遊戲盾是阿里雲針對遊戲行業面對的DDoS、CC攻擊推出的針對性的網絡安全解決方案,相比高防IP,除了能針對大型DDoS攻擊(T級別)進行有效防護外,還具有完全解決遊戲行業特有的TCP協議的CC攻擊問題能力,防禦成本更低,效果更好!算法
與傳統單點防護DDoS防護方案相比,遊戲盾用數據和算法來實現智能調度,將「正常玩家」流量和「黑客攻擊」流量快速分流至不一樣的節點,最大限度緩解大流量攻擊;經過端到端加密,讓模擬用戶行爲的小流量攻擊也沒法到達客戶端。安全
遊戲盾提供了一個只能由SDK接入的而且免疫DDoS/CC攻擊的彈性安全網絡。SDK經過服務本地化代理接入遊戲盾的彈性安全網絡,實現玩家(Token)由具體的遊戲盾網絡接入點(GroupName)訪問防禦目標(Dip)端口(Dport)的邏輯。經過服務SDK提供的服務本地化接口,將任意IP、端口的服務本地化,而且由SDK接管全部的通訊流量,進行調度和加密傳輸。服務器
遊戲盾由兩大模塊組成:網絡
與普通的DDoS高防機房不一樣,遊戲盾並非經過海量的帶寬硬抗攻擊,而是經過分佈式的抗D節點,將黑客的攻擊進行有效的拆分和調度,使得攻擊沒法集中到某一個點上。同時基於SDK端數據、流量數據,能夠經過動態的調度策略將黑客隔離!架構
遊戲安全網關經過在用戶業務和攻擊者之間創建起一道遊戲業務的防火牆,根據攻擊者的TCP鏈接行爲、遊戲鏈接後的動態信息、全流量數據,準確分辨出真正的玩家和黑客。app
遊戲安全網關支持大數據分析,根據真實用戶業務的特色分析出正常的玩家行爲,從而直接攔截異常的客戶端(協議非法)。且能夠隨時針對全國省份、海外的流量進行精確封禁,支持百萬級的黑白名單。分佈式
遊戲安全網關能夠同SDK創建加密通訊隧道,全面接管客戶端和服務端的網絡通訊,僅放行通過SDK和遊戲安全網關鑑權的流量,完全解決TCP協議層的CC攻擊(模擬協議型攻擊)。大數據
從單點防護到分層治理阿里雲
分層而治,是解決這些問題的基礎。全部資源的不對等,都是由於攻擊方太容易找到目標,而防護方太容易成爲目標。加密
分層而治中的「分」,表明流量的拆分、業務的拆分、和目標的拆分;讓攻擊者的成本和門檻增大,把用戶成本控制到最低;「層」表明一種漏斗模型。之前,咱們都是用帶寬去硬抗DDoS攻擊,而在遊戲盾中,咱們用最適合的‘武器’去作最擅長的事。
用戶層(SDK):用戶層的數據老是不那麼可信的,做爲通訊的發起方,保護好本身是頭等大事。
網絡層(Selb):網絡的問題就交給專門的網絡設備解決,不要再使用服務器硬扛了。
接入層(遊戲安全網關):還記得CC攻擊的影響嗎?接入層就是爲了應對它準備的。在這一層,只處理用戶行爲,不處理業務。
業務層:真正的業務服務器必須好好保護,不能直接暴露,物理通路的隔離是相對比較好的選擇。
遊戲盾改變了DDoS攻防只是「拼帶寬」的傳統概念,成爲針對遊戲行業用戶的總體風控方案。在遊戲盾的風控理論下,只要咱們解決好用戶端的問題,就能夠解決無限大的DDoS攻擊,從而達到攻防成本的平衡。
咱們的服務器在國外,訪問速度特別慢,超時的狀況特別多,用戶體驗差,本着用戶至上的價值觀,咱們在這方面作了不少的努力,好比國內的4443域名,阿里高仿以及接下來咱們說到的遊戲盾。咱們主要使用遊戲盾加速類業務。
國內流量則初始化遊戲盾,國外的流量不須要作處理
在咱們App的首頁側邊欄->設置->開啓加速開關能夠手動選擇是否啓用遊戲盾
每次發起網絡請求以前會根據策略獲取對應的基礎域名,拼裝地址而後才實際發起請求
請求結束會觸發降級策略,默認分數爲100,每失敗一次-5,連續成功5次+5,低於60分就降級直到降級成爲普通域名
遊戲盾提供多地區上車點和下車點的組合來實現部分區域的傳輸加速效果。以下圖:
可是,遊戲盾提供的節點調度算法以安全防護爲主,就近接入的調度算法也只能感知到客戶端到上車點是否最快,這種機制和全鏈路是否最快存在很大的差別。因此,咱們須要按照實際業務要求自行設計加速方案即:線路切換。
在初始化遊戲盾結束後,使用4個groupname獲取IP地址和端口,獲得4條線路,分別使用4條線路調用咱們的測速接口(htttps://xxx/timestamp),根據結果選擇延遲最小的線路做爲默認請求線路。除此以外,還能夠添加一個入口,讓用戶動態選擇對應的線路。