游戏服务器被恶意攻击怎么办,如何防御ddos攻击?

DDoS,英文Distributed Denial of Service,即分布式拒绝服务。DDoS攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。DDoS攻击会带来巨大的损失,而黑客发起一次攻击可能只需要几十元的成本。道高一尺魔高一丈。

一般会从发起DDoS攻击的网络层次上进行分类,比如:畸形报文、传输层DDoS攻击、Web应用DDoS攻击、Web应用层攻击、DNS DDoS攻击、连接型DDoS攻击(TCP慢速连接攻击)等。

本文从另一个维度进行分类,将DDoS攻击分为:

基于流量的 DDoS 攻击:主要现象是服务器上流量太大,导致其与Internet的连接完全饱和。从其他地方ping服务器时,丢包率很高,有时您也会看到非常高的延迟(ping时间值很高)。

基于负载的 DDoS 攻击:主要现象当您遇到基于负载的DDoS时,您会注意到负载平均值异常高(或CPU,RAM或磁盘使用情况,具体取决于您的平台和详细信息)。虽然服务器似乎没有做任何有用的事情,但它非常繁忙。通常,日志中会有大量条目表明异常情况。这通常来自很多不同的地方并且是DDoS,但情况不一定如此。 甚至不需要很多不同的主机。

基于漏洞的 DDoS 攻击:如果您的服务在启动后会非常快速地崩溃,特别是如果您可以在崩溃之前建立请求模式并且请求是非典型的或与预期使用模式不匹配,那么您可能正在体验基于漏洞的DoS。这可以来自只有一个主机(几乎任何类型的互联网连接)或许多主机。

DDoS防御是一种资源对抗的防御,攻击者由于采用的是违法手段获取的失陷主机(肉鸡),所以攻击成本远远小于防御成本,这是攻防不对等的原因。

一般认为防御DDoS攻击最有效的方式是使用清洗设备对所有流量进行“清洗”,尽可能的筛去攻击流量,然后将剩余流量给与到应用服务器。但是不是所有的DDoS攻击都适用清洗方法。需要根据不同种类针对性的分析和解决。

解决方案

1、关于这个问题,当攻击已经发生时你几乎无能为力。

2、最好的长期解决方案是在互联网上的许多不同位置托管您的服务,这样对于攻击者来说他的DDoS攻击成本会更高。

3、这方面的策略取决于您需要保护的服务; DNS可以使用多个权威名称服务器,具有备份MX记录和邮件交换器的SMTP以及使用循环DNS或多宿主的HTTP进行保护(但是在某段时间内可能会出现一些明显的降级)。

4、负载均衡设备并不是解决此问题的有效方法,因为负载均衡设备本身也会遇到同样的问题并且只会造成瓶颈。

5、IPTables或其他防火墙规则无济于事,因为问题是您的管道已经饱和。 一旦防火墙看到连接,就已经太晚了 ; 您的网站带宽已被消耗。你用连接做什么都没关系; 当传入流量恢复正常时,攻击会缓解或完成。

6、内容分发网络(CDN)以及专业安全与网络性能公司的DDoS清理服务。这将是缓解这些类型的攻击的积极措施,并且在许多不同的地方拥有大量的可用带宽。请注意:要隐藏服务器的IP。

7、此外一些托管服务提供商、云计算厂商在减轻这些攻击方面比其他提供商更好。因为规模越大,会拥有更大带宽,自然也会更有弹性。


每年的各种网络攻击数据调查都会明明白白地显示着:游戏行业是DDoS重灾区。

“游戏又上不去了”“一直卡在登录界面”……伴随着玩家们的声声抱怨,近日知名游戏公司美国艺电公司(EA)在社交媒体上公布,由于遭遇了DDoS攻击,旗下多款游戏无法登录。在紧急维护2个小时后,这家去年营收近50亿美元的游戏巨头才让服务器恢复 正常。

该公司遭受的,是游戏行业闻之色变、整个互联网领域臭名昭著的DDoS攻击。作为一种有着“悠久历史”的攻击方式,DDoS伴随着互联网发展,给人们留下的只有噩梦和其“网络打手”的骂名。

前段时间,著名的全国首例全链条打击黑客跨境攻击案的“姚晓杰等11人破坏计算机信息系统案”入选最高检指导性案例,姚晓杰等人招募多名网络技术人员,在境外成立“暗夜小组”黑客组织。“暗夜小组”购买大量服务器资源,再利用木马软件操控控制端服务器,实施DDoS攻击。

2017年持续对某互联网公司云服务器上运营的三家游戏公司的客户端IP进行DDoS攻击,攻击导致三家游戏公司IP被封堵,出现游戏无法登陆、用户频繁掉线,游戏无法正常运行等问题。为恢复云服务器的正常运营,某互联网公司组织人员对服务器进行了抢修并为此支付4万余元。

其实,受害者不仅是游戏公司!

DDoS攻击,全称为分布式拒绝服务(Distributed Denial of Service)攻击,是最常见的网络攻击手法之一。攻击者通过操控不同区域的多台计算机对目标服务器发起攻击,目的是迫使对方网络或系统的资源耗尽,被迫暂停服务,导致正常用户无法访问。

打个通俗的比方,服务器好比一家饭店,攻击者叫来50个人占据了所有的餐桌却不点餐,反而让服务员端茶递水,导致饭店无法正常营业。DDoS的攻击往往持续数日甚至数周之久,危害可想而知。

游戏网站最大的特点在于用户对服务器的需求是全天候的。游戏公司通常会选择在凌晨更新版本,以避免过多用户无法登陆。而DDoS攻击超过3天,游戏玩家数量就会大幅下降。

据统计,除游戏公司外,政府网站、企业服务网站,甚至金融公司,长期以来都是DDoS偏好的攻击目标。在遭受攻击期间,网络游戏不能正常登录,网络支付卡顿甚至不能成交。如果攻击长年累月持续,会使用户体验下降,转而寻求其他供应商服务,这样就会影响网络游戏公司或者互联网服务提供商的直接利益。

作为一个深根互联网安全可信行业近10年的企业,葫芦娃集团会不时被游戏公司及其他各行业企业咨询关于如何防护网站被攻击,也服务过成千万的企业用户。面对如此严峻的攻击事实,DDoS防御对于每一个网络运营者来说都是相当重要的。伴随着网络攻击的升级,葫芦娃集团也提供方各类安全防护措施,专业抗DDoS防火墙,渗透测试、等级保护测评等等,当然想完全杜绝DDoS不太可能,但是如果部署正确的防御措施还是可以做到抵御90%的DDoS攻击的。

一. 什么叫DDOS

分布式拒绝服务(Distributed Denial of Service,简称DDoS)指借助于客户机/服务器模式,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。

通常,攻击者使用一个非法账号将DDoS主控程序安装在一台计算机上,并在网络上的许多计算机上安装了代理程序。在所设定的时间,主控程序将与大量代理程序进行通讯,代理程序收到指令时就发动攻击。利用客户机/服务器模式,主控程序能在几秒钟内激活成百上千次代理程序的运行。

常见的DDoS攻击类型包括畸形报文、传输层DDoS攻击、DNS DDoS攻击、连接型DDoS攻击、Web应用层DDoS攻击 ,关于每种类型的具体介绍,请参见下文说明。

  1. 畸形报文

畸形报文攻击指通过向目标系统发送有缺陷的IP报文,使得目标系统在处理这样的报文时出现崩溃,从而达到拒绝服务的攻击目的。

畸形报文主要包括以下类型:Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形报文、TCP畸形报文、UDP畸形报文

2. 传输层DDoS攻击

传输层DDoS攻击主要是指Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood等攻击。

以Syn Flood攻击为例,它利用了TCP协议的三次握手机制,当服务端接收到一个Syn请求时,服务端必须使用一个监听队列将该连接保存一定时间。因此,通过向服务端不停发送Syn请求,但不响应Syn+Ack报文,从而消耗服务端的资源。当监听队列被占满时,服务端将无法响应正常用户的请求,达到拒绝服务攻击的目的。

3. DNS DDoS攻击

DNS DDoS攻击主要是指DNS Request Flood、DNS Response Flood、虚假源+真实源DNS Query Flood、权威服务器攻击和Local服务器攻击。

以DNS Query Flood攻击为例,其本质上执行的是真实的Query请求,属于正常业务行为。但如果多台傀儡机同时发起海量的域名查询请求,服务端无法响应正常的Query请求,从而导致拒绝服务。

4. 连接型DDoS攻击

连接型DDoS攻击主要是指TCP慢速连接攻击、连接耗尽攻击、Loic、Hoic、Slowloris、 Pyloris、Xoic等慢速攻击。

以Slowloris攻击为例,其攻击目标是Web服务器的并发上限,当Web服务器的连接并发数达到上限后,Web服务即无法接受新的请求。具体来说,Web服务接收到新的HTTP请求时,建立新的连接来处理请求,并在处理完成后关闭这个连接;如果该连接一直处于连接状态,收到新的HTTP请求时则需要建立新的连接进行处理;而当所有连接都处于连接状态时,Web将无法处理任何新的请求。

Slowloris攻击利用HTTP协议的特性来达到攻击目的。HTTP请求以标识Headers的结束,如果Web服务端只收到,则认为HTTP Headers部分没有结束,将保留该连接并等待后续的请求内容。

5. Web应用层DDoS攻击

Web应用层攻击主要是指HTTP Get Flood、HTTP Post Flood、CC等攻击。

通常应用层攻击完全模拟用户请求,类似于各种搜索引擎和爬虫一样,这些攻击行为和正常的业务并没有严格的边界,难以辨别。

Web服务中一些资源消耗较大的事务和页面。例如,Web应用中的分页和分表,如果控制页面的参数过大,频繁的翻页将会占用较多的Web服务资源。尤其在高并发频繁调用的情况下,类似这样的事务就成了早期CC攻击的目标。

由于现在的攻击大都是混合型的,因此模拟用户行为的频繁操作都可以被认为是CC攻击。例如,各种刷票软件对网站的访问,从某种程度上来说就是CC攻击。

CC攻击瞄准的是Web应用的后端业务,除了导致拒绝服务外,还会直接影响Web应用的功能和性能,包括Web响应时间、数据库服务、磁盘读写等。

二. 主要防御方式

目前最有效和最有功的策略就是,流量清洗,过滤每个请求,削减流量,将正常的请求转发到真实的服务器,将不合法的请求直接截取掉

硬件方面可以考虑“服务”前面,增加高吞吐量的负载均衡设备,后端采用分布式部署。

软件方面:可以考虑购买CDN加速服务。

当然一些安全设备与策略也是必不可少的,其实你的问题是一个整体的解决方案。展开讲会很复杂。

如果,如果觉得成本太高可以考虑迁移到公有云上购买相应的服务即可。这也是最省心的。

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注