看不清摸不著卻傷害力極大，中小遊戲團隊需要怎麼加防護BUFF？

8月6日，《弈劍行》開服首日即遭到了來自黑客的攻擊，戰鬥伺服器由於無法使用高防而癱瘓，最終開發商被迫將聯機對戰改為單機版，待解決解決伺服器防護問題後再更新出聯機內容。一時間，《弈劍行》被黑客攻擊在行業內傳開，不少開發者也是憤怒不已，行業苦其久矣。從TapTap論壇檢索來看，像《四葉草劇場》《無盡銀河》《證道·伏魔錄》等遊戲亦在上線之際遭到了黑客攻擊。

無獨有偶，8月19日，由廣州只玩科技發行的國產手遊《半盞復古行》在上線首日亦遭到黑客多輪攻擊，對方使用80萬個遊客賬號同時登陸，另有大幾萬個真實身份證、手機號賬號。在上線前就有所準備的只玩科技隻身難敵對手，好在最終聯合騰訊安全在半日內成功抵禦住了黑客攻擊，最終保證遊戲穩定執行。


近日，只玩科技和騰訊安全就本次《半盞復古行》抵禦黑客攻擊一事進行了還原和經驗分享，希望能給中小遊戲團隊在遊戲安全側的一些啟發。

一、

《半盞復古行》是一款劇情向合成手遊，玩家經營一個古董修復行。遊戲涵蓋古董收集，萌寵養成，劇情闖關等多種玩法，在上線之前便在TapTap獲得了15萬的關注量，此外各個渠道也給了很大的首發支援，是一款玩家熱度相當不錯的產品。

只玩科技聯合創始人雨林回憶，在《半盞復古行》正式開服之前（8月18日），只玩科技就發現有非常大量的預下載和註冊，他們對這一過程進行了檢測，並且把惡意的情況進行了遮蔽和刪除。同時加大伺服器叢集，並在空伺服器做好相應部署，當時評估這些準備應該足以面對常規攻擊。這一天大概清理了80萬無效使用者。

到了第二天（8月19日）早上7點，只玩科技開始準備上午10點的首發。然後他們發現資源佔比極其不正常，很多伺服器出現了100%的佔用率，各個埠情況異常，以及有大量的流量清洗行為。隨後他們開始針對這一行為進行干預，對前端架構和伺服器設定進行調整，抵禦了非常多的攻擊。但因伺服器上仍然有一些漏洞，而這被對方盯上並被大量的流量攻擊。


抵抗了一上午還未解決問題，只玩科技評估單憑自己團隊技術能力會難以招架這些黑產的流量攻擊。於是他們聯絡了騰訊安全團隊，其在第一時間，10分鐘內就組建起了20人左右的團隊，並且快速地和只玩科技進行溝通，將合適的產品和方案進行了培訓及部署。緊接著就是從開服當天到第二天凌晨兩點的艱辛的攻防之戰，直至最後的勝利。

為何說是艱辛的攻防之戰呢？一是攻擊呈複合型且攻防多回合。二是，只玩科技在抵禦攻擊過程中身心俱疲，團隊心理經歷多次崩潰與重建。

以往新遊戲上線的時候，遭受的一些DDoS攻擊，它相當於大流量把頻寬打爆，所有正常的流量都無法進入到伺服器，這個時候無論做什麼其實都是很難抵禦住的，只有靠硬體資源去清洗。

只玩科技技術合夥人蘇打告訴我們，這次《半盞復古行》除了DDoS攻擊，還混合了CC攻擊，情況更為複雜。從19號中午一直到20號凌晨，騰訊安全和只玩科技聯手進行了多次來回攻防，每部署一個新的策略，黑客就會更新一套攻擊方式，此間大概經歷了十幾輪的攻擊與防禦。最終在20號凌晨兩點多，《半盞復古行》伺服器終於穩定下來，經過短暫整休後迎來正式開服。

雨林表示遊戲上線前他們一度很緊張，擔心出現負面情況，甚至做好了“炸服補償“的玩家活動預案。隨著離預定的10點開服時間越來越近，無論是發行方還是研發方都忐忑不安，緊張地排查和封堵各種問題。但一次又一次滿懷期待能回歸正常又被新一輪的攻擊而破防，不得不說，實在是內心煎熬。

隨著未能正常開服成為既定事實，只玩科技開始明確事已至此不如全力以赴把漏洞都找出來封堵，把技術問題解決清楚，給玩家一個更好的交代。話雖如此，五小時過去了，發現還是未能妥善解決問題。好在最後，只玩科技聯手騰訊安全團隊，逐步部署起有效的防禦產品策略，並針對遊戲本身調整了框架，封堵安全漏洞，直至對手無招悻悻而退。


在這一事件過程中，只玩科技還在玩家論壇開啟了抵禦黑客攻擊的事件直播，讓玩家們第一事件知曉遊戲開服的最新進展，同時也針對開服情況給玩家相應的補償，對於預先充值未能及時體驗到遊戲的情況也進行了全額退款的服務。當然，對於各個渠道給的首發資源被白白浪費也實屬無奈了。

只玩科技在事後進行復盤時，推斷《半盞復古行》所受的攻擊為有組織有預謀的行為，技術框架內的每一環都被嘗試攻破，其中大幾萬的（偽）真實賬號確實從肉眼上難以判別真偽。事後也並沒有黑客組織認領這一攻擊行為，無從判斷其背後的真正動機。這讓筆者也不禁好奇，黑客組織攻擊遊戲產品到底是為了什麼，都有哪些攻擊方式，騰訊安全團隊在此次抵抗黑客攻擊上又做了哪些策略選擇？

二、

騰訊雲遊戲行業高階架構師王睿給我們進行了簡單的行業科普，黑客攻擊大體上可以分為兩種方式。首先從目的來看，他想讓你的伺服器不可用，這種目的會有DDoS攻擊，以及CC攻擊。黑客比較常用的DDoS，成本比較低，不需要破解任何協議，只要用流量就可以實現目的。還有一種目的是他希望在遊戲裡獲利，比如偷原始碼、打金、外掛，黑客會破解客戶端和服務端的協議，偽造協議刷漏洞。這種目的會有APT攻擊。

從攻擊動因來說，黑產團伙發起攻擊的原因大多數都是金錢驅動。一部分，在鉅額佣金的刺激下，通過對企業發起DDoS攻擊，幫助企業競爭對手搶奪市場和使用者；另一部分，則利用攻擊對企業敲詐勒索來獲得酬金。對於市面上熱度高、受使用者歡迎的遊戲，往往會被黑產盯上，攻擊這些遊戲造成影響更大，黑客可能勒索得到更多的金錢，來自廠商的競爭對手也會給出更多的報酬。


除此之外，遊戲攻擊對遊戲內容生態也有不良的影響，比如像外掛對破壞平衡性有著巨大的影響。比如打金工作室，通過倒刷物品、貨幣，倒賣賬號，獲得額外的收益，這些行為將縮短遊戲的生命週期。

王睿表示，黑產在遊戲行業內一直存在，不論大公司還是小公司都會經歷這些，只不過大公司安全規範比較好，技術實力比較強，資源比較充分，所以大公司對於這些攻擊他可以抵擋的住，造成的影響也比較小，但是對於小公司來說，幾乎是很難抵禦相同量級的攻擊。

騰訊安全產品研發總監董文輝補充說道，黑客攻擊呈現集團化、專業化的發展趨勢，根本目還是獲利。回過頭來看《半盞復古行》這次受到的安全攻擊，它在應用層面模擬真實的玩家，向伺服器傳送正常的請求，類似可以理解為，伺服器當天準備了10萬人的資源但事實上有幾百萬人同時向伺服器傳送請求，而且那些（偽）玩家傳送的請求會訪問一些玩家很少訪問到的介面，導致伺服器資源佔用量超過100%。

面對這些專業化、複合型的攻擊，騰訊安全團隊首先是分析和識別攻擊流量IP；第二是分析其行為特徵，判斷是PC還是手機端的發起的訪問；第三是行為識別，判斷真人還是假人。通俗來講，就是騰訊安全團隊首先會判斷攻擊型別是什麼，然後再匹配相應的安全產品，協助只玩科技的技術人員如何過濾正常的玩家流量，然後去抓包，抓攻擊的流量，接下來通過攻擊的流量來分析用什麼策略，再進行匹配。只玩科技在之前封測的時候，部分的伺服器ip已經暴露了，那些攻擊繞過了防火牆，打到了他真實的伺服器上，這個時候就要做伺服器加固，在比較緊急的情況也先更換了真實伺服器的IP，攻擊的流量就打不過來了，後面再在整個架構上做一個收斂。這裡給遊戲廠商一點建議就是，真實的伺服器IP不要對外，要收斂到防火牆後面，這樣攻擊就無法繞過防火牆。


據騰訊安全聯合綠盟科技釋出的《2021上半年全球DDoS威脅報告》分析，在行業低門檻、高競爭性、高利益特性的持續影響下，2021年上半年，遊戲仍然是DDoS攻擊最集中的行業，佔整體分佈的39%。

也就是說，對於遊戲廠商而言，安全防禦必須要納入到遊戲開發、運營過程中。那中小遊戲團隊，應該如何部署安全防禦策略呢？對此騰訊遊戲安全團隊又有何建議呢？

三、

在操作層面，其實無論遊戲廠商大小，王睿建議在遊戲產品構建安全防護過程中，事前應該要遵循一些防禦性編碼的規則以及安全部署規範，在事前還需要進行一些安全防護的演練，比如說DDoS攻擊或者說應用層攻擊的一些演練，以及一些QA的驗證測試。

對於事中的話，遊戲攻擊已經開始發生了，這個時候主要目的：第一，切斷攻擊源。第二，儘快地恢復業務。

事後也要對整個攻擊事件進行了覆盤，找到其中的一些漏洞。事實上很多遊戲廠商在沒有攻擊的時候也會做一些像混沌工程這種東西，就是說自己主動造成一些混亂，或者說自己攻擊自己，來發現自己整個體系中是否有一些漏洞，然後進行補全。

在開發、運維的過程，遊戲廠商要有意識地去避免，防禦式程式設計在運維部署的過程中，做一些最小許可權的管理，做各種控制許可權的事情，防止不必要的暴露。開發者在做遊戲內容的同時也要有安全防禦的思想，並嵌入到開發和部署運維過程中，這樣會給自己的公司省一大筆錢。


在人才和安全隊伍組建方面，董文輝表示，對於中小遊戲廠商來說，自己組建安全隊伍投入比較大，因為目前安全人才相對稀缺，難以找到好士兵。中小企業的防護建議，第一是要把整個安全防線給拉起來，用一些安全工具如WAF（Web應用防火牆）這樣的產品，把防線拉起來，同時後面還有DDoS、主機安全，配套一些管理類的工具。第二是要有好用的安全戰士，人才方面可以交給專業的第三方比如騰訊雲代運維，比自己投入要節省很多成本。

蘇打坦言，只玩科技經歷過這次之後收穫了不少的防禦經驗，對整個安全體系的知識度有比較深的瞭解，包括一些防禦手段。另外也看到了自身的一些不足，也通過這些攻防，對一些漏洞、疏忽留下來的問題也進行了修補。比如，把伺服器給收斂起來，業務取消對外的訪問，全部通過負載均衡來對外，在資產均衡上通過騰訊安全的WAF防火牆來訪問，外客訪問通過防火牆做一個攔截，內網則通過公司登入騰訊安全產品之後才能訪問伺服器，整體提高安全檔次，黑客也很難再單獨繞過防火牆去入侵只玩遊科技的伺服器。而一些靜態資源則放到分散式CDN中，包括針對這次事件也對資料庫進行了優化，也更加清晰地認識到安全對於整個團隊的意義是什麼。

四、

黑產未來會是什麼樣子，並不能完全預估，因為不管是技術方面還是攻防策略的成長，都是在此消彼長的。董文輝強調，遊戲廠商和黑產鬥爭是一個動態且會長期存在的事實，只要有利益黑客就會一直盯著。防禦是動態的，攻防也是動態的。安全攻防是沒有一招制敵的法寶，把防禦體系建好是一個比較務實的做法，能找到一個長期的合作伙伴共同進步也是一個比較好的方式。

在遊戲行業安全防護的佈局上，騰訊雲正規劃推出一個類似與新游上線安全護航的服務，包含騰訊雲旗下所有的安全服務，包括服務端的review、安全的加固，產品的接入，整套的服務是針對新游上線，這產品目前還沒有推出，遊戲廠商有類似的需要可以和騰訊雲進行溝通。


王睿表示，他們作為安全能力提供方，是不會向黑客妥協，他們也是儘可能的去幫助廠商抵禦攻擊。遊戲廠商其實很少願意向黑客妥協，因為一旦向某一次攻擊的黑客妥協，那後面其他的黑客就知道他是那個容易妥協的廠商，攻擊會向他集中過來。

只玩科技對於本次《半盞復古行》受到的黑客攻擊，也把所有的非法侵入的身份證資訊，電話資訊，IP的地址以及各種攻擊日誌的軌跡的記錄情況，全部都以正確的形式提交給了相關的國家部門，堅決抵制黑客攻擊這股惡勢力。

結語

在抵禦黑客攻擊這場看不見硝煙的戰場上，中小團隊遊戲確實較難以招架其來勢洶洶，且呈現複合型的攻擊。除了打好遊戲安全基礎、建立健全的防禦機制，同時也尋找到合適的安全防護公司合作，也能構建起貼閤中小團隊自身需求的防護牆。此外，抵禦黑客攻擊也需要全遊戲行業的共同努力，黑客攻擊也是講成本的，遊戲廠商們應該堅定立場，讓他們無利可圖、無功而返，絕不向他們任何一方妥協。


原文：https://mp.weixin.qq.com/s/64A2XSCFVsZp6_5W4eMbHQ