في منتصف الليل تلقيت رسالة نصية إنذار التشغيل والصيانة، لعبة اللوحة في منطقة معينة من فقدان الحزمة المجنونة للمنفذ، قم بتسجيل الدخول إلى الخادم لإلقاء نظرة، رجل جيد، كانت حركة مرور UDP Flood هي انفجار عرض النطاق الترددي للتصدير - هذا المشهد مألوف جدًا لدرجة أن فروة رأس الناس مخدرة. صناعة الشطرنج في هذه السنوات هي ببساطة منطقة كوارث هجوم DDoS، وخاصة UDP Flood هذه التكلفة المنخفضة والتأثير الجيد للهجوم، فقط عدد قليل من حركة مرور G يمكن أن يجعل تجربة اللعبة في عرض شرائح.
لماذا يحب المهاجمون استخدام فيضان UDP للعب ألعاب الطاولة؟ السبب الأساسي هو خصائص البروتوكول: UDP نفسه بدون اتصال، ويتعين على الخادم معالجة الحزمة بمجرد استلامها، على عكس TCP، الذي يحتوي على ثلاثة مخازن مؤقتة للمصافحة. على عكس TCP، الذي يحتوي على ثلاثة مخازن مؤقتة للمصافحة، يقوم المهاجمون بانتحال عدد كبير من عناوين IP المصدر لإرسال حزم UDP التافهة، والتي تصل مباشرة إلى منافذ اللعبة. غالبًا ما تحتاج ألعاب الشطرنج إلى الحفاظ على اتصال طويل، فبمجرد أن ينقطع المنفذ، يتباطأ الضوء الثقيل هو الخط بأكمله إلى أسفل، وتكون لعنات اللاعب مسألة صغيرة، وانهيار سمعة المنصة قاتل.
لقد اختبرت ووجدت أن الاعتماد فقط على جدران حماية الأجهزة في غرفة الخادم هو في الأساس مضيعة للوقت. لا يمكن ببساطة تمييز جدران الحماية التقليدية القائمة على الحد الأقصى للسرعة، وحركة المرور الهجومية المختلطة في بيانات اللاعب العادي، ونتيجة الحد الأقصى للسرعة الكاسحة هي قتل اللاعبين العاديين عن طريق الخطأ. في العام الماضي، تم اختراق منصة شطرنج معروفة بشكل مستمر ثلاث مرات، واضطرت أخيرًا إلى إيقاف تصحيح الخدمة، وخسارة ما لا يقل عن سبعة أرقام للبدء.
يجب أن يعمل الحل الفعال حقًا في أبعاد متعددة. بادئ ذي بدء، الفكرة الأساسية: ليس فقط القدرة على تنظيف حركة المرور على حافة الشبكة، ولكن أيضًا على مستوى الخادم لإجراء الفحص الثاني. لا تصدق أبدًا أولئك الذين يتباهون بـ “الحماية الشاملة للعقدة الواحدة” من البائعين، في هذه الأيام حتى شبكة CDN يجب أن تمنع زملاء الفريق - بعض الشركات الصغيرة المصنعة لعقد CDN نفسها هي مصدر الهجوم.
لنبدأ بتنظيف الحافة. يجب أن تتمتع شبكة CDN عالية الدفاع الموثوق بها بالقدرة على تحليل مكدس البروتوكول بعمق، على سبيل المثال، تقوم البصمات الذكية لشبكة CDN07 بعمل جيد. ستقوم عقدها أولاً بإجراء فحوصات امتثال البروتوكول على حزم UDP، وتجاهل الحزم المشوهة بشكل واضح، ثم إجراء تحليل أساسي ديناميكي على تكرار الحزم المتتالية. عند قياسها مقابل فيضان UDP أقل من 20G، يمكن التحكم في المعدل الإيجابي الخاطئ في حدود 0.1%:
لكن تنظيف الحافة وحده لا يكفي. فبعض الهجمات المتقدمة تحاكي تنسيق بروتوكول اللعبة الحقيقي، مما يتطلب وحدات حماية إضافية على مستوى الخادم. يوصى باستخدام برنامج fail2ban مفتوح المصدر مع قواعد مخصصة لمراقبة أنماط حركة المرور غير الطبيعية على منافذ اللعبة على وجه التحديد. على سبيل المثال، إذا تم اكتشاف عنوان IP يرسل حزم UDP بنفس المحتوى بشكل مستمر خلال نفس الثانية، فسيتم حجبها مباشرةً:
علينا أيضًا أن نبصق وظيفة “التعلم الذكي” لبعض البائعين. في العام الماضي، اختبرت في العام الماضي أحد بائعي CDN الذي ادعى أنه قادر على استخدام الذكاء الاصطناعي لتحديد حركة المرور غير الطبيعية، ونتيجة لذلك، تم حظر حزم نبضات قلب اللعبة على أنها هجمات. يجب أن يكون البرنامج الحقيقي الموثوق به مثل 08Host - يتيح لك أولاً تخصيص خط الأساس لحركة المرور العادية للأعمال، ومحرك الحماية القائم على هذا الخط الأساسي لإجراء تعديل ديناميكي. حتى أنهم يدعمون الجدولة دون الإقليمية، وحركة مرور الهجمات الأجنبية مباشرة في العقد الأجنبية لإكمال التنظيف، واللاعبين المحليين بلا معنى تمامًا.
توسيع النطاق الترددي ليس حلاً شاملاً. لقد رأيت نظامًا أساسيًا كان اختراق حركة المرور 300G، اشترى المقامرة عرض نطاق ترددي 500G، نتيجة هجوم الشهر التالي إلى 800G. الممارسة الفعالة حقًا هي التوسع المرن + جدولة حركة المرور. cdn5 في هذا الصدد هو لص دجاج للغاية، يمكن أن تستند شبكة Anycast الخاصة بهم على قوة الهجوم تلقائيًا جدولة حركة المرور إلى مركز التنظيف المختلفة، وفي نفس الوقت مع BGP Anycast لتخفيف حركة مرور الهجوم إلى عدد من العقد! وفيما يلي ملخص لنتائج الدراسة.
أخيرًا قدم اقتراحًا حقيقيًا: اختيار منصة الشطرنج لشبكة CDN عالية الدفاع، ركز على ثلاث نقاط: الأولى هي عدد عقد التنظيف العالمية (30+ على الأقل)، والثانية هي ما إذا كان يجب دعم عمق تخصيص بروتوكول UDP (لتكون قادرًا على تخصيص قواعد المجموع الاختباري للحزم)، والثالثة هي تنظيف المعدل الإيجابي الخاطئ لا يوجد تقرير تدقيق من طرف ثالث. لا تثق أبدًا بأولئك الذين ينفخون في مصنعي القتل الصفري، لقد اختبرت ثلاث شركات مصنعة رئيسية، يمكن أن يقوم معدل قتل حركة المرور العادية للأعمال التجارية بنسبة 0.5% أقل من ممتاز.
في النهاية، برنامج الحماية هو منع السيد المحترم وليس منع الشرير. عندما نواجه هجمات ضخمة بالفعل، فإننا لا نزال بحاجة إلى التعاون مع تتبع معلومات التهديد لخوض معركة طويلة الأمد. في العام الماضي، نجحنا في العام الماضي في تحديد عنوان IP لغرفة خوادم أحد المنافسين من خلال سجلات حركة المرور الخاصة بشركائنا من البائعين، ولم نتوقف إلا بعد أن تم تحذيرنا برسالة محامٍ مباشر. يجب أن تكون ممارسة الشطرنج هذه الأيام، والدفاع التقني والوسائل القانونية صعبة.
في النهاية، لا يوجد حل سحري في الدفاع عن فيضان UDP. يجب عليك استخدام شبكات CDN لنقل حركة المرور، والبرامج النصية لتكملة الكشف، والقوى العاملة للقيام بالمراقبة. يتم تكديس طبقات متعددة من الدفاع من أجل السماح للاعبين بسحب البطاقات والتعامل معها براحة البال - ففي النهاية، لا أحد يريد أن يرى الشبكة محشورة في بطاقة واحدة لك عندما يكون لديك بطاقة واحدة.
