摘要:本文詳細介紹了遊戲類業務常見的攻擊場景及影響,針對具體的受攻擊場景提出有效的解決措施。
【場景彙總】
【解決措施】
場景一:DDoS & CC
現象描述
攻擊者模擬海量正常的服務請求,佔用大量的遊戲服務資源至枯竭,從而使正常的遊戲玩家無法使用服務,造成掉線、卡頓等遊戲體驗與口碑下降的情況。
解決措施
1、購買高防IP:
原理:
① 將受攻擊的域名解析到高防IP
② 通過高防IP代理源站IP對外提供服務,將所有的公網流量都引流至高防IP
③ 隱藏源站,避免源站(使用者業務)遭受大流量DDoS攻擊。
選型推薦:
- l 服務區域:業務伺服器在國內選擇DDoS高防(大陸),在海外選擇DDoS高防(國際)
- l 線路資源:電信聯通移動
- l 保底防護頻寬:建議保底防護頻寬高於日常遭受攻擊的峰值。
- l 彈性防護頻寬:購買高防例項後,可以根據業務實際情況,修改彈性防護頻寬。
- l 埠數、防護域名數:預設提供50個,如需擴容可聯絡華為雲客戶經理商務定製。
- l 業務頻寬:建議此業務頻寬規格大於或等於源站出口頻寬,否則可能會導致丟包或者影響業務。
網站類業務接入操作步驟:
購買→配置域名接入→放行回源IP→放行回源IP→驗證配置→修改DNS
詳細配置指導見連結:https://support.huaweicloud.com/qs-aad/index.html
非網站類業務接入操作步驟:
購買→配置域名接入→新增轉發規則→放行回源IP→驗證配置→修改DNS
詳細配置指導見連結: https://support.huaweicloud.com/qs-aad/aad_07_0002.html
2、更換業務服IP
現象:因多次DDOS攻擊而被凍結的客戶IP要求必須使用DDOS高防才能解凍,如客戶無意願購買安全服務,建議更換業務服EIP。
前提條件:已配置CES事件監控-頻寬超限監控告警,當實際頻寬超限,會產生告警,系統會自動進行通知。
配置指導連結:https://support.huaweicloud.com/usermanual-ces/ces_01_0052.html
更換流程:
Ø 發生頻寬超限,在雲監控服務中,單擊“事件監控”。單擊“檢視事件”,檢視超限詳情,得到超限IP,在ECS控制檯通過EIP查詢到對應的ECS;
Ø 購買新的EIP繫結原業務ECS,並從業務側修改業務側IP(遊戲客戶EIP用量大,建議提前擴大配額避免此時購買);
Ø 如原業務主機已無法執行,建議直接使用映象重開一臺遊戲業務主機(前提需業務主機為無狀態主機且已有映象)。
場景二:業務伺服器安全
現象描述
- 客戶收到華為側運維人員主機安全風險通知(挖礦、木馬、肉雞);
- 客戶主機上並未設定大量的併發任務,CPU使用率很高,在程式管理中發現陌生程式佔用大量系統資源,或通過抓包分析流量可以確定主機與不明地址存在連線,並有非客戶業務的job下發等異常現象。
如下圖所示,CPU使用率突增,且存在兩個異常程式:.gpg 和pnscan ,其中“.gpg ”CPU佔用率高達94%:
解決措施
1、安全組、ACL
Ø 通過抓包分析網路資料包或通過netstat檢視網路連線狀態,可發現有大量對外連線,得到遠端異常地址
Ø 配置安全組策略,關閉預設遠端埠,關閉ANY策略;
Ø 開啟網路ACL功能將遠端異常地址加入拒絕ACL規則,
ACL使用參考:https://support.huaweicloud.com/productdesc-vpc/zh-cn_topic_0051746676.html
2、安全服務:
Ø 通過安裝安全防毒軟體對伺服器進行全盤掃描並清理(客戶自行使用第三方安全服務處理);
Ø 購買HSS服務企業版並設定常用登陸地、開啟惡意程式隔離查殺、雙因子認證等防護功能
具體參考:https://support.huaweicloud.com/usermanual-hss/hss_01_0051.html#section4
Ø 如客戶側無專業的安全團隊和手段,建議提工單申請安全人員排查伺服器並清理優化:https://console.huaweicloud.com/ticket/?locale=zh-cn#/ticketindex/serviceTickets;
Ø 購買VSS企業版漏洞掃描服務,支援深度網站漏洞檢測、主機漏洞檢測(僅支援中國區域)、高危緊急漏洞應急檢測,並給出詳細檢測報告及優化建議,服務版本介紹:https://support.huaweicloud.com/productdesc-vss/vss_01_0132.html
使用配置指導:https://support.huaweicloud.com/qs-vss/index.html
3、其它建議:
Ø 修改業務主機密碼到12位以上,含大小寫及特殊字元;
Ø 定期維護系統版本,不使用較低版本的OS。
場景三:遊戲盜號
現象描述
攻擊者、惡意玩家利用業務系統漏洞,通過自動化工具進行掃庫、拖庫,盜取遊戲賬戶進行售賣或惡意篡改遊戲資料,嚴重影響玩家遊戲體驗。
解決措施
1、針對已經流出的玩家賬號資料:
緊急開發並上線雙因子認證功能(如無):建議客戶梳理遊戲內關鍵操作,如充值、交易、摧毀鎖定道具等敏感操作,每當玩家執行敏感操作時,必須再次使用密碼、動態安全令牌、手機驗證碼等方式驗證,通過後方可執行操作。
2、針對未流出的資料:
Ø 變更賬號業務資料庫密碼;
Ø 審視業務資料庫安全組、ACL是否設定嚴密做到按需開放;
Ø 購買並配置資料庫安全防護企業版:基於反向代理及機器學習機制,提供資料脫敏、資料庫審計、敏感資料發現、資料庫防拖庫和防注入攻擊等功能,保障雲上資料庫安全。詳細指導見連結: https://support.huaweicloud.com/qs-dbss/index.html
Ø 購買並配置資料庫安全審計功能專業版:通過實時記錄使用者訪問資料庫行為,形成細粒度的審計報告,對風險行為和攻擊行為進行實時告警。同時對資料庫的內部違規和不正當操作進行定位追責,保障資料資產安全。詳細指導見連結:https://support.huaweicloud.com/qs-dbss/dbss_07_0002.html
場景四:遊戲外掛
現象描述
惡意玩家通過APP反編譯分析業務邏輯,尋找程式碼漏洞進行攻擊,破解遊戲客戶端,製作、利用外掛獲取非正常遊戲獎勵、篡改遊戲資料,嚴重影響遊戲平衡。
解決措施
外掛出現後遊戲客戶只能在運營過程中進行檢測,分析玩家資料,檢測資料異常玩家(如皮膚資料很低的賬號卻能在排名中擊敗皮膚資料高的人民幣玩家)的本地遊戲資料及執行環境,發現外掛後給予封禁處理,實效性較晚。
現狀分析
目前市面上沒有明顯有效的反外掛服務,主要還是需要遊戲廠商根據自己的應用來做反外掛系統。外掛問題遊戲客戶一般都能理解為自身應用程式漏洞問題不會向華為側客戶報障。外掛中的漏洞防護目前只能由遊戲研發對程式碼及應用進行加固,加上運維自行感知及處理,對客戶技術實力有一定的考驗。
擴充套件建議
長遠考慮推薦客戶開發雲遊戲模式,使用者本地不儲存任何遊戲檔案,玩家只通過遠端畫面連線到遊戲,即使有外掛也無從修改遊戲檔案,從根本上杜絕了外掛的作用。雲遊戲介紹:https://www.huaweicloud.com/solution/cloudgame/index.html。
本文分享自華為雲社群《遊戲類業務常見安全問題及解決措施》,原文作者:雲技術搬運工