採用大帶寬的高防機房來清洗攻擊。

當寬帶資源充足時，此技術模式的確是防護遊戲行業DDoS攻擊的有效方式。不過帶寬資源有時也會成爲瓶頸：例如單點的IDC很容易被打滿，對遊戲公司自己的成本要求也比較高。

DDoS攻擊解決方案——遊戲盾

遊戲盾是阿里雲針對遊戲行業面對的DDoS、CC攻擊推出的具備針對性的網絡安全解決方案，相較與高防IP，除了能針對大型DDoS攻擊（T級別）進行有效防護外，還具有完全解決遊戲行業特有的TCP協議的CC攻擊問題能力，防禦成本更低，效果更好！

2017年3月29日，阿里云云盾在深圳雲棲大會發布了遊戲行業安全風控新模式：遊戲盾。遊戲盾在風險治理方式、算法技術上全面革新，幫助遊戲行業用戶用更低的成本緩解超大流量攻擊和CC攻擊，解決以往的攻防框架中資源不對等的問題。

與傳統單點防護DDoS防護方案相比，遊戲盾用數據和算法來實現智能調度，將正常玩家流量和黑客攻擊流量快速分流至不一樣的節點，最大限度緩解大流量攻擊；經過端到端加密，讓模擬用戶行爲的小流量攻擊也沒法到達客戶端。

同時，在傳統防護中，黑客很容易鎖定攻擊目標IP，在攻擊過程當中受損很是小。而遊戲盾的智能調度和識別，可以讓用戶隱形，讓黑客顯形 —— 每一次攻擊都會讓黑客受損一次，攻擊設備和肉雞再也不重複可用。顛覆以往DDoS攻防資源不對等的情況。

遊戲盾的前世此生

遊戲盾從誕生之初到如今，經歷了3次重大的技術變革。從初代的雲層，到如今的遊戲盾，不管是從技術架構仍是從功能實現上，都發生了翻天覆地的變化。

而驅動這些變化的淺層因素，是攻防資源的不對等問題；深層因素則是對現有網絡自己的路由規則和基礎設施的深度思索。

簡單來講，遊戲盾經過風控模式調度流量來撬動攻防天平；而從本質來講，遊戲盾更像是一個除了路由和DNS以外，可以再次改變流量走向的存在。

雲層：第一次實驗

遊戲盾的前身是雲層項目。它誕生在2015年初的一次營救實驗。

一家公司遭受黑客的反覆攻擊，傳統的DDoS防護方法已所有敗下陣來。在緊急狀況下，公司向阿里雲安全團隊尋求合做，並提出能夠嘗試一種經過快速流量調度，來躲避黑客攻擊的新方法。

當時，這種方法並無在任何實戰場景中被驗證過。阿里雲DDoS防禦安全技術團隊在摸着石頭過河的狀況下，與用戶的技術團隊一塊兒合做，將這種新的防禦方法付諸於實踐，成功扛下了一次次攻擊。

雲層時代也就此開始。

當時，黑客的攻擊手法相對來講比較單一，找到目標IP地址，經過一波大流量（10~50GBps）攻擊將IP打進黑洞。而黑客發動下一波攻擊的準備時間大約須要10~15分鐘。而云層經過秒級分佈式IP的快速調度，壓制了黑客的分鐘級攻擊跟隨，贏得了這場競賽的階段性勝利。

接下來，雲層模式在其它幾場攻防實戰中屢立戰功。但與此同時，新形態的攻擊方式也在不斷地進化，雲層儘管實現了秒級的IP調度速度，但要跟上黑客的嗅探和跟隨，其算法和效率仍然須要進化。在這種背景下，遊戲盾的時代來了！

遊戲盾：正式踏入戰場

一直以來，國內超過50%的DDoS和CC攻擊，都是針對遊戲行業。所以，遊戲成了DDoS攻防最好的戰場，也是調度算法的最佳訓練場。

因而，阿里雲安全團隊決定將雲層時代積累下來的技術經驗，應用在遊戲行業中，成爲全部用戶可以用得上、而且管用的風控模式。

在遊戲盾誕生以前的很長一段時間，阿里雲安全團隊對遊戲行業的攻防對抗模式反覆分析，深刻了解了遊戲業務的註冊特色、登陸特色、玩家特色，並在此基礎上重構了遊戲盾的智能調度算法。

遊戲盾繼承了雲層快速調度的能力，又經過對端信息的採集、和對網絡通訊等行爲進行歸一化的處理分析。基於雲上的資源和特性，遊戲盾得以對海量的端數據進行計算、處理和存儲。相比線下環境，藉助雲計算平臺在計算和數據處理上的優點，阿里雲取得了實質性的突破——完成對每個終端設備的畫像，並最終沉澱爲端威脅值這一新的調度因子。

遊戲盾全部數據處理的核心是空中流量調度系統（AirTraffic Control ，ATC），它以深度機器學習（DL）和神經網絡（LSTM）爲認知基礎，將惡意用戶快速隔離在調度體系以外。

在遊戲行業炮火重重的前線上，遊戲盾完成了涅槃重生，並在最猛烈的攻擊之下不斷進行自我升級。同時，威脅識別和影響面控制代替調度成爲了新的技術關鍵詞。

精細化和分層而治：領先一小步

固然，這仍只是一個開始。攻擊方也在逐步加劇本身的兵力投入。想要領先黑客一小步，光靠數據和算法還不夠，須要真正瞭解對方的攻擊趨勢和攻擊手法。

在實戰的磨礪中，遊戲盾正式踏入精細化攻防對抗這一領域：NetGuard應運而生。藉助前2個階段所積累的AI建模分析能力，遊戲盾向針對業務層的攻擊發起挑戰。

遊戲盾經過串行學習特定業務數據特徵，快速識別畸形和突發的異常流量，並在幹路上進行阻截。與此同時，阿里雲安全團隊提出了由用戶層、網絡層、接入層和業務層4級聯動的立體防禦體系，讓遊戲盾幫助用戶搭建最適合本身的安全架構。

遊戲盾的立體防禦體系的核心，在於分層而治。首先，大流量攻擊依託網絡層去解決；而技巧型CC攻擊經過接入層去解決。立體防禦體系能夠達到突破帶寬限制，控制攻擊影響範圍和時間，精準識別用戶行爲的目標。

傾斜的天平

從2015到2017，通過2年的攻防實戰和技術打磨讓遊戲盾將一種新的安全風控模式，應用到攻防戰場中，幫助遊戲行業的用戶去解決實質性的問題。

然而，從雲層到遊戲盾，只是阿里雲安全團隊撬動DDoS攻防天平的第一步。真正前進的方向，是構築一張安全、可信、承載着「乾淨流量」的網絡，並將這張網絡延展到更廣的邊界。

方案簡介

遊戲盾是阿里雲DDoS高防IP產品系列中針對遊戲行業的安全解決方案。遊戲盾專爲遊戲行業定製，針對性解決遊戲行業中複雜的DDoS攻擊、遊戲CC攻擊等問題。

遊戲盾由 2 大模塊組成：

分佈式抗D節點：經過分佈式的抗D節點，遊戲盾能夠作到防護600G以上的攻擊。
遊戲安全網關：經過針對私有協議的解碼，支持防護遊戲行業特有的CC攻擊。

遊戲盾如何防護DDoS攻擊？

與普通的DDoS高防機房不一樣，遊戲盾並非經過海量的帶寬硬抗攻擊，而是經過分佈式的抗D節點，將黑客的攻擊進行有效的拆分和調度，使得攻擊沒法集中到某一個點上。同時基於SDK端數據、流量數據，能夠經過動態的調度策略將黑客隔離！

遊戲盾如何防護CC攻擊？

通常來講，遊戲行業的CC攻擊跟網站的CC攻擊不一樣。網站類的CC攻擊主要是基於HTTP或者HTTPS協議，協議比較規範，相對容易進行數據分析和協議分析。可是遊戲行業的協議大部分是私有的或者不常見的協議，所以對於CC攻擊的防護，阿里雲推出了專業的雲上防護遊戲安全網關（原稱NetGuard、簡稱NG）。

遊戲安全網關經過在用戶業務和攻擊者之間創建起一道遊戲業務的防火牆，根據攻擊者的TCP鏈接行爲、遊戲鏈接後的動態信息、全流量數據，準確分辨出真正的玩家和黑客。
遊戲安全網關支持大數據分析，根據真實用戶業務的特色分析出正常的玩家行爲，從而直接攔截異常的客戶端。且能夠隨時針對全國省份、海外的流量進行精確封禁，支持百萬級的黑白名單。
遊戲安全網關能夠同SDK創建加密通訊隧道，全面接管客戶端和服務端的網絡通訊，僅放行通過SDK和遊戲安全網關鑑權的流量。完全解決TCP協議層的CC攻擊。（需SDK版本在5.1.7以上）

方案特色

技術革新——智能調度算法拆分流量

DDoS攻防的本質，是資源的對抗。從網絡、CDN、服務器到數據庫，只要存在資源差的地方，就能夠有DDoS攻擊在發生。

從雲層、彈性安全網絡到如今的遊戲盾，阿里雲安全團隊在與遊戲行業用戶並肩做戰幾年後，用數據和算法來改變了大流量攻擊防護的模式。

今天，遊戲盾在應對黑客攻擊的時候，不只是被動在防護，也具有主動的反擊能力。有效識別哪一個客戶端是黑客、哪一個客戶端是好的用戶，經過更加靈活的調度算法，讓用戶的正常流量和黑客的攻擊流量不往一處走，扛住一次次超大型的DDoS攻擊。

風控模式革新——從單點防護到分層治理

在遊戲盾的演進過程當中，阿里雲安全團隊成功平衡了 4 大資源不對等的難題：

如何對抗黑客T級壓倒性帶寬資源。
如何攻破黑客的肉雞資源。
如何填補黑客只須要攻點、用戶須要防面的鴻溝。
如何解決資金成本的問題。

分層而治，是解決這些問題的基礎。全部資源的不對等，都是由於攻擊方太容易找到目標，而防護方太容易成爲目標。分層而治中的分，表明流量的拆分、業務的拆分和目標的拆分；讓攻擊者的成本和門檻增大，把用戶成本控制到最低；層表明一種漏斗模型。

用戶層：用戶層的數據老是不那麼可信的，做爲通訊的發起方，保護好本身是頭等大事。
網絡層：網絡的問題就交給專門的網絡設備解決，不要再使用服務器硬扛了。
接入層：接入層是爲了應對CC攻擊而準備的。在這一層，只處理用戶行爲，不處理業務。
業務層：真正的業務服務器必須好好保護，不能直接暴露，物理通路的隔離是相對比較好的選擇。

遊戲盾改變了DDoS攻防只是拼帶寬的傳統概念，成爲針對遊戲行業用戶的總體風控方案。在遊戲盾的風控理論下，只要您解決好用戶端的問題，就能夠解決無限大的DDoS攻擊，從而達到攻防成本的平衡。

與傳統DDoS攻擊解決方案對比

全套安全解決方案

阿里雲深度分析遊戲安全問題，基於阿里巴巴集團海量攻防實戰積累，爲遊戲運營量身打造最全面、最可信的阿里雲遊戲安全完整解決方案。

該解決方案具備如下特色：

全方位安全防禦
超強防禦、實時響應
針對遊戲、智能調節
行業最強安全大數據

本方案可以全面解決遊戲行業安全風險，涉及的雲產品具體以下：

遊戲盾：抵禦大流量攻擊和CC攻擊、保障核心用戶體驗。
數據風控&移動安全：人機識別，App加固，預防惡意註冊、流量做弊、撞庫盜號。
Web應用防火牆：保障遊戲主站及支付服務安全，全面支持HTTPS。
安騎士：預防暴力破解、服務器漏洞修復。
堡壘機：資源分級受權管理，運維更安全。
態勢感知：利用機器學習還原已發生的攻擊，預測未發生的攻擊，擴大安全可見性。
先知：加入先知平臺的安全衆測服務，幫助遊戲公司全面發現業務漏洞及風險。

雲安全產品介紹

數據風控

除DDoS攻擊以外，遊戲行業另外一大安全威脅就是欺詐做弊，包括：

垃圾註冊：玩家大量註冊小號，獲取新號獎勵和刷金幣。
流量做弊：渠道商利用模擬器等手段批量掛機，進行流量做弊，獲取非正常利益。
遊戲盜號：攻擊者利用自動化工具，經過掃庫撞庫等方式進行盜號。

然而，這些安全威脅會直接致使遊戲公司耗費大量心血設計的遊戲平衡遭到破壞，從而大大下降玩家體驗、致使用戶流失。所以，在遊戲安全解決方案中，數據風控是必不可少的安全產品之一。

產品簡介

阿里雲數據風控產品由阿里聚安全提供，凝聚了阿里巴巴集團多年業務風控經驗，專業、實時對抗垃圾註冊、刷庫撞庫、活動做弊、論壇灌水等嚴重威脅遊戲業務安全的風險。在攔截惡意欺詐、做弊流量的同時，保障正常玩家體驗順暢無影響。

產品優點

相較業內同類產品，阿里雲的數據風控針對遊戲行業具備如下優點：

精準的風險識別率
依據歷史大數據分析，數據風控能夠達到高於於95%95%的風險識別率，並保持低於1%的風險誤識率。

在遊戲行業中，實行惡意欺詐做弊的攔截過程當中，除了儘量阻斷惡意請求，更重要的是不能誤攔截正常玩家的訪問請求。所以，從業務安全角度來講，風險識別的精準度相當重要。
業內領先的驗證技術
經過創新的驗證技術，極大提升對惡意用戶的攔截能力。在保證精準的風險識別率的前提下，儘量多的攔截惡意用戶請求，就是對綠色遊戲環境最大的守護。同時，隨着遊戲行業的快速發展，新型的欺詐、做弊方式層出不窮，創新領先的驗證技術是提高攔截能力的關鍵。
支持多平臺的防控
同時支持Web端和移動平臺的風險防控。近些年，隨着移動端遊戲的興起，移動遊戲行業的競爭早已白熱化，支持移動平臺的業務風險防控能力甚至比Web端更爲重要。
穩定可靠的系統支持
高於99.99%的可用性、毫秒級響應時間、每秒萬級併發量，保障業務順利進行。

對於遊戲行業爆發式的流量涌入（遊戲新上線、推廣活動期間等），須要高可用、高性能的業務安全產品進行護航。

應用場景

用戶註冊
遊戲行業常常會遭受大量垃圾帳號註冊的威脅，使用數據風控產品保障業務安全，有效下降垃圾帳號帶來的垃圾廣告、詐騙、營銷活動做弊等安全風險。
說明：在用戶註冊過程當中應用數據風控後，垃圾帳號比例顯著降低，大幅提升垃圾帳號註冊團伙的欺詐成本。
用戶登陸
遊戲行業常常會面臨盜號威脅，因爲玩家並不徹底瞭解帳戶安全的相關知識，對於本身的遊戲帳戶安全也缺少足夠的重視，所以常常出現玩家帳號被盜的現象，而盜號對玩家來講無疑是滅頂之災，即便經過帳號找回機制拿回帳號，遊戲帳號中的物品、裝備、金錢也極可能已經被盜取，對玩家的利益形成重大損失。隨之而來的，就是玩家的流失。

在遊戲帳戶登陸過程當中應用數據風控後，被盜帳號數量顯著降低，大幅下降玩家因惡意盜號而產生重大損失的可能性。
推廣活動
遊戲行業競爭激烈，遊戲公司也會投入大量金錢進行推廣活動。然而，實際推廣過程當中大量的推廣費用被羊毛黨經過惡意欺詐的方式所消耗，而推廣活動的目標玩家卻沒法獲得優惠，致使遊戲公司鉅額的推廣費用都打了水漂。

在遊戲推廣活動過程當中應用數據風控後，惡意領用狀況比例大幅降低，遊戲公司花費的推廣費用起到實質效果。

Web應用防火牆

遊戲公司的官方網站頁面是遊戲的門戶，也是遊戲公司推出活動的宣傳窗口，同時大多遊戲公司也會在網站中提供社區功能供玩家進行交流。所以，對於遊戲官方網站的安全防禦也必不可少。另外，部分遊戲直接以網頁的形式（頁遊）供玩家進行遊玩，對於這種狀況，Web應用的防禦更是重中之重。

產品簡介

Web應用防火牆（WAF）基於雲安全大數據能力，防護SQL注入、XSS跨站腳本、常見Web服務器插件漏洞、木立刻傳、非受權核心資源訪問等OWASP常見攻擊，並過濾海量惡意CC攻擊，避免您的資產數據泄露，保障網站或App業務的安全與可用性。

產品優點

相較業內同類產品，阿里雲的 Web 應用防火牆具備如下優點：

穩定快速：國內BGP多線路節點容災，智能最優路徑，毫秒級響應。
專業安全：專業安全團隊運營、最新0DAY漏洞 24 小時內防禦；多維防禦配置，保障CC防禦效果。
貼近業務：特有業務風控防禦，防爬、防刷、拒絕黃牛黨。
報表豐富：提供詳細的數據報表，快速全面瞭解業務當前安全情況。

移動安全

遊戲行業另外一大安全威脅是破解、外掛，包括客戶端破解和僞造數據包等風險。

遊戲破解
破解客戶端遊戲程序，免費得到遊戲內購，改變遊戲設定。
內掛
經過破解遊戲和數據包結構，逆向出或直接調用發包函數，改變正常遊戲數據，實現超出正常玩家的水平和能力。
脫機掛
徹底脫離遊戲客戶端程序，但能夠與遊戲服務器自由通信的外掛程序。此類外掛對遊戲的危害最大，嚴重破壞遊戲平衡，縮短遊戲運營週期。不管是手遊仍是端遊在被破解以後均可以作外掛，還可以經過破解協議報文模擬數據併發送到服務器上去，消耗遊戲的資源使得正常玩家也沒法進行遊戲。
這類安全威脅，對遊戲公司總體的安全架構的各方面來講都是巨大的挑戰。首先對於遊戲客戶端程序，須要具備明確的安全代碼開發規範，保障客戶端程序安全的健壯性。同時，數據包在客戶端與遊戲服務器之間的傳輸過程當中必須採用加密傳輸；而且在服務器端也須要部署完善的安全措施和安全能力。
首先針對客戶端，手遊客戶端的安全問題隨着移動遊戲行業的大熱，已經成爲遊戲公司不得不重視的關鍵點。

產品簡介

阿里雲移動安全（Mobile Security）基於阿里聚安全的核心技術，爲遊戲移動端應用（App）提供全生命週期的安全服務，準確發現遊戲移動端應用的安全漏洞、惡意代碼、仿冒應用等安全風險；經過應用加固和安全組件等功能，大幅提升應用反逆向、反破解能力。移動安全包含如下功能：

漏洞檢測
依託阿里巴巴集團專利安全技術，提供深度靜態檢測、和業界先進的動態分析技術，查找代碼後門及應用漏洞。
仿冒檢測
對全網應用渠道進行持續監測，能夠收集仿冒應用，二次打包等各類威脅，爲用戶提供仿冒應用數，裝機量，資產損失等數據。
應用加固和安全組件
安全組件SDK提供的安全存儲、安全加密、安全簽名、安全檢測等功能，可有效抵禦遊戲外掛、二次打包等風險，保障移動平臺應用完整性、執行環境可信、數據機密性。
全網聯動
實時聯動全網安全事件、最新互聯網及應用安全問題，動態調整安全防禦策略。

產品優點

相較業內同類產品，阿里雲的移動安全服務有以下優點：

強大的掃描能力
自主研發的惡意代碼掃描引擎是AV-Test歷史上最年輕的滿分冠軍，漏洞掃描引擎領先業界同類競品一代以上，覆蓋95%以上的已知漏洞，仿冒監測引擎實現全網覆蓋。

強大的漏洞掃描能力能夠幫助遊戲公司發現遊戲移動客戶端存在的安全漏洞，大幅下降惡意攻擊者利用漏洞破解遊戲客戶端的可能性。
淘寶同款防禦技術
移動安全由應用加固和安全組件組成的內外結合的全方位安全防禦技術應用於支付寶和淘寶等超級應用上，穩定性強、兼容性好、體積小，對移動應用幾乎沒有影響。

經過對手遊客戶端進行應用加固，並添加安全組件的方式，加強手遊客戶端程序安全的健壯性，進一步下降被破解的風險。
雄厚的人才積累
移動安全擁有多位業界重大影響力的白帽子，如Xfocus創始人，dex2jar做者，Black Hat /RSA特約Speaker，具備很是雄厚的技術實力。

手遊客戶端的反破解是遊戲公司與黑客之間的攻防戰，開放於應用市場的移動客戶端可能遭受各類技術手段的破解嘗試，而雄厚的安全技術實力正是移動端應用安全的強力後盾。
快速接入，可系統集成
全部服務均可以經過SaaS服務提供，方便企業用戶可以簡單快速接入，並可集成到自有系統中，實現自動化服務。

移動安全能夠簡單快速的接入手遊客戶端程序，將對遊戲的開發、上線進度的影響降到最低，而且能夠集成到遊戲公司自有系統中，輕鬆完成移動應用的安全改造。
全生命週期風險管控
經過惡意代碼掃描、漏洞掃描發現內在風險，經過應用加固、安全組件抵禦外部攻擊風險，經過仿冒檢測快速掌握品牌風險。完整的風險管控流程，覆蓋移動應用全生命週期的可能遇到的風險。

完整的全生命週期風險管控，幫助遊戲公司在手遊客戶端應用的各個階段實現安全加固，發現內在風險、抵禦外部風險、掌握品牌風險。

應用場景

遊戲公司自主研發

具有App自主開發能力的遊戲公司，經過移動安全對已上線的版本進行漏洞掃描和仿冒檢測，修復線上漏洞，舉報封殺仿冒應用來源。在後續的新版本開發中，在開發階段就接入移動安全的安全組件，在測試階段進行漏洞掃描和修復，並在上線前進行應用加固，從內到外進行安全加強。移動App新版本上線一段時間後，不定時進行仿冒檢測，掌握仿冒應用狀況。

對第三方開發進行驗收

對於委託第三方開發的遊戲移動端App應用，遊戲公司驗收時沒法及時發現App的安全問題，好比無心或有意使用了惡意代碼，上線後可能蒙受巨大損失。所以，須要對已上線的應用進行漏洞掃描、仿冒檢測、惡意代碼掃描，及時排查修復線上問題。在後續的新版本的驗收時，使用漏洞掃描和惡意代碼掃描，及時發現安全隱患。

安騎士

加固移動客戶端的安全以後，您更須要全面加固服務器端的安全能力，保障遊戲業務的安全穩定。服務器常常面臨着各種漏洞、木馬後門、異常登陸等威脅，而任何一項風險事件被惡意攻擊者利用都意味着用戶信息、帳號數據、遊戲數據等可能泄露或被惡意篡改。

產品簡介

安騎士是一款服務器主機安全管理產品。經過安裝在服務器上的輕量級Agent插件與雲端防禦中心的規則聯動，實時感知和防護入侵事件，保障服務器的安全。

產品優點

相較業內同類產品，阿里雲的安騎士具備如下優點：

集中安全管理：非單機版軟件，在雲端Web控制檯統一管理全部服務器的安全狀態。
資源佔用極低：Agent插件正常資源僅佔用 1%CPU 50MB內存如下。
實時安全監控：非觸發式安全掃描，系統自動感知資產變化、實時檢測漏洞和黑客行爲。
一鍵安全處置：閉環安全，不只發現問題，還支持一鍵漏洞修復、一鍵病毒隔離，解決主機安全問題。

堡壘機

隨着遊戲的內容更新、新版本的發佈，承載着遊戲運行的這些服務器上常常會進行各種操做。同時，遊戲服務器的運維也須要大批人員進行操做，一旦某個操做出現失誤，每每帶來巨大的損失，好比緊急停服維護在各種遊戲運營過程當中都司空見慣。所以，對於遊戲服務器上的操做須要慎之又慎，而且須要完善的服務器審計進行監控和記錄，便於第一時間發現誤操做，並對常常出現的失敗操做進行分析改進。

產品簡介

堡壘機主要是基於協議正向代理實現，對SSH、Windows遠程桌面、SFTP等常見運維協議的數據流進行全程記錄，再經過協議數據流重組的方式進行錄像回放，達到運維審計的目的。

產品優點

相較業內同類產品，阿里雲的堡壘機具備如下優點：

審計合規
知足《薩班斯法案》、金融監管、《等級保護》的審計要求。
高效易用
管理界面簡潔易用，可快捷同步當前雲帳號中的ECS列表。
多協議支持
支持SSH、Windows遠程桌面、SFTP等常見運維協議。
追溯回放
追溯運維操做的故障，在線回放操做記錄。

態勢感知

遊戲行業遭受的惡意攻擊每每錯綜複雜，在被動採起各類安全防禦措施以後，如何可以主動發現、預知攻擊，纔是更爲領先的防護理念。再也不僅僅是頭痛醫頭腳痛醫腳的傳統安全解決思路，而將整個安全數據進行總體分析，從更全面的角度看待本身當前面臨的安全威脅，並預知可能發生的安全攻擊。

產品簡介

態勢感知是一個大數據安全分析平臺，能對您雲上全部資產進行安全告警，並用機器學習來發現潛在的入侵和高隱蔽性攻擊，回溯攻擊歷史，預測即將發生的安全事件。態勢感知收集企業 20 種原始日誌和網絡空間威脅情報，利用機器學習還原已發生的攻擊，並預測未發生的攻擊，擴大安全可見性，並集中管理雲上資產安全事件。

產品優點

安全事件告警和檢索：包含了ECS，RDS等所有云上資產的告警，對安全事件進行實時監控和處理建議說明，並對告警事件進行分析和全文檢索。
原始日誌存儲和檢索：針對不一樣版本，提供了7~180天內的原始日誌檢索功能，並提供邏輯表達式，知足自定義查詢日誌和分析的需求。
安全風險量化和預測：經過機器學習，把全量的日誌進行精量化威脅分析，並經過資產依賴關係和攻擊手段判斷，預測潛在的安全風險。
提供安全可視化界面，全面+實時地感知安全問題。

先知計劃

不一樣的遊戲環境、不一樣的遊戲運營方式可能存在着不一樣的漏洞，藉助專家羣衆的力量去發現自身全鏈路的安全問題，纔是互聯網思路的解決方式。

產品簡介

先知平臺提供私密的安全衆測服務，可幫助遊戲公司全面發現業務漏洞及風險，按效果付費。加入先知平臺後，可自主發佈獎勵計劃，激勵先知平臺的安全專家來測試和提交企業自身網站或業務系統的漏洞，保證安全風險能夠快速進行響應和修復，防止形成更大的業務損失。相比傳統滲透測試，先知具備測試效率高、測試人員多、測試效果好、性價比高等優點。

產品優點

相對於其餘衆測平臺，先知平臺有以下優點：

客戶案例

案例一

遊戲公司 A，其主要遊戲業務是地方棋牌遊戲，剛開始時發展很是迅速，可是卻在2016年5月和6月份時被DDoS攻擊打擊得很是慘烈，使得其業務基本上沒法開展而且接近倒閉邊緣。

這時，阿里雲向該遊戲公司提供了遊戲行業安全解決方案，而且將安全解決方案應用到了其整個遊戲攻防體系中去。在4月份到11月份期間，經歷了 2 次大型的攻擊對抗。

第一次對抗發生在安全解決方案部署完成以後，黑客很快發現僅靠大流量攻擊徹底打不下來，因而黑客開始破解遊戲客戶端，將遊戲客戶端破解以後就發現了遊戲客戶端中對於流量調度的原理，這樣就可以把全部的 IP 防禦節點所有找出來，以後對於找出的節點進行逐個打死。阿里雲在第一輪對抗中作的就是將應用進行加密，並將邏輯進行混淆，這樣就使得黑客難以在同一時間發現更多的節點的IP地址，而最多一次只能獲取一個節點的IP。

在第二輪攻防中，黑客發現使用大流量攻擊沒法打下來，可是使用CC攻擊卻很是有效，因而他們使用CC攻擊的手法去攻擊登陸服務，當登陸服務受到攻擊時就發現防護能力急劇降低，即使其餘的遊戲節點都正常也是無濟於事，不能起到任何做用，因此阿里雲此時推出了遊戲安全網關的CC防禦能力，使用遊戲安全網關的CC防禦以後即使是 500 萬QPS也可以輕鬆防護。

案例二

2016年2月，遊戲公司B在一個月的時間內連續被攻擊了屢次，而且攻擊流量超過了 400 G，而這個流量在2016年初時是很是高的，公司B一樣也快被打掛了，此時阿里雲幫助其啓用了高防+遊戲盾的安全解決方案，同時幫助該公司實現了態勢感知和溯源，也幫其找到了在背後進行攻擊的黑客並經過遊戲公司報警，阿里雲提供證據最後將犯罪嫌疑人捉拿歸案，這也是反擊能力的體現。

不少遊戲公司被攻擊以後每每是打不還手的，其實並非由於遊戲公司脾氣好，而是每每一般狀況下游戲公司並不知道到底誰在發起攻擊，因此若是客戶擁有了溯源的能力就能夠找到在背後對本身發起攻擊的那我的並將其繩之以法，同時也將會爲本身的業務贏得必定時間的安全發展時機。

總結與展望

本文檔從行業背景、DDoS攻擊分析、經常使用緩解DDoS攻擊方法、阿里雲遊戲盾DDoS攻擊解決方案以及阿里雲遊戲安全總體解決方案等多個方面進行了闡述，旨在爲遊戲行業的客戶提供全面的安全解決方案。

阿里雲遊戲行業DDoS攻擊解決方案——遊戲盾，是阿里雲的人工智能技術與調度算法在安全行業中的成功實踐。

隨着攻防進程的推動，網絡層和接入層逐步壯大，遊戲盾的風控模式，會逐步延展到各個行業中，創建起一張安全、可信的網絡。在這張網絡中，傳輸着乾淨的流量，而攻擊被前置到網絡的邊緣處。全部的端，在接入這張網絡時，都會通過風險控制的識別，同時網內的風控系統，也讓惡意攻擊者沒法訪問到他鎖定的資源。

將來，以資源爲基礎的DDoS防禦時代終將被打破，推出對DDoS真正免疫的風控架構，而這不只僅侷限於遊戲行業。