2018上半年遊戲行業DDoS態勢報告

騰訊雲加社群發表於2019-02-18

歡迎大家前往騰訊雲+社群，獲取更多騰訊海量技術實踐乾貨哦~

本文由騰訊遊戲雲發表於雲+社群專欄

0x0 前言

最新發布的2018全球遊戲市場報告指出，2018年全球的遊戲玩家數達到23億，他們在遊戲上花費將達到1379億美元，其中中國遊戲市場規模將達到379億美元，佔全球遊戲市場收入的25%以上，中國市場營在營收規模和玩家數量均排名第一。伴隨著遊戲業務的繁榮發展，針對遊戲行業的DDoS攻擊也在持續爆發，攻擊峰值不斷創記錄。

掉線，閃退，卡頓，登入失敗，這些糟糕的遊戲體驗有可能並不是跟你的網路環境有關。2018年，隨著MEMCACHED反射手法被攻擊者啟用，全球DDoS攻擊的峰值達到1.7Tbps，騰訊雲上也出現Tbps級別的攻擊，這意味著，對於無論是是安全從業者還是遊戲行業本身，都是一個巨大的挑戰。

此次的《2018上半年遊戲行業DDoS態勢報告》，依託騰訊雲宙斯盾防護系統上半年攻防積累的大資料，分別從時間，地域，次數多個維度分析了上半年DDoS攻擊態勢，剖析了黑產鏈條和典型案例，並給遊戲行業從業者提供了對應的策略和建議，以饗讀者。

0x01 2018年上半年DDoS攻擊大盤：攻擊次數略微下滑，攻擊峰值大幅增長

1. DDoS攻擊形勢：Tb級時代

2018年，全球最大DDoS攻擊的峰值達到1.7Tbps，同比增長112%。隨著頻寬資源的不斷豐富，各種裝置、攻擊軟體的數量增長，一個即使“功力”沒那麼深厚的黑客也能輕鬆發起超大流量的DDoS攻擊。

同期騰訊雲上呈現的DDoS攻擊態勢可總結為：攻擊次數略微下滑，攻擊峰值大幅增長。結合上半年（截止到2018年6月25日資料），騰訊雲總攻擊次數同比略微下滑10%，攻擊峰值也達到1.23Tbps，也是國內目前最大流量攻擊，同比增長134%。

上半年超過100G的攻擊1000+次，約為去年同期的1/4。2月份和3月份為大流量攻擊爆發的月份，剛好處在春節假期時間和上班族返工之時。

100G以上的攻擊中，大部分攻擊的峰值在100G~200G區間，佔比72%。

2. DDoS攻擊行業分佈：遊戲四面楚歌

DDoS攻擊的行業分佈方面，遊戲行業成為最大受害行業，佔據近40%的攻擊。此外，網路服務（佔比4%）和企業門戶（佔比2%）也是攻擊佔比較高的行業。

3. DDoS攻擊地域分佈：被攻擊企業集中一線、新一線城市

被攻擊企業的地域分佈與所在區域的經濟發展水平高度重合，被攻擊企業在東南沿海發達省份呈現明顯的聚集，此外四川，陝西，河南，湖北，湖南等省份也有較多企業被攻擊。

城市維度上，被攻擊企業高度聚集在一線和新一線城市（佔比達到78%）。

0x2 2018年上半年DDoS黑產形勢：國外攻擊源佔比41%

1. 攻擊團伙

通過監測發現，目前的DDoS黑產團伙呈現如下的3種形態：

1）高階跨國DDoS團伙

此類團伙技術能力較強，並掌握眾多攻擊資源，核心人員隱匿在國外，以攻擊遊戲行業頭部站點獲取佣金為主要獲利手段。團伙人員眾多，分工明確，有專門的後勤，財務，技術等角色，可發起數百G甚至上T的超大流量攻擊。今年4月份在深圳南山法院公開審理的“暗夜”攻擊團伙就屬於這一類。

2）頁端平臺

通過購買國外的發包機（數臺至數十臺不等），搭建頁端DDoS攻擊平臺，並吸引攻擊手入駐，通過第三方支付平臺充卡交易，目前活躍的此類攻擊平臺數量在數十家左右，為了防止競爭對手攻擊，此類站點基本都會託管在cloudflare。

3）遊離的攻擊手

這部分人員手頭資源相對有限，以個人作案為主，通過網路支付交易。因業記憶體在詐騙現象（騙測試或者二手單），個人信用是交易是否成功的關鍵，對於陌生人會要求押金交易或者第三方擔保交易，擔保者可獲得約10%的提成收入。

2. 攻擊資源

據統計，2018上半年DDoS攻擊源總數超過1500萬，主要來自於國內，佔比達到59%，主要聚集在3個區域：環渤海區域，江浙以及廣東，其中山東省遙遙領先。

國外的攻擊源佔比41%，美國，俄羅斯，阿根廷是主要的來源國家。

3. 攻擊手法

整體來看，通過UDPFLOOD或者SYNFLOOD來造成頻寬擁塞仍然是攻擊者的首選策略。其中UDP反射放大攻擊因為其可觀的放大效果，以及可以隱藏行蹤的特點，深受攻擊者的青睞，在攻擊手法佔比接近60%。

另外，隨著各國對於通過DDoS攻擊進行的犯罪活動呈現高壓態勢，躲避司法追捕成為攻擊者確保的目標。2018上半年，共發現有3種可隱匿行蹤的新攻擊手法被攻擊者發掘出來。

自1月份以來。MEMCACHED反射手法以其高達50000倍的放大效率，全球超過10萬的可用主機，成為攻擊者發起DDoS攻擊的利器。從下圖可以看出在短短6個月內，MEMCACHED反射手法的佔比從不足1%迅速增長到31%，並製造了數次上Tb的DDoS攻擊。根據某國外DDoS站點的統計，國外攻擊者選用MEMCACHED反射手法的佔比也高達54%。MEMCACHED反射手法的威力可見一斑。

另外，今年3月份，基於IPMI協議的UDP反射攻擊也被攻擊者挖掘出來。此類攻擊手法的特徵為放大比例為1.1倍，攻擊源絕大部分位於北美洲和歐洲等發達地區，IDC伺服器佔比達90%等。由於可以隱藏行蹤，也被黑產攻擊者挖掘出來。

特別的，之前的反射型攻擊基本集中在UDP協議上，但是上半年出現了基於TCP協議的反射攻擊。攻擊者通過偽造受害者的IP作為源地址，向網際網路上開放常見TCP埠的IP傳送SYN包，引發受害者IP收到大量以上述埠為源埠的SYN_ACK包，導致被攻擊伺服器CPU飆升，網路擁塞，服務中斷等嚴重後果。此外，發現這些源IP的攻擊報文存在TCP超時重傳等協議棧行為，防護難度更大。

在一次針對某遊戲行業客戶的攻擊中，經統計分析，攻擊過程中共採集到近百萬個攻擊源，源埠聚集在常見的TCP埠：80/443/23/22/3389等埠（佔比超過80%）。經過探測，發現絕大多數IP的對應埠都是存活的，很明顯這個就是利用TCP協議發起的反射攻擊。

0x03 2018年上半年遊戲行業DDoS威脅分析

1. 遊戲行業DDoS威脅概述

1）攻擊佔比（39%）和攻擊峰值（1.23Tbps）均為各行業第一

2）平均攻擊峰值9.4G

3）平均持續時長1759秒

4）最長持續時長 766744秒

5）平均攻擊成本 300元/次，高防使用者攻擊成本500元/次，棋類使用者攻擊成本 5000~10000元/天

2. DDoS攻擊的遊戲細分行業分佈

上半年，遊戲行業的DDoS攻擊佔比接近40%。其中游戲行業細分行業中，手遊（佔比32%）和頁遊（佔比15%）是攻擊最多的品類。此外，棋類遊戲的攻擊佔比為9%，也是DDoS攻擊較多的細分行業。

3. 遊戲行業DDoS攻擊的時間分佈

通過分析發現，絕大部分攻擊的時長在5分鐘以內（佔比58%），但是也有5%的攻擊成了持續時間超過12小時的持久戰。

在攻擊發起的時機方面，一年365天黑產攻擊者都保持線上，並且在元旦，除夕等節假日，攻擊者也會突然爆發。相對而言，每天的21點~23點成為攻擊者最亢奮的時段。

4. 遊戲行業攻擊案例

1）某熱門端遊炸房團伙的“炸房”對抗

攻：代練團伙為確保遊戲戰績，在戰局不利時使用炸房外掛，呼叫國外第三方流量壓測網站服務發起攻擊，以UDP反射、UDP小包、業務報文回放等方式發起攻擊，引發對局內玩家掉線，從而消除戰敗記錄提升戰績。

防：依託行業領先的水印方案並加入動態防護特徵，並通過四輪交鋒，炸房攻擊100%防護，並可識別出惡意玩家。

2）騰訊雲成功防禦國內已知最大流量DDoS攻擊1.23Tbps

攻：某遊戲公司自18年初以來，連續2個多月遭到到不法份子的DDoS攻擊，單月最多攻擊次數超過1000次，攻擊型別主要為擁塞頻寬型+連線型攻擊+應用層攻擊。

防：指派DDoS防護專家成立應急響應專家小組，並與客戶公司的運維團隊一起，依據業務特點，引導使用者接入騰訊雲T級防護容量的高防節點，優化防護策略，多輪對抗，並在4月8日成功防禦了1.23Tbps的國內已知最大流量DDoS攻擊。

3）未雨綢繆防範針對IPv6的攻擊

攻：今年4月，美國Neustar公司的網路專家發現，有1900個IPv6地址正在對公司的DNS伺服器發起DDoS攻擊，這是今年公開報導的網際網路上首例針對IPv6目標的DDoS攻擊。

防：騰訊雲從去年就開始緊張有序部署新一代DDoS防護系統，同時對IPv6進行了適配。該方案基於雙協議棧技術，同時支援IPv4/IPv6介入。

0x04 遊戲行業DDoS防護困境

1.攻擊手法愈加複雜

防護困境：攻擊手法呈現多樣化，複合化，並且不斷有新攻擊手法湧現。常規抗D產品樣本少，迭代慢，另外中小企業的安全能力存在短板，DDoS對抗經驗不足，業務很容易被打穿導致業務受損。

解決措施：騰訊雲新一代遊戲高防解決方案，依託有豐富對抗經驗的專業團隊，在為大量騰訊自營業務以及海量騰訊雲使用者服務時可收集大量的攻擊樣本，在第一時間感知到新威脅，可以快速迭代，給出最佳防護策略。

2. 攻擊流量節節攀升

防護困境：目前攻擊流量每年都有大幅增長，為了防範DDoS攻擊就需要搭建較大的網路頻寬和安全裝置叢集，對於成長型企業來說，面臨的衝擊和負擔十分沉重。

解決措施：騰訊雲新一代遊戲高防解決方案在全國多個城市構建T級防護容量的高防節點，幫助使用者成功防禦了國內已知最大流量DDoS攻擊。

3. 黑產低門檻化，攻防成本不對等

防護困境：部分手法可以將流量放大數十倍乃至數萬倍，黑產工具由專業團伙開發，初中畢業的人員經過黑產團伙訓練，即可發起數百G的攻擊，動輒給被攻擊企業造成數百萬的損失。

解決措施：騰訊雲對DDoS攻擊相關的情報進行持續監測，對部分嚴重威脅到騰訊雲使用者以及對行業正常秩序的危害較大的DDoS黑產團伙，和國家有關部門一起，進行持續的刑事打擊。

0x05遊戲行業DDoS攻擊應對建議

1．標杆型客戶

1）建議配置BGP高防IP+三網高防IP，隱藏源站IP。用高防IP充足的頻寬資源應對可能的大流量攻擊行為，輔助IP自動排程能力。

2）建議通過共享防護包的方式，覆蓋所有公網服務。

3）訂閱雲端計算廠商的威脅情報。在行業內出現威脅爆發時進行必要的演練。

4）在面對高等級DDoS威脅時，接入雲端計算廠商的行業解決方案，必要時請求DDoS防護廠商的專家服務。

2．成長型客戶

1）建議配置BGP高防IP+三網高防IP，隱藏源站IP。用高防IP充足的頻寬資源應對可能的大流量攻擊行為，輔助IP自動排程能力。

2）在發生超大流量攻擊時購買超大容量三網高防，切換到三網高防。

3）面臨超大流量攻擊時封禁海外流量，或者封禁業務主要面向省份之外的攻擊主要來源省份流量。

3．傳統端遊客戶

1）建議配置BGP共享高防包產品，對伺服器進行全面防護。

2）與雲端計算廠商合作，接入傳統端遊行業解決方案。

3）建議通過共享防護包的方式，覆蓋所有公網服務。

4）新遊釋出，重點業務保障，可以考慮水印防護和高防IP方案。

4．手遊客戶

1）對核心服務開通一定容量的彈性防護的BGP高防包。

2）與雲端計算廠商合作，接入手遊行業解決方案（整合網路加速，CDN等）。