摘要:本文具体介绍了游戏类业务常见的攻打场景及影响,针对具体的受攻打场景提出无效的解决措施。
【场景汇总】
【解决措施】
场景一:DDoS & CC
景象形容
攻击者模仿海量失常的服务申请,占用大量的游戏服务资源至枯竭,从而使失常的游戏玩家无奈应用服务,造成掉线、卡顿等游戏体验与口碑降落的状况。
解决措施
1、购买高防 IP:
原理:
① 将受攻打的域名解析到高防 IP
② 通过高防 IP 代理源站 IP 对外提供服务,将所有的公网流量都引流至高防 IP
③ 暗藏源站,防止源站(用户业务)蒙受大流量 DDoS 攻打。
选型举荐:
- l 服务区域:业务服务器在国内抉择 DDoS 高防(大陆),在海内抉择 DDoS 高防(国内)
- l 线路资源:电信联通挪动
- l 保底防护带宽:倡议保底防护带宽高于日常蒙受攻打的峰值。
- l 弹性防护带宽:购买高防实例后,能够依据业务理论状况,批改弹性防护带宽。
- l 端口数、防护域名数:默认提供 50 个,如需扩容可分割华为云客户经理商务定制。
- l 业务带宽:倡议此业务带宽规格大于或等于源站进口带宽,否则可能会导致丢包或者影响业务。
网站类业务接入操作步骤:
购买→配置域名接入→放行回源 IP→放行回源 IP→验证配置→批改 DNS
具体配置领导见链接:https://support.huaweicloud.com/qs-aad/index.html
非网站类业务接入操作步骤:
购买→配置域名接入→增加转发规定→放行回源 IP→验证配置→批改 DNS
具体配置领导见链接:https://support.huaweicloud.com/qs-aad/aad_07_0002.html
2、更换业务服 IP
景象:因屡次 DDOS 攻打而被解冻的客户 IP 要求必须应用 DDOS 高防能力冻结,如客户无志愿购买平安服务,倡议更换业务服 EIP。
前提条件:已配置 CES 事件监控 - 带宽超限监控告警,当理论带宽超限,会产生告警,零碎会主动进行告诉。
配置领导链接:https://support.huaweicloud.c…
更换流程:
Ø 产生带宽超限,在云监控服务中,单击“事件监控”。单击“查看事件”,查看超限详情,失去超限 IP,在 ECS 控制台通过 EIP 查问到对应的 ECS;
Ø 购买新的 EIP 绑定原业务 ECS,并从业务侧批改业务侧 IP(游戏客户 EIP 用量大,倡议提前扩充配额防止此时购买);
Ø 如原业务主机已无奈运行,倡议间接应用镜像重开一台游戏业务主机(前提需业务主机为无状态主机且已有镜像)。
场景二:业务服务器平安
景象形容
- 客户收到华为侧运维人员主机平安危险告诉(挖矿、木马、肉鸡);
- 客户主机上并未设置大量的并发工作,CPU 使用率很高,在过程治理中发现生疏过程占用大量系统资源,或通过抓包剖析流量能够确定主机与不明地址存在连贯,并有非客户业务的 job 下发等异常现象。
如下图所示,CPU 使用率突增,且存在两个异样过程:.gpg 和 pnscan,其中“.gpg”CPU 占用率高达 94%:
解决措施
1、平安组、ACL
Ø 通过抓包剖析网络数据包或通过 netstat 查看网络连接状态,可发现有大量对外连贯,失去近程异样地址
Ø 配置平安组策略,敞开默认近程端口,敞开 ANY 策略;
Ø 开启网络 ACL 性能将近程异样地址退出回绝 ACL 规定,
ACL 应用参考:https://support.huaweicloud.com/productdesc-vpc/zh-cn_topic_0051746676.html
2、平安服务:
Ø 通过装置平安杀毒软件对服务器进行全盘扫描并清理(客户自行应用第三方平安服务解决);
Ø 购买 HSS 服务企业版并设置罕用登陆地、开启恶意程序隔离查杀、双因子认证等防护性能
具体参考:https://support.huaweicloud.com/usermanual-hss/hss_01_0051.html#section4
Ø 如客户侧无业余的平安团队和伎俩,倡议提工单申请平安人员排查服务器并清理优化:https://console.huaweicloud.com/ticket/?locale=zh-cn#/ticketindex/serviceTickets;
Ø 购买 VSS 企业版破绽扫描服务,反对深度网站破绽检测、主机破绽检测(仅反对中国区域)、高危紧急破绽应急检测,并给出具体检测报告及优化倡议,服务版本介绍:https://support.huaweicloud.com/productdesc-vss/vss_01_0132.html
应用配置领导:https://support.huaweicloud.com/qs-vss/index.html
3、其它倡议:
Ø 批改业务主机明码到 12 位以上,含大小写及特殊字符;
Ø 定期维护零碎版本,不应用较低版本的 OS。
场景三:游戏盗号
景象形容
攻击者、歹意玩家利用业务系统漏洞,通过自动化工具进行扫库、拖库,盗取游戏账户进行售卖或歹意篡改游戏数据,重大影响玩家游戏体验。
解决措施
1、针对曾经流出的玩家账号数据:
紧急开发并上线双因子认证性能(如无):倡议客户梳理游戏内要害操作,如充值、交易、捣毁锁定道具等敏感操作,每当玩家执行敏感操作时,必须再次应用明码、动静平安令牌、手机验证码等形式验证,通过前方可执行操作。
2、针对未流出的数据:
Ø 变更账号业务数据库明码;
Ø 扫视业务数据库安全组、ACL 是否设置紧密做到按需凋谢;
Ø 购买并配置数据库安全防护企业版:基于反向代理及机器学习机制,提供数据脱敏、数据库审计、敏感数据发现、数据库防拖库和防注入攻打等性能,保障云上数据库安全。具体领导见链接:https://support.huaweicloud.com/qs-dbss/index.html
Ø 购买并配置数据库安全审计性能专业版:通过实时记录用户拜访数据库行为,造成细粒度的审计报告,对危险行为和攻击行为进行实时告警。同时对数据库的外部违规和不正当操作进行定位追责,保障数据资产平安。具体领导见链接:https://support.huaweicloud.com/qs-dbss/dbss_07_0002.html
场景四:游戏外挂
景象形容
歹意玩家通过 APP 反编译剖析业务逻辑,寻找代码破绽进行攻打,破解游戏客户端,制作、利用外挂获取非正常游戏处分、篡改游戏数据,重大影响游戏均衡。
解决措施
外挂呈现后游戏客户只能在经营过程中进行检测,剖析玩家数据,检测数据异样玩家 (如面板数据很低的账号却能在排名中击败面板数据高的人民币玩家) 的本地游戏数据及运行环境,发现外挂后给予封禁解决,实效性较晚。
现状剖析
目前市面上没有显著无效的反外挂服务,次要还是须要游戏厂商依据本人的利用来做反外挂零碎。外挂问题游戏客户个别都能了解为本身应用程序破绽问题不会向华为侧客户报障。外挂中的破绽防护目前只能由游戏研发对代码及利用进行加固,加上运维自行感知及解决,对客户技术实力有肯定的考验。
扩大倡议
久远思考举荐客户开发云游戏模式,用户本地不保留任何游戏文件,玩家只通过近程画面连贯到游戏,即便有外挂也无从批改游戏文件,从根本上杜绝了外挂的作用。云游戏介绍:https://www.huaweicloud.com/solution/cloudgame/index.html。
本文分享自华为云社区《游戏类业务常见平安问题及解决措施》,原文作者:云技术搬运工
点击关注,第一工夫理解华为云陈腐技术~