看不清摸不着却伤害力极大,中小游戏团队需要怎么加防护BUFF?

作者:GR 2021-09-17
8月6日,《弈剑行》开服首日即遭到了来自黑客的攻击,战斗服务器由于无法使用高防而瘫痪,最终开发商被迫将联机对战改为单机版,待解决解决服务器防护问题后再更新出联机内容。一时间,《弈剑行》被黑客攻击在行业内传开,不少开发者也是愤怒不已,行业苦其久矣。从TapTap论坛检索来看,像《四叶草剧场》《无尽银河》《证道·伏魔录》等游戏亦在上线之际遭到了黑客攻击。

无独有偶,8月19日,由广州只玩科技发行的国产手游《半盏复古行》在上线首日亦遭到黑客多轮攻击,对方使用80万个游客账号同时登陆,另有大几万个真实身份证、手机号账号。在上线前就有所准备的只玩科技只身难敌对手,好在最终联合腾讯安全在半日内成功抵御住了黑客攻击,最终保证游戏稳定运行。


近日,只玩科技和腾讯安全就本次《半盏复古行》抵御黑客攻击一事进行了还原和经验分享,希望能给中小游戏团队在游戏安全侧的一些启发。

一、

《半盏复古行》是一款剧情向合成手游,玩家经营一个古董修复行。游戏涵盖古董收集,萌宠养成,剧情闯关等多种玩法,在上线之前便在TapTap获得了15万的关注量,此外各个渠道也给了很大的首发支持,是一款玩家热度相当不错的产品。

只玩科技联合创始人雨林回忆,在《半盏复古行》正式开服之前(8月18日),只玩科技就发现有非常大量的预下载和注册,他们对这一过程进行了检测,并且把恶意的情况进行了屏蔽和删除。同时加大服务器集群,并在空服务器做好相应部署,当时评估这些准备应该足以面对常规攻击。这一天大概清理了80万无效用户。

到了第二天(8月19日)早上7点,只玩科技开始准备上午10点的首发。然后他们发现资源占比极其不正常,很多服务器出现了100%的占用率,各个端口情况异常,以及有大量的流量清洗行为。随后他们开始针对这一行为进行干预,对前端架构和服务器设置进行调整,抵御了非常多的攻击。但因服务器上仍然有一些漏洞,而这被对方盯上并被大量的流量攻击。


抵抗了一上午还未解决问题,只玩科技评估单凭自己团队技术能力会难以招架这些黑产的流量攻击。于是他们联系了腾讯安全团队,其在第一时间,10分钟内就组建起了20人左右的团队,并且快速地和只玩科技进行沟通,将合适的产品和方案进行了培训及部署。紧接着就是从开服当天到第二天凌晨两点的艰辛的攻防之战,直至最后的胜利。

为何说是艰辛的攻防之战呢?一是攻击呈复合型且攻防多回合。二是,只玩科技在抵御攻击过程中身心俱疲,团队心理经历多次崩溃与重建。

以往新游戏上线的时候,遭受的一些DDoS攻击,它相当于大流量把带宽打爆,所有正常的流量都无法进入到服务器,这个时候无论做什么其实都是很难抵御住的,只有靠硬件资源去清洗。

只玩科技技术合伙人苏打告诉我们,这次《半盏复古行》除了DDoS攻击,还混合了CC攻击,情况更为复杂。从19号中午一直到20号凌晨,腾讯安全和只玩科技联手进行了多次来回攻防,每部署一个新的策略,黑客就会更新一套攻击方式,此间大概经历了十几轮的攻击与防御。最终在20号凌晨两点多,《半盏复古行》服务器终于稳定下来,经过短暂整休后迎来正式开服。

雨林表示游戏上线前他们一度很紧张,担心出现负面情况,甚至做好了“炸服补偿“的玩家活动预案。随着离预定的10点开服时间越来越近,无论是发行方还是研发方都忐忑不安,紧张地排查和封堵各种问题。但一次又一次满怀期待能回归正常又被新一轮的攻击而破防,不得不说,实在是内心煎熬。

随着未能正常开服成为既定事实,只玩科技开始明确事已至此不如全力以赴把漏洞都找出来封堵,把技术问题解决清楚,给玩家一个更好的交代。话虽如此,五小时过去了,发现还是未能妥善解决问题。好在最后,只玩科技联手腾讯安全团队,逐步部署起有效的防御产品策略,并针对游戏本身调整了框架,封堵安全漏洞,直至对手无招悻悻而退。


在这一事件过程中,只玩科技还在玩家论坛开启了抵御黑客攻击的事件直播,让玩家们第一事件知晓游戏开服的最新进展,同时也针对开服情况给玩家相应的补偿,对于预先充值未能及时体验到游戏的情况也进行了全额退款的服务。当然,对于各个渠道给的首发资源被白白浪费也实属无奈了。

只玩科技在事后进行复盘时,推断《半盏复古行》所受的攻击为有组织有预谋的行为,技术框架内的每一环都被尝试攻破,其中大几万的(伪)真实账号确实从肉眼上难以判别真伪。事后也并没有黑客组织认领这一攻击行为,无从判断其背后的真正动机。这让笔者也不禁好奇,黑客组织攻击游戏产品到底是为了什么,都有哪些攻击方式,腾讯安全团队在此次抵抗黑客攻击上又做了哪些策略选择?

二、

腾讯云游戏行业高级架构师王睿给我们进行了简单的行业科普,黑客攻击大体上可以分为两种方式。首先从目的来看,他想让你的服务器不可用,这种目的会有DDoS攻击,以及CC攻击。黑客比较常用的DDoS,成本比较低,不需要破解任何协议,只要用流量就可以实现目的。还有一种目的是他希望在游戏里获利,比如偷源代码、打金、外挂,黑客会破解客户端和服务端的协议,伪造协议刷漏洞。这种目的会有APT攻击。

从攻击动因来说,黑产团伙发起攻击的原因大多数都是金钱驱动。一部分,在巨额佣金的刺激下,通过对企业发起DDoS攻击,帮助企业竞争对手抢夺市场和用户;另一部分,则利用攻击对企业敲诈勒索来获得酬金。对于市面上热度高、受用户欢迎的游戏,往往会被黑产盯上,攻击这些游戏造成影响更大,黑客可能勒索得到更多的金钱,来自厂商的竞争对手也会给出更多的报酬。


除此之外,游戏攻击对游戏内容生态也有不良的影响,比如像外挂对破坏平衡性有着巨大的影响。比如打金工作室,通过倒刷物品、货币,倒卖账号,获得额外的收益,这些行为将缩短游戏的生命周期。

王睿表示,黑产在游戏行业内一直存在,不论大公司还是小公司都会经历这些,只不过大公司安全规范比较好,技术实力比较强,资源比较充分,所以大公司对于这些攻击他可以抵挡的住,造成的影响也比较小,但是对于小公司来说,几乎是很难抵御相同量级的攻击。

腾讯安全产品研发总监董文辉补充说道,黑客攻击呈现集团化、专业化的发展趋势,根本目还是获利。回过头来看《半盏复古行》这次受到的安全攻击,它在应用层面模拟真实的玩家,向服务器发送正常的请求,类似可以理解为,服务器当天准备了10万人的资源但事实上有几百万人同时向服务器发送请求,而且那些(伪)玩家发送的请求会访问一些玩家很少访问到的接口,导致服务器资源占用量超过100%。

面对这些专业化、复合型的攻击,腾讯安全团队首先是分析和识别攻击流量IP;第二是分析其行为特征,判断是PC还是手机端的发起的访问;第三是行为识别,判断真人还是假人。通俗来讲,就是腾讯安全团队首先会判断攻击类型是什么,然后再匹配相应的安全产品,协助只玩科技的技术人员如何过滤正常的玩家流量,然后去抓包,抓攻击的流量,接下来通过攻击的流量来分析用什么策略,再进行匹配。只玩科技在之前封测的时候,部分的服务器ip已经暴露了,那些攻击绕过了防火墙,打到了他真实的服务器上,这个时候就要做服务器加固,在比较紧急的情况也先更换了真实服务器的IP,攻击的流量就打不过来了,后面再在整个架构上做一个收敛。这里给游戏厂商一点建议就是,真实的服务器IP不要对外,要收敛到防火墙后面,这样攻击就无法绕过防火墙。


据腾讯安全联合绿盟科技发布的《2021上半年全球DDoS威胁报告》分析,在行业低门槛、高竞争性、高利益特性的持续影响下,2021年上半年,游戏仍然是DDoS攻击最集中的行业,占整体分布的39%。

也就是说,对于游戏厂商而言,安全防御必须要纳入到游戏开发、运营过程中。那中小游戏团队,应该如何部署安全防御策略呢?对此腾讯游戏安全团队又有何建议呢?

三、

在操作层面,其实无论游戏厂商大小,王睿建议在游戏产品构建安全防护过程中,事前应该要遵循一些防御性编码的规则以及安全部署规范,在事前还需要进行一些安全防护的演练,比如说DDoS攻击或者说应用层攻击的一些演练,以及一些QA的验证测试。

对于事中的话,游戏攻击已经开始发生了,这个时候主要目的:第一,切断攻击源。第二,尽快地恢复业务。

事后也要对整个攻击事件进行了复盘,找到其中的一些漏洞。事实上很多游戏厂商在没有攻击的时候也会做一些像混沌工程这种东西,就是说自己主动造成一些混乱,或者说自己攻击自己,来发现自己整个体系中是否有一些漏洞,然后进行补全。

在开发、运维的过程,游戏厂商要有意识地去避免,防御式编程在运维部署的过程中,做一些最小权限的管理,做各种控制权限的事情,防止不必要的暴露。开发者在做游戏内容的同时也要有安全防御的思想,并嵌入到开发和部署运维过程中,这样会给自己的公司省一大笔钱。


在人才和安全队伍组建方面,董文辉表示,对于中小游戏厂商来说,自己组建安全队伍投入比较大,因为目前安全人才相对稀缺,难以找到好士兵。中小企业的防护建议,第一是要把整个安全防线给拉起来,用一些安全工具如WAF(Web应用防火墙)这样的产品,把防线拉起来,同时后面还有DDoS、主机安全,配套一些管理类的工具。第二是要有好用的安全战士,人才方面可以交给专业的第三方比如腾讯云代运维,比自己投入要节省很多成本。

苏打坦言,只玩科技经历过这次之后收获了不少的防御经验,对整个安全体系的知识度有比较深的了解,包括一些防御手段。另外也看到了自身的一些不足,也通过这些攻防,对一些漏洞、疏忽留下来的问题也进行了修补。比如,把服务器给收敛起来,业务取消对外的访问,全部通过负载均衡来对外,在资产均衡上通过腾讯安全的WAF防火墙来访问,外客访问通过防火墙做一个拦截,内网则通过公司登录腾讯安全产品之后才能访问服务器,整体提高安全档次,黑客也很难再单独绕过防火墙去入侵只玩游科技的服务器。而一些静态资源则放到分布式CDN中,包括针对这次事件也对数据库进行了优化,也更加清晰地认识到安全对于整个团队的意义是什么。

四、

黑产未来会是什么样子,并不能完全预估,因为不管是技术方面还是攻防策略的成长,都是在此消彼长的。董文辉强调,游戏厂商和黑产斗争是一个动态且会长期存在的事实,只要有利益黑客就会一直盯着。防御是动态的,攻防也是动态的。安全攻防是没有一招制敌的法宝,把防御体系建好是一个比较务实的做法,能找到一个长期的合作伙伴共同进步也是一个比较好的方式。

在游戏行业安全防护的布局上,腾讯云正规划推出一个类似与新游上线安全护航的服务,包含腾讯云旗下所有的安全服务,包括服务端的review、安全的加固,产品的接入,整套的服务是针对新游上线,这产品目前还没有推出,游戏厂商有类似的需要可以和腾讯云进行沟通。


王睿表示,他们作为安全能力提供方,是不会向黑客妥协,他们也是尽可能的去帮助厂商抵御攻击。游戏厂商其实很少愿意向黑客妥协,因为一旦向某一次攻击的黑客妥协,那后面其他的黑客就知道他是那个容易妥协的厂商,攻击会向他集中过来。

只玩科技对于本次《半盏复古行》受到的黑客攻击,也把所有的非法侵入的身份证信息,电话信息,IP的地址以及各种攻击日志的轨迹的记录情况,全部都以正确的形式提交给了相关的国家部门,坚决抵制黑客攻击这股恶势力。

结语

在抵御黑客攻击这场看不见硝烟的战场上,中小团队游戏确实较难以招架其来势汹汹,且呈现复合型的攻击。除了打好游戏安全基础、建立健全的防御机制,同时也寻找到合适的安全防护公司合作,也能构建起贴合中小团队自身需求的防护墙。此外,抵御黑客攻击也需要全游戏行业的共同努力,黑客攻击也是讲成本的,游戏厂商们应该坚定立场,让他们无利可图、无功而返,绝不向他们任何一方妥协。


原文:https://mp.weixin.qq.com/s/64A2XSCFVsZp6_5W4eMbHQ

最新评论
暂无评论
参与评论

商务合作 查看更多

编辑推荐 查看更多