游戏服务器：游戏服务器如何架设才能抗住ddos攻击

　　【温馨提醒】文章内容仅供参考,海外服务器租用\托管方案,请咨询YINGSOO客服,24小时免费电话400-630-3752

　　【热门主机】游戏高防服务器丨香港百兆服务器丨美国G口服务器丨香港高防服务器

　　【热搜问题】游戏服务器怎么选才好？租用要满足哪些条件？

游戏服务器

　　接触ddos相关技术和产品8年，其中6年，都在探究游戏行业的ddos攻击难题。

　　在我看来，游戏行业一直是竞争、攻击最复杂的一个“江湖”。许多游戏公司在发展业务时，对自身的系统、业务安全，存在诸多盲区；对ddos攻击究竟是什么，怎么打，也没有真正了解。

　　我曾看到充满激情的创业团队、一个个玩法很有特色的产品，被这种互联网攻击问题扼杀在摇篮里；也看到过一个运营很好的产品，因为遭受ddos攻击，而一蹶不振。

　　这也是为什么想把自己6年做游戏行业ddos的经验，与大家一起分享，帮助在游戏领域内全速前进的企业，了解本行业的安全态势，并给出一些可用的建议。

　　在与游戏公司安全团队接触的过程中，看到游戏行业对安全有两个很大的误区。

　　第一个误区是：没有直接损失，就代表我很安全。

　　事实上，相比其它行业，游戏行业的攻击量和复杂度都要高一筹。每个游戏公司，每个应用，其实都遭受过攻击。但许多游戏安全负责人，仍然会“蒙在鼓里听打雷”，没有察觉正在发生的攻击，或者干脆视而不见，由此埋下安全隐患。

　　第二个误区是：很多游戏行业安全负责人会认为，只要装了防火墙，就能挡住绝大部分的攻击。

　　然而，防火墙的功能其实很有限。这也从侧面说明了许多游戏行业安全薄弱的根源：只去做好一个点，却看不到整个面。

　　然而，攻击者总会从意想不到的薄弱点，攻陷整个游戏行业的内部系统。

　　mirai botnet攻击模拟图

　　以ddos攻击为例，2016年，全球有记录的ddos峰值已近600g，300g以上的ddos攻击，在游戏行业内已经毫不稀奇。

　　为什么游戏会是ddos攻击的重灾区呢？这里说几点主要的原因。

　　首先是因为游戏行业的攻击成本低廉，是防护成本的1/n，攻防两端极度不平衡。随着攻击方的打法越来越复杂、攻击点越来越多，基本的静态防护策略无法达到较好的效果，也就加剧了这种不平衡。

　　其次，游戏行业生命周期短。一款游戏从出生，到消亡，很多都是半年的时间，如果抗不过一次大的攻击，很可能就死在半路上。黑客也是瞄中了这一点，认定：只要发起攻击，游戏公司一定会给“保护费”。

　　再次，游戏行业对连续性的要求很高，需要7*24在线，因此如果受到ddos攻击，游戏业务很容易会造成大量的玩家流失。我曾经见过在被攻击的2-3本公司。

　　我以常见的ddos和cc攻击为例，对他们的攻击方式做一个解释。

　　ddos攻击的主要的方式是syn flood,ack flood,udpflood等流量型的攻击，本身从攻击方式来是非常简单的，无论是哪种方式，流量大是前提。如果防御方有充足的带宽资源，目前的技术手段防御都不会是难事；针对Udpflood，实际上很多游戏目前都不需要用到Udp协议，可以直接丢弃掉。

　　而cc攻击分为两种。一般针对web网站的攻击叫cc攻击，但是针对游戏服务器的攻击，很多人一般也叫cc攻击，两种都是模拟真实的客户端与服务端建立连接之后，发送请求。

　　针对网站的cc如下，一般是建立连接之后，伪造浏览器，发起很多httpget的请求，耗尽服务器的资源。

　　针对游戏服务器的cc，一般^{[免费cdn加速免备案]}是建立连接之后，伪造游戏的通信报文保持连接不断开，有些攻击程序甚至也不看游戏的正常报文，而是直接伪造一些垃圾报文保持连接。

　　那么，游戏公司如何才能判断自己是否正在被攻击？^{[新加坡服务器托管]}

　　假定可排除线路和硬件故障的情况下，突然发现连接服务器困难，正在游戏的用户掉线等现象，则说明很有可能是遭受了ddos攻击。

　　目前，游戏行业的it基础设施一般有两种部署模式：一种是采用云计算或者托管idc模式，另外一种是自拉网络专线。但基于接入费用的考虑，绝大多数采用前者。

　　无论是前者还是后者接入，在正常情况下，游戏用户都可以自由流畅的进入服务器并参与娱乐。所以，如果突然出现下面这几种现象，就可以基本判断是“被攻击”状态：

　　（1）主机的in/oUt流量较平时有显著的增长

　　（2）主机的cpU或者内存利用率出现无预期的暴涨

　　（3）通过查看当前主机的连接状态，发现有很多半开连接，或者是很多外部ip地址，都与本机的服务端口建立几十个以上的estAbLisHed状态的连接，则说明遭到了tcp多连接攻击

　　（4）游戏客户端连接游戏服务器失败或者登录过程非常缓慢

　　（5）正在进行游戏的用户突然无法操作或者非常缓慢或者总是断线

　　在知道难点，和攻击状态的判断方法之后，来说说我所了解的ddos防护方法。

　　目前，可用的ddos缓解方法，有三大类。首先是架构优化，其次是服务器加固，最后是商用的ddos防护服务。

　　游戏公司需要根据自己的预算、攻击严重程度，来决定使用哪一种。

　　在预算有限的情况下，可以从免费的ddos缓解方案，和自身架构的优化上下功夫，减缓ddos攻击的影响。

　　a. 如果系统部署在云上，可以使用云解析，优化dns的智能解析，同时建议托管多家dns服务商，这样可以避免dns攻击的风险。

　　b. 使用sLb，通过负载均衡减缓cc攻击的影响，后端负载多台ecs服务器，这样可以对ddos攻击中的cc攻击进行防护。在企业网站加了负载均衡方案后，不仅有对网站起到cc攻击防护作用，也能将访问用户进行均衡分配到各个web服务器上，减少单个web服务器负担，加快网站访问速度。

　　c. 使用专有网络Vpc，防止内网攻击。

　　d. 做好服务器的性能测试，评估正常业务环境下能承受的带宽和请求数，确保可以随时的弹性扩容。

　　e. 服务器防御ddos攻击最根本的措施就是隐藏服务器真实ip地址。当服务器对外传送信息时，就可能会泄露ip，例如，我们常见的使用服务器发送邮件功能就会泄露服务器的ip。

　　因而，我们在发送邮件时，需要通过第三方代理发送，这样子显示出来的ip是代理ip，因而不会泄露真实ip地址。在资金充足的情况下，可以选择ddos高防服务器，且在服务器前端加cdn中转，所有的域名和子域都使用cdn来解析。

　　也可以对自身服务器做安全加固。

　　a. 控制tcp连接，通过iptable之类的软件防火墙可以限制某些ip的新建连接；

　　b. 控制某些ip的速率；

　　c. 识别游戏特征，针对不符合游戏特征的连接可以断开；

　　d. 控制空连接和假人，针对空连接的ip可以加黑；

　　e. 学习机制，保护游戏在线玩家不掉线，通过服务器可以搜集正常玩家的信息，当面对攻击的时候可以将正常玩家导入预先准备的服务器，新进玩家可以暂时放弃；

　　f. 确保服务器系统安全；

　　g. 确保服务器的系统文件是最新的版本,并及时更新系统补丁；

　　h. 管理员需对所有主机进行检查，知道访问者的来源；

　　i. 过滤不必要的服务和端口：可以使用工具来过滤不必要的服务和端口（即在路由器上过滤假ip，只开放服务端口）。这也成为目前很多服务器的流行做法。例如，“www”服务器，只开放80端口，将其他所有端口关闭，或在防火墙上做阻止策略；

　　j. 限制同时打开的sYn半连接数目,缩短sYn半连接的timeout 时间,限制sYn/icmp流量；

　　k. 认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更,那这台机器就可能遭到了攻击；

　　l. 限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会,若黑客以特洛伊木马替换它，文件传输功能无疑会陷入瘫痪；

　　m. 充分利用网络设备保护网络资源；

　　n. 禁用 icmp。仅在需要测试时开放icmp。在配置路由器时也考虑下面的策略：流控，包过滤，半连接超时，垃圾包丢弃，来源伪造的数据包丢弃，sYn 阀值，禁用 icmp 和 Udp 广播；

　　o. 使用高可扩展性的 dns 设备来保护针对 dns 的 ddos 攻击。可以考虑购买dns商业解决方案，它可以提供针对 dns 或 tcp/ip3 到7层的 ddos 攻击保护。

　　再就是商用的ddos解决方案。

　　针对超大流量的攻击或者复杂的游戏cc攻击，可以考虑采用专业的ddos解决方案。目前，通用的游戏行业安全解决方案，做法是在idc机房前端部署防火墙或者流量清洗的一些设备，或者采用大带宽的高防机房来清洗攻击。

　　当宽带资源充足时，此技术模式的确是防御游戏行业ddos攻击的有效方式。不过带宽资源有时也会成为瓶颈：例如单点的idc很容易被打满，对游戏公司本身的成本要求也比较高。

　　在阿里云，我们团队去颠覆带宽“军备竞赛”的策略，是提供一个可信的访问网络，这也是游戏盾诞生的初衷。

　　游戏盾风控模式的初衷，是从收到访问的第一刻起，便判断它是“好”还是“坏”，从而决定它是不是可以访问到它想访问的资源；而当攻击真的发生时，也可以通过智能流量调度，将所有的业务流量切换到一个正常运作的机房，保证游戏正常运行。

　　某棋牌行业基于游戏盾的架构示意图

　　所以，通过风控理论和sdK接入技术，游戏盾可以有效地将黑客和正常玩家进行拆分，可以防御超过300g以上的超大流量攻击。

　　风控理论需要用到大量的云计算资源和网络资源，阿里云天然的优势为游戏盾带来了很好的土壤，当游戏盾能调度10万以上节点进行快速计算和快速调度的时候，那给攻击者的感觉是这个游戏已经从他们的攻击目标里面消失。

　　游戏盾，是阿里云的人工智能技术与调度算法，在安全行业中的成功实践。

　　而随着攻防进程的推进，网络层和接入层逐步壮大，我们希望“游戏盾”的风控模式，会逐步延展到各个行业中，建立起一张安全、可信的网络。这张网络中，传输着干净的流量，而攻击被前置到网络的边缘处。所有的端，在接入这张网络时，都会经过风险控制的识别，网内的风控系统，也让坏人无法访问到他锁定资源。

　　未来，以资源为基础的ddos防护时代终将被打破，演进出对ddos真正免疫的风控架构。

　　而我们所做的，只是一个开始。

　　美国服务器网站供应商的选择

　　技术性的飞速发展和推进也为互联网技术的盛行刮平了路面。随着经济发展全球化的拓展，各种跨境电商外贸公司平台网站或免费在线业务流程的火爆水平和经营规模也成倍增加。尽管外贸平台的总数显著提高，但在你建立或经营自身的平台网站以前，必须考虑到许多常见问题。美国服务器租赁是一项十分繁杂的每日任务，并不是像听起來这么简单。总的来说，挑选可信赖的美国服务器平台网站租赁服务商的全过程必须许多调查和思索。本公司在其为你简易例举一些事宜，以仅供参考。

　　1、美国服务器平台网站的可信性和一切正常运作時间

　　必须留意的第一个，另外也将会是最关键的要素：可信性和一切正常运作時间。针对公司免费在线业务流程来讲，关键的是要全天工作中，以出示需要的一切方式的商品和服务。您不容易期望你的平台网站每2秒奔溃一次。为防止这样的事情，关键的是挑选一家有^{[独立服务器]}着深厚的資源贮备、技术水平和公司服务工作经验的美国服务器租用商。挑选时，提议一定要挑选有着最少5年左右美国服务器租用服务工作经验的服务商，另外一定要挑选有着靠谱公司资质的服务商，假如挑选本人代理商这类的，你将会遭遇店家赢利老板跑路的风险性，而且售后服务服务欠缺确保。本公司深耕细作国外服务器销售市场多年，累积了充足丰富多彩的与众不同資源和技术性服务实践技能考试，在美国地域有着直营大数据中心，并在各大美国大数据中心长驻项目工程师，便于提高服务高效率，并较大程度地减少意外事故修补時间，进而确保全部美国服务器租用服务、美国高防服务器服务器、美国高防服务器IP等商品和服务的可信性和长期性平稳免费在线。

　　2、全方位掌握本身的业务流程要求

　　挑选美国服务器租用服务，最先要明确本身要求。配备将会是许多人追求完美的一个规范，可是配备越高价钱就会越贵，而越贵的物品，它的配备更新的规范也就会越高。因而，你的美国服务器租用服务选择项，理应根据您的本身业务流程需求分析报告結果，现阶段制造行业主流产品规范为XeonL5630/E52650CPU、8G运行内存、10Mbps直连网络带宽，那样的配备一般早已可以满足绝大部分的跨境电^{[国外服务器怎么用]}商外贸平台要求。自然，像本公司等資源贮备丰富多彩的服务商，一般都适用美国服务器租用服务订制，依据你的新项目要求来订制服务器配备、电力工程、互联网乃至机柜规格。

　　3、售后服务服务能力和服务支持

　　美国平台网站服务器租用，不一样别的货品，它对售后服务服务支持的规定较为高。因为美国平台网站服务器归属于电子元器件组成，而且处在网络空间中，因而在所难免会发生意外状况，比如硬件配置故障、互联网颤动、黑客攻击等。这种都時刻磨练着服务服务提供商的故障解决能力和整体实力。

　　比如硬件配置故障恶性事件，一些小的地区代理没法立即立即地解决难题，只有与下家沟通交流来开展解决。那样的沟通交流不一定合理，非常容易造成故障時间的无期限增加。假如下家在美国大数据中心沒有长驻的专业技术人员，也只有与大数据中心运营方沟通交流来开展解决，这将造成的故障解决時间更长。而假如是靠谱的可信赖的美国服务器租用服务商，一般具有强劲整体实力，在美国主机房有着值勤专业技术人员，能够更快查验难题故障，并在最短期内内拆换故障硬件配置，进而较大程度地减少故障時间，确保最大的服务器一切正常运作時间。

　　4、美国服务器平台网站租赁价钱

　　最终，但并不是最不关键的一点是标价。美国服务器租用服务价钱并不是越低越高，价钱越低通常代表设备脆化、故障率大且服务品质没法确保。一切正常的美国服务器租用服务价钱，一般在3000元/月左右，最少配搭XeonL5630，8G运行内存发展，标准配置100Mbps。自然，你必须做的是货比三家，开展价格行情调查，在其中你必须考虑到的是店家的溢价能力。一般来讲，价钱较高的店家在資源品质、服务品质层面拥有与众不同的优点。

　　总的来说，挑选可信赖的美国服务器租用服务商的全过程必须许多调查和思索，必须主要调查销售市场内服务商的资质证书和整体实力，依据你的本身业务流程要求，调查美国服务器租用服务的可信性和一切正常运作時间、售后服务确保能力和服务支持响应时间及其定价策略。若有一切美国服务器租用有关疑惑，。

　　YINGSOO官网：www.Yingsoo.com