Au milieu de la nuit, j'ai reçu le message d'alarme du service d'exploitation et de maintenance, le jeu d'échecs d'une certaine zone du port a perdu des paquets, je me suis connecté au serveur pour jeter un coup d'œil, bon gars, le trafic UDP Flood a été l'exportation de la bande passante - cette scène est si familière que le cuir chevelu des gens s'est engourdi. Ces dernières années, l'industrie du jeu d'échecs est tout simplement une zone sinistrée par les attaques DDoS. L'inondation UDP, en particulier, est peu coûteuse et a un bon effet sur l'attaque : quelques G de trafic suffisent à transformer le jeu en un véritable diaporama.
Pourquoi les attaquants aiment-ils utiliser UDP Flood pour jouer à des jeux de société ? La raison fondamentale réside dans les caractéristiques du protocole : l'UDP lui-même est sans connexion et le serveur doit traiter le paquet dès qu'il le reçoit, contrairement au TCP, qui dispose de trois tampons d'échange. Contrairement au TCP, qui dispose de trois tampons d'échange, les attaquants usurpent un grand nombre d'adresses IP sources pour envoyer des paquets UDP inutiles, qui touchent directement les ports du jeu. Les jeux d'échecs ont souvent besoin de maintenir une longue connexion, une fois que le port est épuisé, la lumière est à la traîne, la lourdeur est la ligne entière en panne, les jurons du joueur sont peu de chose, l'effondrement de la réputation de la plate-forme est fatal.
J'ai testé et constaté que s'appuyer uniquement sur des pare-feu matériels dans la salle des serveurs est fondamentalement une perte de temps. Les pare-feux traditionnels basés sur un seuil de vitesse limite, le trafic d'attaque mélangé aux données normales des joueurs ne peut tout simplement pas être distingué, le résultat d'une limite de vitesse élevée est de tuer accidentellement des joueurs normaux. L'année dernière, une plateforme d'échecs bien connue a été continuellement pénétrée à trois reprises, et a finalement été forcée d'arrêter la rectification du service, ce qui a entraîné une perte d'au moins sept chiffres.
Une solution vraiment efficace doit fonctionner dans plusieurs dimensions. Tout d'abord, l'idée de base : il ne s'agit pas seulement de pouvoir nettoyer le trafic à la périphérie du réseau, mais aussi au niveau du serveur pour effectuer la deuxième vérification. Ne croyez jamais ceux qui vous vantent les mérites d'une “protection universelle à nœud unique” : de nos jours, même le CDN doit prévenir les coéquipiers - certains petits fabricants de nœuds CDN sont eux-mêmes à l'origine de l'attaque.
Commençons par le nettoyage des bords. Un CDN fiable à haute défense doit avoir la capacité d'analyser la pile de protocoles en profondeur. Par exemple, l'empreinte intelligente de CDN07 fait du bon travail. Ses nœuds effectuent d'abord des contrôles de conformité au protocole sur les paquets UDP, écartent les paquets manifestement malformés, puis procèdent à une analyse de base dynamique sur la fréquence des paquets consécutifs. Lorsqu'il est mesuré par rapport à un flux UDP inférieur à 20G, le taux de faux positifs peut être contrôlé à moins de 0,1% :
Mais le nettoyage des contours ne suffit pas. Certaines attaques avancées simulent le format du protocole de jeu réel, ce qui nécessite des modules de protection supplémentaires au niveau du serveur. Il est recommandé d'utiliser la source ouverte fail2ban combinée à des règles personnalisées pour surveiller spécifiquement les schémas de trafic anormaux sur les ports de jeu. Par exemple, si une IP est détectée en train d'envoyer des paquets UDP avec le même contenu de manière continue dans la même seconde, elle sera directement bloquée :
Nous devons également rejeter la fonction d“”apprentissage intelligent" de certains fournisseurs. L'année dernière, j'ai testé un fournisseur de CDN qui prétendait être capable d'utiliser l'IA pour identifier le trafic anormal, et en conséquence, les paquets de battements de cœur du jeu ont été bloqués en tant qu'attaques. Le vrai programme fiable doit être comme 08Host - il vous permet d'abord de personnaliser la base du trafic normal de l'entreprise, le moteur de protection se basant sur cette base pour effectuer des ajustements dynamiques. Ils prennent même en charge la planification sous-régionale, le trafic d'attaque étranger directement dans les nœuds étrangers pour compléter le nettoyage, les joueurs nationaux étant complètement insensés.
L'expansion de la bande passante n'est pas une solution universelle. J'ai vu une plateforme avec une pénétration de trafic de 300G, des paris achetés 500G de bande passante, le résultat de l'attaque du mois suivant en 800G. La pratique vraiment efficace est l'expansion élastique + la planification du trafic. cdn5 à cet égard est un très grand voleur, leur réseau anycast peut être basé sur la force de l'attaque planifiant automatiquement le trafic vers les différents centres de nettoyage, et en même temps avec BGP Anycast pour diluer le trafic de l'attaque à un certain nombre de nœuds ! Voici un résumé des résultats de l'étude.
Enfin, je vous donne une vraie suggestion : pour la sélection d'une plateforme CDN de haute défense, concentrez-vous sur trois points : le premier est le nombre de nœuds de nettoyage globaux (au moins 30 +), le deuxième est de savoir s'il prend en charge la profondeur de la personnalisation du protocole UDP (pour pouvoir personnaliser les règles de somme de contrôle des paquets), le troisième est le nettoyage du taux de faux positifs, il n'y a pas de rapport d'audit d'une tierce partie. Je n'ai jamais fait confiance aux fabricants qui annoncent un taux d'élimination nul. J'ai testé trois fabricants de têtes de réseau, le taux d'élimination du trafic professionnel normal peut atteindre 0,5%, voire même être excellent.
Après tout, le programme de protection a pour but d'empêcher l'homme et non le méchant. Lorsque nous sommes réellement confrontés à des attaques massives, nous devons encore coopérer avec la traçabilité des renseignements sur les menaces pour mener une bataille de longue haleine. L'année dernière, nous avons réussi à localiser l'adresse IP de la salle des serveurs d'un concurrent grâce aux journaux de trafic de nos fournisseurs partenaires, et nous n'avons arrêté qu'après avoir été avertis par une lettre d'un avocat direct. De nos jours, les échecs, la défense technique et les moyens juridiques doivent être difficiles.
En fin de compte, il n'y a pas de solution miracle pour la défense contre les inondations UDP. Il faut utiliser des CDN pour transporter le trafic, des scripts pour compléter la détection et de la main-d'œuvre pour assurer la surveillance. Plusieurs couches de défense sont empilées pour permettre aux joueurs de tirer et de distribuer des cartes en toute sérénité - après tout, personne ne veut voir le réseau se bloquer sur une seule carte lorsque vous avez une quinte.
