编者按
数字化浪潮蓬勃衰亡,企业面临的平安挑战亦日益严厉。
腾讯平安近期将复盘 2022 年典型的攻打事件,帮忙企业深刻理解攻打手法和应答措施,欠缺本身平安进攻体系。
本篇聚焦某游戏公司新游戏上线后与黑产多轮攻防的 48 小时里,腾讯平安和客户如何并肩作战,击退黑产的故事。
“曾经扩容几十台机器,怎么还是崩掉?!”
运维人员看着屏幕上的曲线图,陷入深思。另一边,公司网站打不开、游戏拜访迟缓、玩家投诉一直,微小的压力席卷而来。
几天前,这家独立游戏公司的新产品一夜之间爆红,吸引了上千万玩家。当团队还沉迷在胜利的喜悦中时,危机忽然来临。运维人员敏锐地判断到,这不是简略的用户大规模增长,大量异样流量表明:
“咱们被黑灰产攻打了!”
游戏背地的黑产战事
有人的中央就有江湖,有利益的中央就有黑产。
游戏行业蓬勃发展,带动了 5G 和 AI 等先进技术,也助推数字经济和文化产业。然而,因为游戏产业自身领有微小的产值和流水,在这宏大的零碎下也滋生了一条彩色产业链,他们不择手段地吸取营养,对游戏生态造成了微小的毁坏。
游戏黑灰产们无利而不往,他们个别通过两种形式来牟利。一种是通过 DDoS 攻打或者病毒入侵的形式,毁坏游戏服务器并造成宕机,从而对游戏厂商勒索高额赎金;另一种即是通过逆向破解、破绽利用等伎俩生产外挂,通过售卖外挂猎取不义之财。
可怜的是,这款风靡全网的游戏先后遭逢了上述两种黑灰产攻打。
工夫回到七月份,这款游戏忽然一夜爆红,用户规模在一周内增长达 500 倍。搜寻指数暴涨、热搜榜单霸屏,前所未有的关注度吸引了上千万玩家蠢蠢欲动,而埋伏在暗处的游戏黑灰产,也开始盯上了这块“肥肉”。
几天之后,游戏服务器开始呈现屡次异样。运维人员在后盾发现计算资源、网络资源都处于极度忙碌的状态,造成多个页面无奈失常服务,于是只能下线局部服务,并进行紧急扩容。
此时,第一轮黑灰产攻打曾经暗流涌动。
看着后盾大量虚虚实实的访问量如洪水个别涌入,运维人员判断到,“咱们正在蒙受更顽劣的 DDoS 攻打!”
他们迅速分割腾讯云,降级了 DDoS 高防包,同时应用高防 IP 进行兜底,抵挡更大流量的攻打。据预先得悉,腾讯平安 DDoS 防护在 10 天内帮忙游戏扛住了 50 屡次 DDoS 攻打,最高峰值靠近 200G。
服务器压力终于有所弛缓,运维人员松了一口气,然而一种不好的预感依然埋藏在他们的心里。
更辣手的难题,还在夜晚期待他们。
上攻防 48 小时
兵者,无坚不摧,唯快不破。
早晨 8 点,第二轮攻打席卷而来。忽然之间公司网站打不开、游戏拜访迟缓、玩家投诉一直,只管运维人员曾经扩容了几十台机器,然而每台机器的均匀 CPU 水位仍处于 50% 以上。于是呈现了文章结尾的一幕。
而令整个游戏团队更不安的,是由此引发的第三轮攻打——外挂的利用,因为游戏的某个 API 被黑灰产歹意利用,一个外挂在开源网站 GitHub 上大肆流传,让游戏体验雪上加霜。一时间,玩家的谩骂吞没了游戏的官网微博,不少玩家更是纷纷表示要弃坑。
“如果不把垃圾流量的问题解决掉,持续扩容也只是治标不治本。”他们意识到了事件的严厉。
一个辣手的问题摆在他们背后——如何精确地拦挡假流量而不误伤实在玩家,能力同时稳住业务零碎和用户口碑?
面对来势汹汹的黑灰产攻打,他们再次找来了腾讯平安团队。
腾讯平安架构师 Rancho 忽然接到了这个初创游戏团队的单干诉求时,凭借多年来和黑灰产反抗的教训,Rancho 很快判断出症结所在,而解决症结的“利器”正是能够精准拦挡歹意 BOT 和 API 攻打的腾讯平安 WAF。
“筹备接入 30 万 QPS 和 30G 业务带宽,能反对吗?”Rancho 迅速分割腾讯平安 WAF 团队。
要晓得,30 万 QPS 是重大晚会直播才有的程度,工夫又是早晨 11 点。一项简直不可能的工作,Rancho 不确定是否能实现。
“间接上!咱们采纳云原生架构,可弹性伸缩。”腾讯平安 WAF 负责人 Jiyun 坚定判断。
(腾讯平安团队 Jiyun 和 Hugues)
原来,这家游戏公司自身是腾讯云的用户,而腾讯平安 WAF 是采纳云原生架构,可在云端即开即用。当晚 12 点,相干的防护策略曾经陆续配置上。
因为游戏还波及很多实时反抗、分布式攻打源、动静攻打策略等简单的攻打伎俩,在防护策略上线后,腾讯平安 WAF 的技术专家对防护规定继续调整优化,第二天下午四点,看到肉眼可见的成果,游戏团队决定全量接入腾讯平安 WAF。
与此同时,随着 BOT 防护机制失效,大量的流量被荡涤掉,而且没有接到玩家的投诉。
有意思的是,之前在开源网站 GitHub 上的热门外挂产品,也在腾讯平安 WAF 打击策略上线之后,很快公布了版本生效的布告。
“腾讯平安 WAF 做了流量荡涤之后,他们的机器缩小了 30 台,CPU 耗费也升高到 8%,算下来帮他们节俭了一半以上的计算资源。”腾讯平安 WAF 工程师 Hugues 介绍道。
游戏黑产的有限和平
黑产的偷袭不会进行,江湖的暗战也不会完结。
从第一次接到需要,到研判、试用、灰度,再到全量上线,单方团队前后不过 48 小时,可能如质如量实现客户的诉求,既得益于团队多年积攒的技术实力和服务央视频、小红书这类大客户的教训积攒,也得益于“云原生架构”带来的人造长处。
一方面,这家独立游戏公司因为是新兴的守业公司,没有历史包袱,因而产品架构在建设之初就接入采纳了云原生技术。他们在游戏上线初期,就基于容器部署服务,借助腾讯云的云原生个性来实现业务的疾速上线。
而另一方面,腾讯平安 WAF 在降级之后,同样反对云原生接入形式,并采纳国内首创的“旁挂式”云原生架构,能够在对业务无改变的状况下,疾速应答突增流量,确保业务的平安能力疾速部署。
这是腾讯平安 WAF 团队服务过的流程最快的一个客户,也是腾讯平安团队无数次和黑灰产攻防的缩影。
腾讯平安正在一直磨炼,打造出一个个扎实好用的平安产品,面向产业互联网继续输入本人的平安能力。