手游服务防DDOS攻击方案

小提示：您能找到这篇{手游服务防DDOS攻击方案}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的手游服务防DDOS攻击方案内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< ">1 手游服务器通用架构

< font-size: 16px;">这里分析的通用架构是以游戏服务提供的角度，即面向用户的服务是如何部署的。

< font-size: 16px;">1.1 单机架构

< font-size: 16px;">一台主机包含了登录服务和游戏服务。

< font-size: 16px;">1.2 分区架构

< font-size: 16px;">登录与游戏独立开来，而且游戏服务器还有多台。通过登录后选择指定的游戏区，游戏数据则与固定的区关联。

< font-size: 16px;">1.3 跨区架构

< font-size: 16px;">登录与游戏独立开来，但有集中的管理服务器管理各个区的服务器，支持集中保存游戏数据，玩家可以在多个区之间漫游，系统会找到最佳的服务器提供玩家游玩。

< font-size: 16px;">2 攻击目标

< font-size: 16px;">很明显，不同的架构都有直接暴露出来的服务入口，包括登录服务器、游戏服务器或是管理服务器等，这些入口被拒绝服务攻击后，新用户无法登录、在线玩家纷纷掉线、游戏服务整体崩溃。

< font-size: 16px;">目前的网络现状，DDOS拒绝服务轻松就挤跨了游戏服务器驻扎的IDC机房，即使IDC机房能够勉强坚持的话，也会不堪重负而关停被攻击的游戏服务。

< font-size: 16px;">所以面向用户的服务（被称之为“公开的服务”）都有被攻击的风险，因此这些服务都需要启动高防服务。

< font-size: 16px;">

< font-size: 16px;">3 高防防御方案

< font-size: 16px;">由于业内各个手游厂商在开发游戏时，设计需求不同，使用的协议也不相同，即使依赖HTTP协议，也不一定按通用的目标设计，所以在防御上也不能采用常规的http防御方案，而是建立了通用的tcp代理服务，通过tcp代理服务程序，可以筛选出真实的IP；同时统计和管理真实IP的并发状态。

< font-size: 16px;">3.1 防御部署方案

< font-size: 16px;">公开的服务必须隐藏起来才能起到防御的效果，至少在被攻击的时候需要被隐藏起来。在上面的网络拓扑图上部署上防御平台，就如下图示：

< font-size: 16px;">

< font-size: 16px;">3.1.1 流量型攻击防御

< font-size: 16px;">通过DNS将高防的IP作为公开服务解析出去，访问流量及攻击流量直接访问到高防节点，清洗掉攻击流量后，重新封包处理，进入自动v*n，将数据发到源站，由源站端的自动v*n解包后交给源站服务，这时对源站服务来说，数据包就像是网民直接发过来一样的。

< font-size: 16px;">依据部署的环境、性能和成本考虑，源站端的自动v*n也可以采用驱动方式直接安装在源站服务系统上（如果有均衡设备的则不行）。

< font-size: 16px;">在高防节点上的公开服务就具备通用TCP代理的能力，能与TCP代理建立连接的必定是真实存在的客户端IP，当然这样的IP不一定是真正的游戏客户端。

< font-size: 16px;">3.1.2 内容型攻击常规防御营销执行

< font-size: 16px;">如何鉴别请求IP是不是真正的游戏客户端，相信很多厂商也已经或多或少的针对这一问题有过比较多的研究，但攻击者可能会在厂商验证前就拖跨游戏服务器，所以针对内容的攻击防御也要相应的提前到高防节点的tcp代理服务上。

< font-size: 16px;">攻击者采用的手段通常是：

< font-size: 16px;">慢连接攻击，即长时间的保持连接，消耗服务器连接资源

< font-size: 16px;">大并发连接，不断的建立和关闭，消耗服务器的连接处理资源

< font-size: 16px;">无效请求，消息服务器的计算资源

< font-size: 16px;">在代理服务上可以统计到客户端IP的并发请求情况，结合服务器的处理能力，可以自动筛选出那些可疑IP，对于不在白名单列表中的IP，可以采取拦截措施。

< font-size: 16px;">3.1.3 内容型攻击高级防御

< font-size: 16px;">在一些特殊情况下，攻击者伪造的请求类似于正常的客户端，而游戏本身又不支持更细粒度的验证时，可以启动高级防御。

< font-size: 16px;">高级防御要求游戏厂商在实现客户端（浏览器类的也可以）时遵循一定的规范，防御中心处理攻击时，会有一些规范动作来验证客户端行为，从而更高效的拦截非正常客户端。新媒体邀请

< font-size: 16px;">3.2 防御流程

< font-size: 16px;">如上述方案图中所示，所有需要防御的服务前面都应该有自动v*n设备或是加载驱动，该设备可对当前的流量进行即时处理，只有符合自动v*n的数据才会解包，有异常流量时会通告异常到抗D中心。

< font-size: 16px;">3.2.1 常规自动防御

< font-size: 16px;">常规自动防御是指所有的对外服务都解析成设防节点的IP，这种情况下厂商所有的服务都被隐藏起来，有攻击的时候会直接在抗D中心进行清洗，这里隐藏的服务包括：

< font-size: 16px;">登录服务器

< font-size: 16px;">如果有管理服务器的话，包括管理服务器

< font-size: 16px;">游戏服务器。

< font-size: 16px;">3.2.2 高防应急防御

< font-size: 16px;">虽然部署着防御设备，但没有把公开服务解析到抗D中心的IP上（这一般是指游戏厂认为抗D平台的网络不及现有网络速度好），这种情况下发生攻击时，就需要启动高防应急防御。

< font-size: 16px;">启动的过程可以配置手动或自动。自动启动是由用户端的自动v*n监控到攻击时发出的通告来触发的。

< font-size: 16px;">启动应急防御时，源站的故障可能依旧存在，这时需要启用备用的源站。

< font-size: 16px;">版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。

< font-size: 16px;">本文链接：https://blog.csdn.net/baidu_19620507/article/details/105409953