阿里游戏盾业务解析

什么是游戏盾

游戏盾是阿里云针对游戏行业面对的DDoS、CC攻击推出的针对性的网络安全解决方案,相比高防IP,除了能针对大型DDoS攻击(T级别)进行有效防御外,还具备彻底解决游戏行业特有的TCP协议的CC攻击问题能力,防护成本更低,效果更好!

2017年3月29日,阿里云云盾在深圳云栖大会发布了游戏行业安全风控新模式:游戏盾。游戏盾在风险治理方式、算法技术上全面革新,帮助游戏行业用户用更低的成本缓解超大流量攻击和CC攻击,解决以往的攻防框架中资源不对等的问题。

与传统单点防御DDoS防御方案相比,游戏盾用数据和算法来实现智能调度,将“正常玩家”流量和“黑客攻击”流量快速分流至不同的节点,最大限度缓解大流量攻击;通过端到端加密,让模拟用户行为的小流量攻击也无法到达客户端。

同时,在传统防御中,黑客很容易锁定攻击目标IP,在攻击过程中受损非常小。而游戏盾的智能调度和识别,可让用户“隐形”,让黑客“显形” —— 每一次攻击都会让黑客受损一次,攻击设备和肉鸡不再重复可用。颠覆以往DDoS攻防资源不对等的状况。

 

产品架构

游戏盾是阿里云DDoS高防IP产品系列中针对游戏行业的安全解决方案。游戏盾专为游戏行业定制,针对性解决游戏行业中复杂的DDoS攻击、游戏CC攻击等问题。

游戏盾由两大模块组成:

  • 分布式抗D节点:通过分布式的抗D节点,游戏盾可以做到防御600G以上的攻击。
  • 游戏安全网关:通过针对私有协议的解码,支持防御游戏行业特有的CC攻击。

游戏盾防御DDoS攻击的原理

阿里游戏盾业务解析

与普通的DDoS高防机房不同,游戏盾并不是通过海量的带宽硬抗攻击,而是通过分布式的抗D节点,将黑客的攻击进行有效的拆分和调度,使得攻击无法集中到某一个点上。同时基于SDK端数据、流量数据,可以通过动态的调度策略将黑客隔离!

游戏盾防御CC攻击的原理

阿里游戏盾业务解析

一般来说,游戏行业的CC攻击跟网站的CC攻击不同。网站类的CC攻击主要是基于HTTP或者HTTPS协议,协议比较规范,相对容易进行数据分析和协议分析。但是游戏行业的协议大部分是私有的或者不常见的协议,因此对于游戏类CC攻击的防御,阿里云推出了专业的云上防御游戏安全网关(原称NetGuard、简称NG)。

游戏安全网关通过在用户业务和攻击者之间建立起一道游戏业务的防火墙,根据攻击者的TCP连接行为、游戏连接后的动态信息、全流量数据,准确分辨出真正的玩家和黑客。

  • 游戏安全网关支持大数据分析,根据真实用户业务的特点分析出正常的玩家行为,从而直接拦截异常的客户端(协议非法)。且可以随时针对全国省份、海外的流量进行精确封禁,支持百万级的黑白名单。
  • 游戏安全网关可以同SDK建立加密通信隧道,全面接管客户端和服务端的网络通信,仅放行经过SDK和游戏安全网关鉴权的流量,彻底解决TCP协议层的CC攻击(模拟协议型攻击)。

 

功能特性-分层而治

风控模式革新:从单点防御到分层治理

阿里游戏盾业务解析

分层而治,是解决这些问题的基础。所有资源的不对等,都是因为攻击方太容易找到目标,而防御方太容易成为目标。

分层而治中的“分”,代表流量的拆分、业务的拆分、和目标的拆分;让攻击者的成本和门槛增大,把用户成本控制到最低;“层”代表一种漏斗模型。以前,我们都是用带宽去硬抗DDoS攻击,而在游戏盾中,我们用最适合的‘武器’去做最擅长的事。

  • 用户层(SDK):用户层的数据总是不那么可信的,作为通信的发起方,保护好自己是头等大事。
  • 网络层(Selb):网络的问题就交给专门的网络设备解决,不要再使用服务器硬扛了。
  • 接入层(游戏安全网关):还记得CC攻击的影响吗?接入层就是为了应对它准备的。在这一层,只处理用户行为,不处理业务。
  • 业务层:真正的业务服务器必须好好保护,不能直接暴露,物理通路的隔离是相对比较好的选择。

游戏盾改变了DDoS攻防只是“拼带宽”的传统概念,成为针对游戏行业用户的整体风控方案。在游戏盾的风控理论下,只要我们解决好用户端的问题,就可以解决无限大的DDoS攻击,从而达到攻防成本的平衡。

产品优势

 

 
对比项 游戏盾 传统DDoS流量清洗机房
游戏行业超大DDoS攻击 摆脱DDoS攻防军备竞赛,专业防御游戏行业超大DDoS攻击分布式抗D节点优质BGP接入,针对游戏提供高可用的网络环境 仅能靠一个本地机房,带宽无法扩展,无法防御更大的DDoS攻击
指纹加密/链路加密 支持TCP/HTTP/HTTPS适合手游、端游等各类业务场景支持云内/云外客户集成游戏SDK,数据报文全链路加密,防黑客破解端到端的加密,游戏安全接入支持防护针对模拟游戏协议的攻击支持解码游戏私有协议 防护算法实时调整 传统清洗机房仅靠硬件设备来识别,无法解码游戏私有协议
支持解码游戏私有协议 DPI深度报文检测技术,通过机器学习自动建立协议特征,仅放行满足协议特征请求 传统清洗机房仅靠硬件设备来识别,无法解码游戏私有协议
定制游戏防护算法 防御游戏空连接、慢连接、恶意踢人攻击全球僵尸网络库、神盾局攻击溯源 传统机房大多采购防火墙设备或者硬件设备,防御算法更新慢,自身没有调整防御算法的能力

原创文章,作者:棋牌游戏,如若转载,请注明出处:https://www.qp49.com/2019/08/08/2322.html

发表评论

邮箱地址不会被公开。 必填项已用*标注