這里分析的通用架構(gòu)是以游戲服務(wù)提供的角度,即面向用戶的服務(wù)是如何部署的����。
1 手游服務(wù)器通用架構(gòu)
這里分析的通用架構(gòu)是以游戲服務(wù)提供的角度,即面向用戶的服務(wù)是如何部署的。
1.1 單機(jī)架構(gòu)
一臺主機(jī)包含了登錄服務(wù)和游戲服務(wù)����。
1.2 分區(qū)架構(gòu)
登錄與游戲獨(dú)立開來��,而且游戲服務(wù)器還有多臺。通過登錄后選擇指定的游戲區(qū)�����,游戲數(shù)據(jù)則與固定的區(qū)關(guān)聯(lián)��。
1.3 跨區(qū)架構(gòu)
登錄與游戲獨(dú)立開來���,但有集中的管理服務(wù)器管理各個區(qū)的服務(wù)器���,支持集中保存游戲數(shù)據(jù),玩家可以在多個區(qū)之間漫游��,系統(tǒng)會找到最佳的服務(wù)器提供玩家游玩����。
2 攻擊目標(biāo)
很明顯,不同的架構(gòu)都有直接暴露出來的服務(wù)入口��,包括登錄服務(wù)器�����、游戲服務(wù)器或是管理服務(wù)器等���,這些入口被拒絕服務(wù)攻擊后��,新用戶無法登錄��、在線玩家紛紛掉線��、游戲服務(wù)整體崩潰����。
目前的網(wǎng)絡(luò)現(xiàn)狀����,DDOS拒絕服務(wù)輕松就擠跨了游戲服務(wù)器駐扎的IDC機(jī)房,即使IDC機(jī)房能夠勉強(qiáng)堅持的話��,也會不堪重負(fù)而關(guān)停被攻擊的游戲服務(wù)����。
所以面向用戶的服務(wù)(被稱之為“公開的服務(wù)”)都有被攻擊的風(fēng)險,因此這些服務(wù)都需要啟動高防服務(wù)����。
3 高防防御方案
由于業(yè)內(nèi)各個手游廠商在開發(fā)游戲時,設(shè)計需求不同���,使用的協(xié)議也不相同�����,即使依賴HTTP協(xié)議����,也不一定按通用的目標(biāo)設(shè)計,所以在防御上也不能采用常規(guī)的http防御方案���,而是建立了通用的tcp代理服務(wù)���,通過tcp代理服務(wù)程序,可以篩選出真實(shí)的IP�����;同時統(tǒng)計和管理真實(shí)IP的并發(fā)狀態(tài)��。
3.1 防御部署方案
公開的服務(wù)必須隱藏起來才能起到防御的效果��,至少在被攻擊的時候需要被隱藏起來��。在上面的網(wǎng)絡(luò)拓?fù)鋱D上部署上防御平臺��,就如下圖示:
3.1.1 流量型攻擊防御
通過DNS將高防的IP作為公開服務(wù)解析出去,訪問流量及攻擊流量直接訪問到高防節(jié)點(diǎn)��,清洗掉攻擊流量后�����,重新封包處理����,進(jìn)入自動v*n,將數(shù)據(jù)發(fā)到源站����,由源站端的自動v*n解包后交給源站服務(wù)��,這時對源站服務(wù)來說�����,數(shù)據(jù)包就像是網(wǎng)民直接發(fā)過來一樣的��。
依據(jù)部署的環(huán)境、性能和成本考慮�����,源站端的自動v*n也可以采用驅(qū)動方式直接安裝在源站服務(wù)系統(tǒng)上(如果有均衡設(shè)備的則不行)�����。
在高防節(jié)點(diǎn)上的公開服務(wù)就具備通用TCP代理的能力��,能與TCP代理建立連接的必定是真實(shí)存在的客戶端IP�����,當(dāng)然這樣的IP不一定是真正的游戲客戶端�。
3.1.2 內(nèi)容型攻擊常規(guī)防御
如何鑒別請求IP是不是真正的游戲客戶端,相信很多廠商也已經(jīng)或多或少的針對這一問題有過比較多的研究�,但攻擊者可能會在廠商驗(yàn)證前就拖跨游戲服務(wù)器,所以針對內(nèi)容的攻擊防御也要相應(yīng)的提前到高防節(jié)點(diǎn)的tcp代理服務(wù)上���。
攻擊者采用的手段通常是:
慢連接攻擊����,即長時間的保持連接����,消耗服務(wù)器連接資源
大并發(fā)連接,不斷的建立和關(guān)閉����,消耗服務(wù)器的連接處理資源
無效請求�,消息服務(wù)器的計算資源
在代理服務(wù)上可以統(tǒng)計到客戶端IP的并發(fā)請求情況�,結(jié)合服務(wù)器的處理能力,可以自動篩選出那些可疑IP�,對于不在白名單列表中的IP,可以采取攔截措施�。
3.1.3 內(nèi)容型攻擊高級防御
在一些特殊情況下,攻擊者偽造的請求類似于正常的客戶端�,而游戲本身又不支持更細(xì)粒度的驗(yàn)證時,可以啟動高級防御��。
高級防御要求游戲廠商在實(shí)現(xiàn)客戶端(瀏覽器類的也可以)時遵循一定的規(guī)范���,防御中心處理攻擊時���,會有一些規(guī)范動作來驗(yàn)證客戶端行為����,從而更高效的攔截非正常客戶端��。
3.2 防御流程
如上述方案圖中所示����,所有需要防御的服務(wù)前面都應(yīng)該有自動v*n設(shè)備或是加載驅(qū)動��,該設(shè)備可對當(dāng)前的流量進(jìn)行即時處理����,只有符合自動v*n的數(shù)據(jù)才會解包��,有異常流量時會通告異常到抗D中心���。
3.2.1 常規(guī)自動防御
常規(guī)自動防御是指所有的對外服務(wù)都解析成設(shè)防節(jié)點(diǎn)的IP�,這種情況下廠商所有的服務(wù)都被隱藏起來�����,有攻擊的時候會直接在抗D中心進(jìn)行清洗����,這里隱藏的服務(wù)包括:
登錄服務(wù)器
如果有管理服務(wù)器的話,包括管理服務(wù)器
游戲服務(wù)器����。
3.2.2 高防應(yīng)急防御
雖然部署著防御設(shè)備,但沒有把公開服務(wù)解析到抗D中心的IP上(這一般是指游戲廠認(rèn)為抗D平臺的網(wǎng)絡(luò)不及現(xiàn)有網(wǎng)絡(luò)速度好),這種情況下發(fā)生攻擊時�,就需要啟動高防應(yīng)急防御。
啟動的過程可以配置手動或自動��。自動啟動是由用戶端的自動v*n監(jiān)控到攻擊時發(fā)出的通告來觸發(fā)的��。
啟動應(yīng)急防御時�����,源站的故障可能依舊存在�����,這時需要啟用備用的源站�����。
版權(quán)聲明:本文為博主原創(chuàng)文章�,遵循 CC 4.0 BY-SA 版權(quán)協(xié)議,轉(zhuǎn)載請附上原文出處鏈接和本聲明���。
本文鏈接:https://blog.csdn.net/baidu_19620507/article/details/105409953
閩公網(wǎng)安備 35010202001226號
