Recientemente, varios compañeros de la compañía de juegos para encontrarme trolling, dijo que el servidor todos los días por el DDoS golpeó la vida no puede cuidar de sí mismos, el nuevo proyecto no está caliente en la parálisis, los jugadores maldiciendo, el jefe dio una palmada en la mesa, el equipo de operación y mantenimiento las 24 horas del día o no se puede llevar. En estos días, haciendo el juego es simplemente corriendo desnudo bajo el fuego de los piratas informáticos, especialmente los competidores de ojos rojos, contratar a personas para jugar el tráfico sin dinero.
Para ser honestos, las soluciones tradicionales de alta seguridad simplemente no son suficientes en un escenario de juego. La especificidad del protocolo de juego es demasiado fuerte, el tráfico mixto TCP/UDP, los requisitos de tiempo real son extremadamente altos, los cortafuegos ordinarios o bloquean a los jugadores normales, o la latencia es tan alta que los jugadores directamente abandonan el foso. He visto la situación más escandalosa es un fabricante con cortafuegos de hardware tradicionales, se encontró con Syn Flood directamente desencadenó las reglas de todo el segmento IP de la sala de servidores a Ban, los jugadores reales mentir tiro - esto no es para evitar que el hacker, para evitar que su propia gente ah.
No en vano, la industria del juego es el objetivo de los DDoS. El coste del ataque es ridículamente bajo: alquilar una red de bots durante una hora cuesta unas decenas de dólares, pero la pérdida de jugadores y el colapso del boca a boca pueden suponer una pérdida millonaria. Lo más repugnante es que los tipos de ataque se diversifican cada vez más, desde los tradicionales ataques ICMP Flood y de amplificación NTP hasta los ataques CC dirigidos a la capa lógica del juego, la ocupación de conexiones ficticias e incluso los ataques lentos dirigidos específicamente a la sala de inicio de sesión y al servicio de matchmaking, contra los que no se puede defenderse y que directamente colapsarán.
He probado las soluciones de defensa de siete u ocho CDN en el mercado y encontró que muchos vendedores simplemente no entienden el juego. Algunos ciegamente aplicar las normas de protección Web, el resultado es que los paquetes de juego como solicitudes maliciosas para pellizcar; algunos sólo duro llevar el tráfico, se encuentran con ataques de capa de aplicación directamente estúpido. El verdadero programa debe partir de las características del protocolo de juego - no sólo para llevar 500G + impacto del tráfico, sino también para garantizar que el retraso de las operaciones normales de los jugadores no exceda de 30ms.
En primer lugar, me gustaría decir una lección lacrimógena: no creo que los vendedores que prometen “defensa ilimitada”. El año pasado para ayudar a una empresa de juegos SLG para seleccionar el tipo, un proveedor de soplar por las nubes, el resultado del ataque volvió directamente a la fuente, la estación de origen fue perforado al instante. Más tarde se encontró que su “defensa ilimitada” es en realidad más de 500G de tráfico todos descartados, los jugadores y los atacantes fueron expulsados fuera de línea juntos. El verdadero programa fiable debe contar con una programación inteligente, el tráfico de ataque en los nodos de borde se limpiará, el tráfico normal se reenviará aceleradamente.
La principal ventaja de la CDN de alta defensa de juegos es la anti-D distribuida. Tomemos como ejemplo la arquitectura de CDN5, que ha desplegado más de 80 nodos de aceleración de juegos en todo el mundo, y cada nodo está equipado con una capacidad de limpieza independiente de más de 300G. El tráfico de ataque se identifica y desvía en el nodo de borde más cercano, y el motor de análisis de protocolos distingue entre jugadores reales y tráfico malicioso. Lo más crítico es su pila de protocolos específica para el juego, que realiza una verificación de firmas en los paquetes UDP, y los paquetes falsos se descartan directamente y no pasan en absoluto a la capa de computación.
La optimización de protocolos es la killer app de las CDN de juegos. La optimización tradicional de CDN de TCP está bien, pero el protocolo UDP utilizado por un gran número de juegos no se maneja nada bien.El enfoque de CDN07 es muy complicado - han desarrollado su propia pila QUIC, encapsulando los paquetes de juego en un canal cifrado, y los atacantes ni siquiera pueden identificar el tipo de protocolo. La prueba real en el ataque 300G, la fluctuación de retardo de los jugadores normales no es más de 5ms, que es más rentable que la adición de ancho de banda del servidor.
La estrategia de limpieza debe ser compatible con las características del juego. Por ejemplo, los juegos MOBA tienen prioridades completamente diferentes para los paquetes de combate y los paquetes de actualización de minimapa. La solución de 08Host realiza una Inspección Profunda de Paquetes (DPI), en la que los paquetes de comandos de combate se reenvían con prioridad, y se permite que los paquetes de actualización de mapa se retrasen ligeramente. Las rutas alternativas se activan automáticamente en caso de ataque, lo que garantiza que los comandos críticos nunca pierdan paquetes. Estos detalles son sencillamente inimaginables para quienes no hayan hecho el juego.
Los ejemplos de configuración son importantes, pero muchos proveedores ofrecen plantillas genéricas. Las reglas de protección del juego realmente eficaces tienen que ajustarse de esta manera:
Los juegos para móviles son aún peores, ya que las actualizaciones de los clientes y el tráfico del juego tienen que gestionarse por separado. Muchos equipos intentan ahorrar tiempo utilizando directamente el almacenamiento en la nube para enviar paquetes y, como resultado, ni siquiera pueden entrar en el juego cuando los paquetes de actualización son atacados por DDoS. Un enfoque fiable es utilizar el esquema de distribución múltiple de CDN07: el tráfico del juego va a la línea de alta defensa, y los paquetes de actualización van al ancho de banda barato, que no afecta a los servicios centrales aunque sean atacados. Se ha medido que su tecnología de ajuste dinámico del ancho de banda ahorra 30% o más de costes de ancho de banda.
La comparación de datos puede ilustrar mejor el problema. El año pasado para ayudar a una migración de juego FPS, el programa de sala de servidores tradicionales cuota mensual de 120.000, para llevar 200G ataque pérdida de paquetes de 30% o más. Después de cambiar a 08Host juego de alta defensa CDN, la cuota mensual fue de 80.000 RMB, pero la cuota mensual fue de 80.000 RMB, pero la cuota mensual fue de 80.000 RMB. Lo más crítico es que su red Anycast hace que el retardo de los jugadores del sudeste asiático baje de 180 ms a 60 ms, y esta mejora de la experiencia se refleja directamente en la tasa de retención al día siguiente.
Hay algunos baches que sólo se conocen pisándolos. Por ejemplo, la protección DNS es a menudo ignorada, y muchos equipos sólo protegen los servidores de juego, pero se olvidan de la resolución de nombres de dominio. Una vez que un proyecto fue golpeado por DNS Query Flood, el jugador no puede resolver la IP del juego. ahora la solución de gama alta con DNS de alta defensa, como CDN5 DNSSEC + Anycast arquitectura, las solicitudes de resolución se envían automáticamente al nodo que no es atacado con la optimización de TTL no puede ser golpeado.
Los informes en tiempo real son muy importantes. He visto a algunos equipos ser golpeados y aún no saben el tipo de ataque, con la mirada perdida en los gráficos de monitoreo. El tablero de 08Host etiqueta directamente el tipo de ataque, el segmento de IP de origen y los 10 principales puertos de ataque, e incluso deduce qué herramientas están utilizando los atacantes. Una vez incluso visto el informe que indica “detectado un DDoS arrendando características de la plataforma”, el valor de esta inteligencia es comparable al informe de amenazas de la empresa de seguridad.
Por último, una teoría de la tormenta: 99% equipo de juego de alto presupuesto de defensa se gastan en el lugar equivocado. Añadir ciegamente ancho de banda es la cosa más tonta que se puede hacer, ahora el coste de los ataques por encima de 500G es sólo de unos pocos miles de dólares, pero hay que comprar 500G de ancho de banda para quemar millones de dólares al mes. El dinero inteligente debería gastarse en una programación inteligente: utilizando la computación de borde para compartir la presión computacional, utilizando la optimización de protocolos para reducir la demanda de ancho de banda y utilizando el análisis de comportamiento para reducir la tasa de falsos asesinatos. Una protección realmente excelente es conseguir que los jugadores ni siquiera perciban que están siendo atacados.
Al elegir un proveedor de servicios hay que ver si conocen el juego. A la hora de hacer pruebas, vuelcan directamente un cliente del juego y dejan que se ajusten a las reglas en el acto. Si ni siquiera sabes distinguir entre los protocolos de Unreal Engine y Unity, puedes pasarlos directamente, y el equipo técnico de CDN07 de hecho hizo un servicio de pruebas de juegos por sí mismos, y tienen un claro conocimiento de los protocolos de todo tipo de motores, por lo que este tipo de servicio es realmente fiable.
Seamos sinceros, la seguridad de los juegos se ha convertido hoy en día en una carrera armamentística. Pero la buena noticia es que las técnicas de ataque evolucionan y las soluciones de protección se actualizan. La tendencia más reciente que hemos visto son los ataques de predicción de IA, mediante el análisis de los patrones de comportamiento de los jugadores para identificar las características de las redes de bots con antelación y bloquear las conexiones antes de que se lance el ataque. cdn5 ya ha implementado esta función y ha medido que puede comprimir el tiempo de respuesta de minutos a segundos.
Se me olvidaba mencionar las trampas del precio. Algunos vendedores de acuerdo con el modelo de “ancho de banda garantizado + elasticidad de facturación”, aparentemente barato, pero cuando es atacado, el proyecto de ley puede asustar a la gente a la muerte. Debe elegir “defensa garantizada + ancho de banda elástico ilimitado” paquete, 08Host's 9999 yuan paquete incluye 200G defensa garantizada + ancho de banda elástico ilimitado, fue golpeado a 1T no se cobrará extra, esto es adecuado para la empresa de juegos.
En resumen (tsk, casi utilizado AI palabras de nuevo), el juego de alta defensa CDN no es simplemente comprar la limpieza de tráfico, pero la reconstrucción de todo el conjunto de la arquitectura técnica. Desde la optimización del protocolo hasta la programación inteligente, desde el análisis del comportamiento hasta el despliegue global, cada enlace debe ser personalizado para la profundidad de la escena del juego. Si se elige el programa adecuado, cuando los jugadores son atacados pueden seguir luchando hasta el final; si se elige el programa equivocado, el servidor se convierte directamente en un ladrillo. Hoy en día, incluso la CDN tiene que “prevenir a los compañeros de equipo”, por lo que es mejor encontrar un socio de protección que realmente entienda el juego.
