游戲行業(yè)由于利潤大所以競爭非常激烈，這也導(dǎo)致了競爭對手惡意競爭，通過DDOS攻擊手段將對手服務(wù)器打癱瘓，很多游戲剛上線就被打掛，導(dǎo)致用戶大量流失。面對這種情況游戲公司如何判斷是否正在被DDOS攻擊？

假定可排除線路和硬件故障的情況下，突然發(fā)現(xiàn)連接服務(wù)器困難，正在游戲的用戶掉線等現(xiàn)象，則說明很有可能是遭受了DDoS攻擊。

目前，游戲行業(yè)的IT基礎(chǔ)設(shè)施一般有兩種部署模式：一種是采用云計算或者托管IDC模式，另外一種是自拉網(wǎng)絡(luò)專線。但基于接入費(fèi)用的考慮，絕大多數(shù)采用前者。

無論是前者還是后者接入，在正常情況下，游戲用戶都可以自由流暢的進(jìn)入服務(wù)器并參與娛樂。所以，如果突然出現(xiàn)下面這幾種現(xiàn)象，就可以基本判斷是“被攻擊”狀態(tài)：

（1） 主機(jī)的IN/OUT流量較平時有顯著的增長。

（2）主機(jī)的CPU或者內(nèi)存利用率出現(xiàn)無預(yù)期的暴漲。

（3）通過查看當(dāng)前主機(jī)的連接狀態(tài)，發(fā)現(xiàn)有很多半開連接，或者是很多外部IP地址，都與本機(jī)的服務(wù)端口建立幾十個以上的ESTABLISHED狀態(tài)的連接，則說明遭到了TCP多連接攻擊。

（4）游戲客戶端連接游戲服務(wù)器失敗或者登錄過程非常緩慢。

（5）正在進(jìn)行游戲的用戶突然無法操作或者非常緩慢或者總是斷線。

分享：什么樣的架構(gòu)才可以對DDoS免疫？

在知道難點，和攻擊狀態(tài)的判斷方法之后，來說說現(xiàn)在了解的DDoS防護(hù)方法。

目前，可用的DDoS緩解方法，有三大類。

首先是架構(gòu)優(yōu)化，其次是服務(wù)器加固，后是商用的DDoS防護(hù)服務(wù)。游戲公司需要根據(jù)自己的預(yù)算、攻擊嚴(yán)重程度，來決定使用哪一種。

一、預(yù)算有限的情況下

可以從免費(fèi)的DDoS緩解方案，和自身架構(gòu)的優(yōu)化上下功夫，減緩DDoS攻擊的影響。

a. 如果想將防護(hù)寄托在云上，可以使用云解析，優(yōu)化DNS的智能解析，同時建議托管多家DNS服務(wù)商，這樣可以避免DNS攻擊的風(fēng)險。

b. 使用SLB，通過負(fù)載均衡減緩CC攻擊的影響，后端負(fù)載多臺ECS服務(wù)器，這樣可以對DDoS攻擊中的CC攻擊進(jìn)行防護(hù)。

在企業(yè)網(wǎng)站加了負(fù)載均衡方案后，不僅有對網(wǎng)站起到CC攻擊防護(hù)作用，也能將訪問用戶進(jìn)行均衡分配到各個web服務(wù)器上，減少單個web服務(wù)器負(fù)擔(dān)，加快網(wǎng)站訪問速度。

c. 使用專有網(wǎng)絡(luò)VPC，防止內(nèi)網(wǎng)攻擊。

d. 做好服務(wù)器的性能測試，評估正常業(yè)務(wù)環(huán)境下能承受的帶寬和請求數(shù)，確?？梢噪S時的彈性擴(kuò)容。

e. 服務(wù)器防御DDoS攻擊根本的措施就是隱藏服務(wù)器真實IP地址。當(dāng)服務(wù)器對外傳送信息時，就可能會泄露IP，例如，我們常見的使用服務(wù)器發(fā)送郵件功能就會泄露服務(wù)器的IP。

因而，我們在發(fā)送郵件時，需要通過第三方代理發(fā)送，這樣子顯示出來的IP是代理IP，因而不會泄露真實IP地址。

在資金充足的情況下，可以選擇DDoS高防服務(wù)器，且在服務(wù)器前端加CDN中轉(zhuǎn)，所有的域名和子域都使用CDN來解析。

二、對自身服務(wù)器做加固

a. 控制TCP連接，通過iptable之類的軟件防火墻可以限制某些IP的新建連接；

b. 控制某些IP的速率；

c. 識別游戲特征，針對不符合游戲特征的連接可以斷開；

d. 控制空連接和假人，針對空連接的IP可以加黑；

e. 學(xué)習(xí)機(jī)制，保護(hù)游戲在線玩家不掉線，通過服務(wù)器可以搜集正常玩家的信息，當(dāng)面對攻擊的時候可以將正常玩家導(dǎo)入預(yù)先準(zhǔn)備的服務(wù)器，新進(jìn)玩家可以暫時放棄；

f. 確保服務(wù)器系統(tǒng)；

g. 確保服務(wù)器的系統(tǒng)文件是的版本,并及時更新系統(tǒng)補(bǔ)??；

h. 管理員需對所有主機(jī)進(jìn)行檢查，知道訪問者的來源；

i. 過濾不必要的服務(wù)和端口：可以使用工具來過濾不必要的服務(wù)和端口（即在路由器上過濾假IP，只開放服務(wù)端口）。

這也成為目前很多服務(wù)器的流行做法。例如，“WWW”服務(wù)器，只開放80端口，將其他所有端口關(guān)閉，或在防火墻上做阻止策略；

j. 限制同時打開的SYN半連接數(shù)目,縮短SYN半連接的timeout 時間,限制SYN/ICMP流量；

k. 認(rèn)真檢查網(wǎng)絡(luò)設(shè)備和主機(jī)/服務(wù)器系統(tǒng)的日志。只要日志出現(xiàn)漏洞或是時間變更,那這臺機(jī)器就可能遭到了攻擊；

l. 限制在防火墻外與網(wǎng)絡(luò)文件共享。這樣會給黑客截取系統(tǒng)文件的機(jī)會,若黑客以特洛伊木馬替換它，文件傳輸功能無疑會陷入癱瘓；

m. 充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源；

n. 禁用 ICMP。僅在需要測試時開放ICMP。

在配置路由器時也考慮下面的策略：流控，包過濾，半連接超時，垃圾包丟棄，來源偽造的數(shù)據(jù)包丟棄，SYN 閥值，禁用 ICMP 和 UDP 廣播；

o. 使用高可擴(kuò)展性的 DNS 設(shè)備來保護(hù)針對 DNS 的 DDoS 攻擊。

可以考慮購買DNS商業(yè)解決方案，它可以提供針對 DNS 或 TCP/IP3 到7層的 DDoS 攻擊保護(hù)。

三、再就是商用的DDoS解決方案

針對超大流量的攻擊或者復(fù)雜的游戲CC攻擊，可以考慮采用專業(yè)的DDoS解決方案。

目前，通用的游戲行業(yè)解決方案，做法是在IDC機(jī)房前端部署防火墻或者流量清洗的一些設(shè)備，或者采用大帶寬的高防機(jī)房來清洗攻擊。

當(dāng)寬帶資源充足時，此技術(shù)模式的確是防御游戲行業(yè)DDoS攻擊的有效方式。不過帶寬資源有時也會成為瓶頸：例如單點的IDC很容易被打滿，對游戲公司本身的成本要求也比較高。

而超級盾的初衷，是從收到訪問的刻起，便判斷它是“好”還是“壞”，從而決定它是不是可以訪問到它想訪問的資源；

而當(dāng)攻擊真的發(fā)生時，也可以通過智能流量調(diào)度，將所有的業(yè)務(wù)流量切換到一個正常運(yùn)作的機(jī)房，保證游戲正常運(yùn)行。

超級盾DDoS防御無上限，防御CC。

深圳市葵芳信息服務(wù)有限公司

聯(lián)系方式李生