En medio de la noche recibió el mensaje de texto de alarma de operación y mantenimiento, el juego de mesa de una determinada zona del puerto loco pérdida de paquetes, inicie sesión en el servidor para echar un vistazo, buen chico, el tráfico UDP Flood ha sido la explosión de ancho de banda de exportación - esta escena es tan familiar que el cuero cabelludo de la gente entumecida. Industria del ajedrez en estos años es simplemente una zona de desastre ataque DDoS, especialmente UDP Flood este bajo costo y buen efecto del ataque, sólo unos pocos G tráfico puede hacer que la experiencia de juego en una presentación de diapositivas.
¿Por qué a los atacantes les encanta utilizar UDP Flood para jugar a juegos de mesa? La razón fundamental son las características del protocolo: el propio UDP es sin conexión, y el servidor tiene que procesar el paquete en cuanto lo recibe, a diferencia de TCP, que tiene tres búferes de handshake. A diferencia de TCP, que tiene tres buffers de handshake, los atacantes suplantan un gran número de IPs de origen para enviar paquetes UDP basura, que llegan directamente a los puertos del juego. Juegos de ajedrez a menudo necesitan para mantener una larga conexión, una vez que el puerto se lava a cabo, la luz se está quedando pesado es toda la línea hacia abajo, el jugador maldice son poca cosa, el colapso de la reputación de la plataforma es fatal.
He probado y encontrado que confiar únicamente en los cortafuegos de hardware en la sala de servidores es básicamente una pérdida de tiempo. Los cortafuegos tradicionales basados en el límite de velocidad de umbral, el tráfico de ataque mezclado en los datos normales del jugador simplemente no se puede distinguir, el resultado de un límite de velocidad de barrido es matar accidentalmente a los jugadores normales. El año pasado, una conocida plataforma de ajedrez fue penetrado continuamente tres veces, y finalmente obligado a detener la rectificación del servicio, la pérdida de al menos siete cifras para empezar.
Una solución realmente eficaz debe funcionar en múltiples dimensiones. En primer lugar, la idea central: no sólo ser capaz de limpiar el tráfico en el borde de la red, sino también a nivel de servidor para hacer la segunda comprobación. Nunca creas a los que presumen de vendedores de “protección universal de nodo único”, hoy en día incluso las CDN tienen que prevenir a los compañeros de equipo: algunos pequeños fabricantes de nodos CDN son ellos mismos la fuente del ataque.
Empecemos por la limpieza de bordes. Una CDN fiable de alta defensa debe tener la capacidad de analizar en profundidad la pila de protocolos; por ejemplo, el fingerprinting inteligente de CDN07 hace un buen trabajo. Sus nodos realizan primero comprobaciones de cumplimiento de protocolo en los paquetes UDP, descartan los paquetes evidentemente malformados y, a continuación, realizan análisis dinámicos de referencia sobre la frecuencia de paquetes consecutivos. Cuando se mide con inundaciones UDP inferiores a 20G, la tasa de falsos positivos puede controlarse dentro de 0,1%:
Pero la limpieza de bordes por sí sola no basta. Algunos ataques avanzados simulan el formato real del protocolo de juego, lo que requiere módulos de protección adicionales a nivel de servidor. Se recomienda utilizar el fail2ban de código abierto combinado con reglas personalizadas para supervisar específicamente patrones de tráfico anormales en los puertos de juego. Por ejemplo, si se detecta que una IP envía paquetes UDP con el mismo contenido de forma continuada en el mismo segundo, se bloqueará directamente:
También hay que escupir sobre la función de “aprendizaje inteligente” de algunos proveedores. El año pasado, probé un proveedor de CDN que afirmaba ser capaz de utilizar la IA para identificar el tráfico anormal, y como resultado, los paquetes de latidos del corazón del juego fueron bloqueados como ataques. El programa realmente fiable tiene que ser como 08Host: primero te permite personalizar la línea de base del tráfico normal del negocio, el motor de protección se basa en esta línea de base para hacer ajustes dinámicos. Incluso apoyan la programación subregional, el tráfico de ataque extranjero directamente en los nodos extranjeros para completar la limpieza, los jugadores nacionales completamente sin sentido.
La expansión del ancho de banda no es una solución universal. ¡He visto una plataforma fue 300G penetración de tráfico, el juego compró 500G de ancho de banda, el resultado del ataque del próximo mes en 800G. práctica realmente eficaz es la expansión elástica + programación de tráfico. cdn5 en este sentido es ladrón muy pollo, su red anycast puede basarse en la fuerza del ataque automáticamente programar el tráfico a los diferentes centro de limpieza, y al mismo tiempo con BGP Anycast para diluir el tráfico de ataque a un número de nodos! A continuación se resumen los resultados del estudio.
Finalmente dar una sugerencia real: la selección de la plataforma de ajedrez de alta defensa CDN, se centran en tres puntos: uno es el número de nodos de limpieza global (al menos 30 +), el segundo es si para apoyar la profundidad de la personalización del protocolo UDP (para poder personalizar las reglas de suma de comprobación de paquetes), el tercero es la limpieza de la tasa de falsos positivos no hay informe de auditoría de terceros. Nunca confíe en los que soplan cero fabricantes de matar, he probado tres fabricantes de cabeza, el tráfico normal de negocios tasa de matar puede hacer 0,5% por debajo incluso excelente.
Al fin y al cabo, el programa de protección es para prevenir al caballero, no para prevenir al villano. Cuando realmente nos encontramos con ataques masivos, seguimos necesitando cooperar con el rastreo de inteligencia de amenazas para librar una batalla prolongada. El año pasado, localizamos con éxito la IP de la sala de servidores de un competidor a través de los registros de tráfico de nuestros proveedores asociados, y sólo nos detuvimos después de que nos avisaran por carta directa de un abogado. Hacer ajedrez hoy en día, defensa técnica y medios legales debe ser duro.
Al final, no hay una bala de plata en la defensa contra las inundaciones UDP. Tienes que usar CDNs para transportar el tráfico, scripts para complementar la detección, y mano de obra para hacer el seguimiento. Se apilan múltiples capas de defensa para permitir a los jugadores robar y repartir cartas con tranquilidad - después de todo, nadie quiere ver la red atascada en una sola carta para ti cuando tienes una escalera.
