2018上半年遊戲行業DDoS態勢報告

歡迎你們前往騰訊雲+社區，獲取更多騰訊海量技術實踐乾貨哦~

本文由 騰訊遊戲雲發表於 雲+社區專欄

0x0 前言

最新發布的2018全球遊戲市場報告指出，2018年全球的遊戲玩家數達到23億，他們在遊戲上花費將達到1379億美圓，其中中國遊戲市場規模將達到379億美圓，佔全球遊戲市場收入的25%以上，中國市場營在營收規模和玩家數量均排名第一。伴隨着遊戲業務的繁榮發展，針對遊戲行業的DDoS攻擊也在持續爆發，攻擊峯值不斷創記錄。

掉線，閃退，卡頓，登陸失敗，這些糟糕的遊戲體驗有可能並非跟你的網絡環境有關。2018年，隨着MEMCACHED反射手法被攻擊者啓用，全球DDoS攻擊的峯值達到1.7Tbps，騰訊雲上也出現Tbps級別的攻擊，這意味着，對於不管是是安全從業者仍是遊戲行業自己，都是一個巨大的挑戰。

這次的《2018上半年遊戲行業DDoS態勢報告》，依託騰訊雲宙斯盾防禦系統上半年攻防積累的大數據，分別從時間，地域，次數多個維度分析了上半年DDoS攻擊態勢，剖析了黑產鏈條和典型案例，並給遊戲行業從業者提供了對應的策略和建議，以饗讀者。

0x01 2018年上半年DDoS攻擊大盤：攻擊次數略微下滑，攻擊峯值大幅增加

1. DDoS攻擊形勢：Tb級時代

2018年，全球最大DDoS攻擊的峯值達到1.7Tbps，同比增加112%。隨着帶寬資源的不斷豐富，各類設備、攻擊軟件的數量增加，一個即便「功力」沒那麼深厚的黑客也能輕鬆發起超大流量的DDoS攻擊。

同期騰訊雲上呈現的DDoS攻擊態勢可總結爲：攻擊次數略微下滑，攻擊峯值大幅增加。結合上半年（截止到2018年6月25日數據），騰訊雲總攻擊次數同比略微下滑10%，攻擊峯值也達到1.23Tbps，也是國內目前最大流量攻擊，同比增加134%。

上半年超過100G的攻擊1000+次，約爲去年同期的1/4。2月份和3月份爲大流量攻擊爆發的月份，恰好處在春節假期時間和上班族返工之時。

100G以上的攻擊中，大部分攻擊的峯值在100G~200G區間，佔比72%。

2. DDoS攻擊行業分佈：遊戲四面楚歌

DDoS攻擊的行業分佈方面，遊戲行業成爲最大受害行業，佔據近40%的攻擊。此外，網絡服務（佔比4%）和企業門戶（佔比2%）也是攻擊佔比較高的行業。

3. DDoS攻擊地域分佈：被攻擊企業集中一線、新一線城市

被攻擊企業的地域分佈與所在區域的經濟發展水平高度重合，被攻擊企業在東南沿海發達省份呈現明顯的彙集，此外四川，陝西，河南，湖北，湖南等省份也有較多企業被攻擊。

城市維度上，被攻擊企業高度彙集在一線和新一線城市（佔比達到78%）。

0x2 2018年上半年DDoS黑產形勢：國外攻擊源佔比41%

1. 攻擊團伙

經過監測發現，目前的DDoS黑產團伙呈現以下的3種形態：

1） 高級跨國DDoS團伙

此類團伙技術能力較強，並掌握衆多攻擊資源，核心人員隱匿在國外，以攻擊遊戲行業頭部站點獲取佣金爲主要獲利手段。團伙人員衆多，分工明確，有專門的後勤，財務，技術等角色，可發起數百G甚至上T的超大流量攻擊。今年4月份在深圳南山法院公開審理的「暗夜」攻擊團伙就屬於這一類。

2） 頁端平臺

經過購買國外的發包機（數臺至數十臺不等），搭建頁端DDoS攻擊平臺，並吸引攻擊手入駐，經過第三方支付平臺充卡交易，目前活躍的此類攻擊平臺數量在數十家左右，爲了防止競爭對手攻擊，此類站點基本都會託管在cloudflare。

3） 遊離的攻擊手

這部分人員手頭資源相對有限，以我的做案爲主，經過網絡支付交易。因業內存在詐騙現象（騙測試或者二手單），我的信用是交易是否成功的關鍵，對於陌生人會要求押金交易或者第三方擔保交易，擔保者可得到約10%的提成收入。

2. 攻擊資源

據統計，2018上半年DDoS攻擊源總數超過1500萬，主要來自於國內，佔比達到59%，主要彙集在3個區域：環渤海區域，江浙以及廣東，其中山東省遙遙領先。

國外的攻擊源佔比41%，美國，俄羅斯，阿根廷是主要的來源國家。

3. 攻擊手法

總體來看，經過UDPFLOOD或者SYNFLOOD來形成帶寬擁塞仍然是攻擊者的首選策略。其中UDP反射放大攻擊由於其可觀的放大效果，以及能夠隱藏行蹤的特色，深受攻擊者的青睞，在攻擊手法佔比接近60%。

另外，隨着各國對於經過DDoS攻擊進行的犯罪活動呈現高壓態勢，躲避司法追捕成爲攻擊者確保的目標。2018上半年，共發現有3種可隱匿行蹤的新攻擊手法被攻擊者發掘出來。

自1月份以來。MEMCACHED反射手法以其高達50000倍的放大效率，全球超過10萬的可用主機，成爲攻擊者發起DDoS攻擊的利器。從下圖能夠看出在短短6個月內，MEMCACHED反射手法的佔比從不足1%迅速增加到31%，並製造了數次上Tb的DDoS攻擊。根據某國外DDoS站點的統計，國外攻擊者選用MEMCACHED反射手法的佔比也高達54%。MEMCACHED反射手法的威力可見一斑。

另外，今年3月份，基於IPMI協議的UDP反射攻擊也被攻擊者挖掘出來。此類攻擊手法的特徵爲放大比例爲1.1倍，攻擊源絕大部分位於北美洲和歐洲等發達地區，IDC服務器佔比達90%等。因爲能夠隱藏行蹤，也被黑產攻擊者挖掘出來。

特別的，以前的反射型攻擊基本集中在UDP協議上，可是上半年出現了基於TCP協議的反射攻擊。攻擊者經過僞造受害者的IP做爲源地址，向互聯網上開放常見TCP端口的IP發送SYN包，引起受害者IP收到大量以上述端口爲源端口的SYN_ACK包，致使被攻擊服務器CPU飆升，網絡擁塞，服務中斷等嚴重後果。此外，發現這些源IP的攻擊報文存在TCP超時重傳等協議棧行爲，防禦難度更大 。

在一次針對某遊戲行業客戶的攻擊中，經統計分析，攻擊過程當中共採集到近百萬個攻擊源，源端口彙集在常見的TCP端口：80/443/23/22/3389等端口（佔比超過80%）。通過探測，發現絕大多數IP的對應端口都是存活的，很明顯這個就是利用TCP協議發起的反射攻擊。

0x03 2018年上半年遊戲行業DDoS威脅分析

1. 遊戲行業DDoS威脅概述

1）攻擊佔比（39%）和攻擊峯值（1.23Tbps）均爲各行業第一

2）平均攻擊峯值9.4G

3）平均持續時長1759秒

4）最長持續時長 766744秒

5）平均攻擊成本 300元/次，高防用戶攻擊成本500元/次，棋牌類用戶攻擊成本 5000~10000元/天

2. DDoS攻擊的遊戲細分行業分佈

上半年，遊戲行業的DDoS攻擊佔比接近40%。其中游戲行業細分行業中，手遊（佔比32%）和頁遊（佔比15%）是攻擊最多的品類。此外，棋牌類遊戲的攻擊佔比爲9%，也是DDoS攻擊較多的細分行業。

3. 遊戲行業DDoS攻擊的時間分佈

經過分析發現，絕大部分攻擊的時長在5分鐘之內（佔比58%），可是也有5%的攻擊成了持續時間超過12小時的持久戰。

在攻擊發起的時機方面，一年365天黑產攻擊者都保持在線，而且在元旦，除夕等節假日，攻擊者也會忽然爆發。相對而言，天天的21點~23點成爲攻擊者最亢奮的時段。

4. 遊戲行業攻擊案例

1）某熱門端遊炸房團伙的「炸房」對抗

攻：代練團伙爲確保遊戲戰績，在戰局不利時使用炸房外掛，調用國外第三方流量壓測網站服務發起攻擊，以UDP反射、UDP小包、業務報文回放等方式發起攻擊，引起對局內玩家掉線，從而消除戰敗記錄提高戰績。

防：依託行業領先的水印方案並加入動態防禦特徵，並經過四輪交鋒，炸房攻擊100%防禦，並可識別出惡意玩家。

2）騰訊雲成功防護國內已知最大流量DDoS攻擊1.23Tbps

攻：某遊戲公司自18年初以來，連續2個多月遭到到不法份子的DDoS攻擊，單月最多攻擊次數超過1000次，攻擊類型主要爲擁塞帶寬型+鏈接型攻擊+應用層攻擊。

防：指派DDoS防禦專家成立應急響應專家小組，並與客戶公司的運維團隊一塊兒，依據業務特色，引導用戶接入騰訊雲T級防禦容量的高防節點，優化防禦策略，多輪對抗，並在4月8日成功防護了1.23Tbps的國內已知最大流量DDoS攻擊。

3）未雨綢繆防範針對IPv6的攻擊

攻：今年4月，美國Neustar公司的網絡專家發現，有1900個IPv6地址正在對公司的DNS服務器發起DDoS攻擊，這是今年公開報導的互聯網上首例針對IPv6目標的DDoS攻擊。

防：騰訊雲從去年就開始緊張有序部署新一代DDoS防禦系統，同時對IPv6進行了適配。該方案基於雙協議棧技術，同時支持IPv4/IPv6介入。

0x04 遊戲行業DDoS防禦困境

1.攻擊手法越發複雜

防禦困境：攻擊手法呈現多樣化，複合化，而且不斷有新攻擊手法涌現。常規抗D產品樣本少，迭代慢，另外中小企業的安全能力存在短板，DDoS對抗經驗不足，業務很容易被打穿致使業務受損。

解決措施：騰訊雲新一代遊戲高防解決方案，依託有豐富對抗經驗的專業團隊，在爲大量騰訊自營業務以及海量騰訊雲用戶服務時可收集大量的攻擊樣本，在第一時間感知到新威脅，能夠快速迭代，給出最佳防禦策略。

2. 攻擊流量節節攀升

防禦困境：目前攻擊流量每一年都有大幅增加，爲了防範DDoS攻擊就須要搭建較大的網絡帶寬和安全設備集羣，對於成長型企業來講，面臨的衝擊和負擔十分沉重。

解決措施：騰訊雲新一代遊戲高防解決方案在全國多個城市構建T級防禦容量的高防節點，幫助用戶成功防護了國內已知最大流量DDoS攻擊。

3. 黑產低門檻化，攻防成本不對等

防禦困境：部分手法能夠將流量放大數十倍乃至數萬倍，黑產工具由專業團伙開發，初中畢業的人員通過黑產團伙訓練，便可發起數百G的攻擊，動輒給被攻擊企業形成數百萬的損失。

解決措施：騰訊雲對DDoS攻擊相關的情報進行持續監測，對部分嚴重威脅到騰訊雲用戶以及對行業正常秩序的危害較大的DDoS黑產團伙，和國家有關部門一塊兒，進行持續的刑事打擊。

0x05遊戲行業DDoS攻擊應對建議

1．標杆型客戶

1）建議配置BGP高防IP+三網高防IP，隱藏源站IP。用高防IP充足的帶寬資源應對可能的大流量攻擊行爲，輔助IP自動調度能力。

2）建議經過共享防禦包的方式，覆蓋全部公網服務。

3）訂閱雲計算廠商的威脅情報。在行業內出現威脅爆發時進行必要的演練。

4）在面對高等級DDoS威脅時，接入雲計算廠商的行業解決方案，必要時請求DDoS防禦廠商的專家服務。

2．成長型客戶

1）建議配置BGP高防IP+三網高防IP，隱藏源站IP。用高防IP充足的帶寬資源應對可能的大流量攻擊行爲，輔助IP自動調度能力。

2）在發生超大流量攻擊時購買超大容量三網高防，切換到三網高防。

3）面臨超大流量攻擊時封禁海外流量，或者封禁業務主要面向省份以外的攻擊主要來源省份流量。

3．傳統端遊客戶

1）建議配置BGP共享高防包產品，對服務器進行全面防禦。

2）與雲計算廠商合做，接入傳統端遊行業解決方案。

3）建議經過共享防禦包的方式，覆蓋全部公網服務。

4）新遊發佈，重點業務保障，能夠考慮水印防禦和高防IP方案。

4．手遊客戶

1）對核心服務開通必定容量的彈性防禦的BGP高防包。

2）與雲計算廠商合做，接入手遊行業解決方案（集成網絡加速，CDN等）。

3）建議經過共享防禦包的方式，覆蓋全部公網服務。

4）新遊發佈，重點業務保障，能夠考慮水印防禦和高防IP方案。

5）開通海外高防。

瞭解更多騰訊雲新一代高防產品相關信息，請戳：https://cloud.tencent.com/pro...

---

問答

是否有一種方法以編程方式測試瀏覽器GPU加速？ 

相關閱讀

深刻淺出DDoS攻擊防護 

讓子彈多飛一會 | 論如何優化DDoS 

絕地求生外掛源代碼被公佈，或迎神仙大戰時代？

此文已由做者受權騰訊雲+社區發佈，原文連接：https://cloud.tencent.com/dev...

歡迎你們前往騰訊雲+社區或關注雲加社區微信公衆號（QcloudCommunity），第一時間獲取更多海量技術實踐乾貨哦~