摘要:本文详细介绍了游戏类业务常见的攻击场景及影响,针对具体的受攻击场景提出有效的解决措施。
【场景汇总】
【解决措施】
场景一:DDoS & CC
现象描述
攻击者模拟海量正常的服务请求,占用大量的游戏服务资源至枯竭,从而使正常的游戏玩家无法使用服务,造成掉线、卡顿等游戏体验与口碑下降的情况。
解决措施
1、购买高防IP:
原理:
① 将受攻击的域名解析到高防IP
② 通过高防IP代理源站IP对外提供服务,将所有的公网流量都引流至高防IP
③ 隐藏源站,避免源站(用户业务)遭受大流量DDoS攻击。
选型推荐:
- l 服务区域:业务服务器在国内选择DDoS高防(大陆),在海外选择DDoS高防(国际)
- l 线路资源:电信联通移动
- l 保底防护带宽:建议保底防护带宽高于日常遭受攻击的峰值。
- l 弹性防护带宽:购买高防实例后,可以根据业务实际情况,修改弹性防护带宽。
- l 端口数、防护域名数:默认提供50个,如需扩容可联系华为云客户经理商务定制。
- l 业务带宽:建议此业务带宽规格大于或等于源站出口带宽,否则可能会导致丢包或者影响业务。
网站类业务接入操作步骤:
购买→配置域名接入→放行回源IP→放行回源IP→验证配置→修改DNS
详细配置指导见链接:https://support.huaweicloud.com/qs-aad/index.html
非网站类业务接入操作步骤:
购买→配置域名接入→添加转发规则→放行回源IP→验证配置→修改DNS
详细配置指导见链接: https://support.huaweicloud.com/qs-aad/aad_07_0002.html
2、更换业务服IP
现象:因多次DDOS攻击而被冻结的客户IP要求必须使用DDOS高防才能解冻,如客户无意愿购买安全服务,建议更换业务服EIP。
前提条件:已配置CES事件监控-带宽超限监控告警,当实际带宽超限,会产生告警,系统会自动进行通知。
配置指导链接:https://support.huaweicloud.com/usermanual-ces/ces_01_0052.html
更换流程:
Ø 发生带宽超限,在云监控服务中,单击“事件监控”。单击“查看事件”,查看超限详情,得到超限IP,在ECS控制台通过EIP查询到对应的ECS;
Ø 购买新的EIP绑定原业务ECS,并从业务侧修改业务侧IP(游戏客户EIP用量大,建议提前扩大配额避免此时购买);
Ø 如原业务主机已无法运行,建议直接使用镜像重开一台游戏业务主机(前提需业务主机为无状态主机且已有镜像)。
场景二:业务服务器安全
现象描述
- 客户收到华为侧运维人员主机安全风险通知(挖矿、木马、肉鸡);
- 客户主机上并未设置大量的并发任务,CPU使用率很高,在进程管理中发现陌生进程占用大量系统资源,或通过抓包分析流量可以确定主机与不明地址存在连接,并有非客户业务的job下发等异常现象。
如下图所示,CPU使用率突增,且存在两个异常进程:.gpg 和pnscan ,其中“.gpg ”CPU占用率高达94%:
解决措施
1、安全组、ACL
Ø 通过抓包分析网络数据包或通过netstat查看网络连接状态,可发现有大量对外连接,得到远程异常地址
Ø 配置安全组策略,关闭默认远程端口,关闭ANY策略;
Ø 开启网络ACL功能将远程异常地址加入拒绝ACL规则,
ACL使用参考:https://support.huaweicloud.com/productdesc-vpc/zh-cn_topic_0051746676.html
2、安全服务:
Ø 通过安装安全杀毒软件对服务器进行全盘扫描并清理(客户自行使用第三方安全服务处理);
Ø 购买HSS服务企业版并设置常用登陆地、开启恶意程序隔离查杀、双因子认证等防护功能
具体参考:https://support.huaweicloud.com/usermanual-hss/hss_01_0051.html#section4
Ø 如客户侧无专业的安全团队和手段,建议提工单申请安全人员排查服务器并清理优化:https://console.huaweicloud.com/ticket/?locale=zh-cn#/ticketindex/serviceTickets;
Ø 购买VSS企业版漏洞扫描服务,支持深度网站漏洞检测、主机漏洞检测(仅支持中国区域)、高危紧急漏洞应急检测,并给出详细检测报告及优化建议,服务版本介绍:https://support.huaweicloud.com/productdesc-vss/vss_01_0132.html
使用配置指导:https://support.huaweicloud.com/qs-vss/index.html
3、其它建议:
Ø 修改业务主机密码到12位以上,含大小写及特殊字符;
Ø 定期维护系统版本,不使用较低版本的OS。
场景三:游戏盗号
现象描述
攻击者、恶意玩家利用业务系统漏洞,通过自动化工具进行扫库、拖库,盗取游戏账户进行售卖或恶意篡改游戏数据,严重影响玩家游戏体验。
解决措施
1、针对已经流出的玩家账号数据:
紧急开发并上线双因子认证功能(如无):建议客户梳理游戏内关键操作,如充值、交易、摧毁锁定道具等敏感操作,每当玩家执行敏感操作时,必须再次使用密码、动态安全令牌、手机验证码等方式验证,通过后方可执行操作。
2、针对未流出的数据:
Ø 变更账号业务数据库密码;
Ø 审视业务数据库安全组、ACL是否设置严密做到按需开放;
Ø 购买并配置数据库安全防护企业版:基于反向代理及机器学习机制,提供数据脱敏、数据库审计、敏感数据发现、数据库防拖库和防注入攻击等功能,保障云上数据库安全。详细指导见链接: https://support.huaweicloud.com/qs-dbss/index.html
Ø 购买并配置数据库安全审计功能专业版:通过实时记录用户访问数据库行为,形成细粒度的审计报告,对风险行为和攻击行为进行实时告警。同时对数据库的内部违规和不正当操作进行定位追责,保障数据资产安全。详细指导见链接:https://support.huaweicloud.com/qs-dbss/dbss_07_0002.html
场景四:游戏外挂
现象描述
恶意玩家通过APP反编译分析业务逻辑,寻找代码漏洞进行攻击,破解游戏客户端,制作、利用外挂获取非正常游戏奖励、篡改游戏数据,严重影响游戏平衡。
解决措施
外挂出现后游戏客户只能在运营过程中进行检测,分析玩家数据,检测数据异常玩家(如面板数据很低的账号却能在排名中击败面板数据高的人民币玩家)的本地游戏数据及运行环境,发现外挂后给予封禁处理,实效性较晚。
现状分析
目前市面上没有明显有效的反外挂服务,主要还是需要游戏厂商根据自己的应用来做反外挂系统。外挂问题游戏客户一般都能理解为自身应用程序漏洞问题不会向华为侧客户报障。外挂中的漏洞防护目前只能由游戏研发对代码及应用进行加固,加上运维自行感知及处理,对客户技术实力有一定的考验。
扩展建议
长远考虑推荐客户开发云游戏模式,用户本地不保存任何游戏文件,玩家只通过远程画面连接到游戏,即使有外挂也无从修改游戏文件,从根本上杜绝了外挂的作用。云游戏介绍:https://www.huaweicloud.com/solution/cloudgame/index.html。
本文分享自华为云社区《游戏类业务常见安全问题及解决措施》,原文作者:云技术搬运工