في الآونة الأخيرة ، قال العديد من رفاق شركة الألعاب لتجد لي التصيد ، قال الخادم كل يوم من قبل DDoS ضرب الحياة لا يمكن أن يعتني بأنفسهم ، والمشروع الجديد ليس ساخنًا على الشلل ، واللاعبين الذين يشتمون ، والرئيس صفع الطاولة ، وفريق التشغيل والصيانة 24 ساعة في اليوم أو لا يمكن حمله. في هذه الأيام، فإن القيام باللعبة هو ببساطة الركض عاريًا تحت نيران المتسللين، وخاصة أولئك المنافسين ذوي العيون الحمراء، وتوظيف أشخاص للعب حركة المرور بدون مال.
لنكون صادقين، الحلول الأمنية العالية التقليدية ببساطة ليست كافية في سيناريو الألعاب. خصوصية بروتوكول اللعبة قوية للغاية، وحركة المرور المختلطة TCP/UDP، ومتطلبات الوقت الحقيقي عالية للغاية، وجدران الحماية العادية إما أنها تحجب اللاعبين العاديين، أو أن زمن الوصول مرتفع للغاية لدرجة أن اللاعبين تخلوا عن الحفرة مباشرة. لقد رأيت الوضع الأكثر فظاعة هو الشركة المصنعة مع جدران الحماية التقليدية للأجهزة، واجهت Syn Flood مباشرةً قواعد قطاع IP لغرفة الخادم بأكمله لحظر، واللاعبين الحقيقيين الذين يكذبون بالرصاص - وهذا ليس لمنع القراصنة، لمنع شعبهم آه.
ليس من قبيل الصدفة أن صناعة الألعاب مستهدفة من قبل DDoS. فتكلفة الهجوم منخفضة بشكل يبعث على السخرية: استئجار شبكة روبوتات لمدة ساعة يكلف بضع عشرات من الدولارات، لكن خسارة اللاعبين وانهيار كلمة السر يمكن أن تكون خسارة مليون دولار. الأمر الأكثر إثارة للاشمئزاز هو أن أنواع الهجمات أصبحت أكثر تنوعًا، من هجمات ICMP Flood التقليدية وهجمات تضخيم NTP إلى هجمات CC التي تستهدف طبقة منطق اللعبة، واحتلال الاتصال الوهمي، وحتى الهجمات البطيئة التي تستهدف تحديدًا قاعة تسجيل الدخول وخدمة التوفيق بين اللاعبين، والتي لا يمكن الدفاع ضدها وستتعطل مباشرة.
لقد اختبرت الحلول الدفاعية لسبع أو ثماني شبكات CDN في السوق ووجدت أن العديد من البائعين ببساطة لا يفهمون اللعبة. البعض يطبقون قواعد حماية الويب بشكل أعمى، ونتائج حزم اللعبة كطلبات خبيثة للقرص؛ والبعض الآخر سيحمل حركة المرور الصعبة فقط، ويواجه هجمات طبقة التطبيق الغبية مباشرة. يجب أن يبدأ البرنامج الحقيقي من خصائص بروتوكول اللعبة - ليس فقط لحمل 500G + تأثير حركة المرور، ولكن أيضًا لضمان ألا يتجاوز تأخير عمليات اللاعب العادية 30 مللي ثانية.
بادئ ذي بدء، أود أن أقول درسًا مبكيًا: لا تصدق هؤلاء البائعين الذين يعدون “بالدفاع غير المحدود”. في العام الماضي لمساعدة شركة ألعاب SLG على اختيار النوع، قام أحد البائعين بنفخ السماء، وعادت نتيجة الهجوم مباشرة إلى المصدر، وتم اختراق محطة المصدر على الفور. اكتشف لاحقًا أن “دفاعهم غير المحدود” هو في الواقع أكثر من 500 جرام من حركة المرور تم التخلص منها جميعًا، وتم طرد اللاعبين والمهاجمين معًا. يجب أن يكون البرنامج الحقيقي الموثوق به مع الجدولة الذكية، وسيتم تنظيف حركة المرور الهجومية في العقد الطرفية، وتسريع إعادة توجيه حركة المرور العادية.
إن الميزة الأساسية لشبكة CDN عالية الدفاع عن الألعاب هي مكافحة الدفاع الموزعة. خذ بنية CDN5 كمثال، فقد نشروا أكثر من 80 عقدة تسريع ألعاب على مستوى العالم، وكل عقدة مجهزة بقدرة تنظيف مستقلة تزيد عن 300 جيجا بايت. يتم التعرف على حركة مرور الهجمات وتحويلها في أقرب عقدة حافة، ويميز محرك تحليل البروتوكول بين اللاعبين الحقيقيين وحركة المرور الخبيثة. والأكثر أهمية هو مكدس البروتوكول الخاص باللعبة، والذي يقوم بالتحقق من التوقيع على حزم UDP، ويتم تجاهل الحزم المزيفة مباشرةً ولا يتم تمريرها إلى طبقة الحوسبة على الإطلاق.
تحسين البروتوكول هو التطبيق القاتل لشبكات CDN للألعاب. التحسين التقليدي لشبكات CDN التقليدية لـ TCP لا بأس به، لكن بروتوكول UDP الذي يستخدمه عدد كبير من الألعاب لا يتم التعامل معه بشكل جيد على الإطلاق، نهج CDN07 صعب للغاية - لقد طوروا مكدس QUIC الخاص بهم، حيث قاموا بتغليف حزم اللعبة في قناة مشفرة، ولا يمكن للمهاجمين حتى تحديد نوع البروتوكول. الاختبار الفعلي في هجوم الـ 300G، لا يزيد تذبذب التأخير للاعبين العاديين عن 5 مللي ثانية، وهو أكثر فعالية من حيث التكلفة من إضافة عرض النطاق الترددي للخادم.
يجب أن تدعم استراتيجية التنظيف خصائص اللعبة. على سبيل المثال، تتمتع ألعاب MOBA بأولويات مختلفة تمامًا لحزم الأوامر القتالية وحزم تحديث الخريطة المصغرة. 08Host يقوم حل 08Host بإجراء فحص عميق للحزم (DPI)، حيث يتم إعادة توجيه حزم الأوامر القتالية بأولوية، ويُسمح بتأخير حزم تحديث الخريطة قليلاً. يتم تمكين المسارات البديلة تلقائيًا في حالة حدوث هجوم، مما يضمن عدم فقدان حزم الأوامر الحرجة أبدًا. هذه التفاصيل ببساطة لا يمكن تخيلها لمن لم يمارس اللعبة.
أمثلة التكوين مهمة، لكن العديد من البائعين يقدمون قوالب عامة. يجب مطابقة قواعد حماية اللعبة الفعالة حقًا بهذه الطريقة:
ألعاب الهاتف المحمول أسوأ من ذلك، حيث يجب التعامل مع تحديثات العميل وحركة مرور اللعبة بشكل منفصل. تحاول الكثير من الفرق توفير الوقت من خلال استخدام التخزين السحابي مباشرةً لإرسال الحزم، ونتيجةً لذلك، لا يمكنهم حتى الدخول إلى اللعبة عندما تتعرض حزم التحديثات إلى DDoS. يتمثل النهج الموثوق به في استخدام مخطط التوزيع المتعدد الخاص بـ CDN07: تذهب حركة مرور الألعاب إلى خط الدفاع العالي، وتذهب حزم التحديث إلى النطاق الترددي الرخيص، والذي لا يؤثر على الخدمات الأساسية حتى لو تعرضت للضرب. وقد تم قياس تقنية تعديل عرض النطاق الترددي الديناميكي الخاصة بهم لتوفير 301 تيرابايت أو أكثر من تكاليف عرض النطاق الترددي.
يمكن لمقارنة البيانات أن توضح المشكلة بشكل أفضل. في العام الماضي للمساعدة في ترحيل لعبة FPS، كانت الرسوم الشهرية لبرنامج غرفة الخادم التقليدية 120,000،000 رنمينبي شهريًا، لتحمل فقدان حزمة هجوم 200G 30% أو أكثر. بعد التبديل إلى شبكة CDN عالية الدفاع عن الألعاب من 08Host، كانت الرسوم الشهرية 80,000 رنمينبي، لكن الرسوم الشهرية كانت 80,000 رنمينبي، لكن الرسوم الشهرية كانت 80,000 رنمينبي. والأمر الأكثر أهمية هو أن شبكة Anycast الخاصة بهم تجعل التأخير للاعبين من جنوب شرق آسيا ينخفض من 180 مللي ثانية إلى 60 مللي ثانية، وينعكس هذا التحسين في التجربة بشكل مباشر على معدل الاحتفاظ في اليوم التالي.
هناك بعض الثغرات التي لا يمكن معرفتها إلا بالوقوف عليها. على سبيل المثال، غالبًا ما يتم تجاهل حماية DNS، والعديد من الفرق تحمي خوادم الألعاب فقط وتنسى حل اسم النطاق. بمجرد إصابة المشروع بفيضان استعلام DNS، لا يمكن للاعب حل عنوان IP الخاص باللعبة. الآن الحل المتطور مع الدفاع العالي لنظام أسماء النطاقات، مثل CDN5 DNSSEC + بنية Anycast، يتم إرسال طلبات الدقة تلقائيًا إلى العقدة التي لا تتعرض للهجوم مع تحسين TTL لا يمكن أن تضرب.
الإبلاغ في الوقت الحقيقي مهم جداً. لقد رأيت بعض الفرق التي تتعرض للهجوم ولا تزال لا تعرف نوع الهجوم، وتحدق في مخططات المراقبة دون أن تعرف نوع الهجوم، بينما لوحة معلومات 08Host تصنف مباشرةً نوع الهجوم، وشريحة بروتوكول الإنترنت المصدر، وأهم 10 منافذ للهجوم، بل وتستنتج الأدوات التي يستخدمها المهاجمون. حتى أنه بمجرد الاطلاع على التقرير الذي يطالبك بـ “اكتشاف ميزات منصة تأجير DDoS”، فإن قيمة هذه المعلومات الاستخباراتية تضاهي تقرير التهديدات الذي تصدره شركة الأمن.
أخيراً، نظرية العاصفة: يتم إنفاق ميزانية الدفاع العالية لفريق لعبة 99% في المكان الخطأ. إن إضافة عرض النطاق الترددي بشكل أعمى هو أغبى شيء يمكن القيام به، الآن تكلفة الهجمات التي تزيد عن 500G هي بضعة آلاف من الدولارات فقط، ولكن عليك شراء عرض نطاق ترددي 500G لحرق ملايين الدولارات شهرياً. يجب إنفاق الأموال الذكية على الجدولة الذكية - استخدام الحوسبة الطرفية لتقاسم الضغط الحسابي، واستخدام تحسين البروتوكول لتقليل الطلب على النطاق الترددي، واستخدام التحليل السلوكي لتقليل معدل القتل الخاطئ. الحماية الممتازة حقاً هي جعل اللاعبين لا يدركون حتى أنهم يتعرضون للهجوم.
عند اختيار مزود خدمة يجب عليك معرفة ما إذا كانوا يعرفون اللعبة. عند الاختبار، سيقومون مباشرةً بتفريغ عميل اللعبة والسماح لهم بمطابقة القواعد على الفور. إذا كنت لا تستطيع حتى معرفة الفرق بين بروتوكولات Unreal Engine و Unity، فيمكنك تمريرها مباشرة، وقد قام فريق CDN07 التقني في الواقع بإنشاء خدمة اختبار الألعاب بأنفسهم، ولديهم فهم واضح لبروتوكولات جميع أنواع المحركات، لذا فإن هذا النوع من الخدمات موثوق به حقًا.
لنكن صادقين، أصبح أمن الألعاب سباق تسلح هذه الأيام. ولكن الخبر السار هو أن تقنيات الهجوم آخذة في التطور، وحلول الحماية يتم تحديثها. أحدث الاتجاهات التي شهدناها هي هجمات التنبؤ بالذكاء الاصطناعي - من خلال تحليل أنماط سلوك اللاعبين لتحديد ميزات الروبوتات مسبقاً، وحظر الاتصالات قبل إطلاق الهجوم. وقد طبقت cdn5 هذه الميزة بالفعل، وقاست قدرتها على ضغط وقت الاستجابة من دقائق إلى ثوانٍ.
نسيت أن أذكر مزالق السعر. بعض البائعين وفقًا لنموذج “عرض النطاق الترددي المضمون + فواتير المرونة”، يبدو رخيصًا، ولكن عند الهجوم، يمكن أن تخيف الفاتورة الناس حتى الموت. يجب اختيار حزمة “الدفاع المضمون + عرض النطاق الترددي المرن غير المحدود”، تتضمن حزمة 08Host's 9999 يوانًا حزمة 200G دفاع مضمون + عرض نطاق ترددي مرن غير محدود، لن يتم فرض رسوم إضافية على 1T، وهذا مناسب لشركة الألعاب.
باختصار (tsk، كدت أستخدم كلمات الذكاء الاصطناعي مرة أخرى)، فإن شبكة CDN عالية الدفاع عن اللعبة ليست مجرد شراء تنظيف حركة المرور، ولكن إعادة بناء مجموعة كاملة من البنية التقنية. من تحسين البروتوكول إلى الجدولة الذكية، من التحليل السلوكي إلى النشر العالمي، يجب تخصيص كل رابط لعمق مشهد اللعبة. اختر البرنامج الصحيح، وعندها يمكن للاعبين المهاجمين أن يستمروا في القتال حتى النهاية؛ اختر البرنامج الخاطئ، وسيتحول الخادم مباشرةً إلى لبنة. في هذه الأيام، حتى شبكة CDN يجب أن “تمنع زملاء الفريق”، لذا من الأفضل العثور على شريك حماية يفهم اللعبة حقًا.
