欢迎大家前往 腾讯云+社区 ,获取更多腾讯海量技术实践干货哦~
0x0 前言
“吃鸡”、“开黑”、“伏地魔”,这些词语已经成为很多人生活中必不可少的一部分,各路玩家在手机和电脑前打得火热,氪金不断。面对巨大的利益蛋糕,资本不断涌入游戏行业。然而市场表现火爆的背后,却也暗藏着危机——随着游戏业务的繁荣发展,针对游戏行业的DDoS攻击也持续爆发,攻击峰值不断创记录。
掉线,闪退,卡顿,登录失败,这些糟糕的游戏体验有可能并不是跟你的网络环境有关。2018年,随着MEMCACHED反射手法被攻击者启用,全球DDoS攻击的峰值达到1.7Tbps,而国内攻击峰值出现在了腾讯云上、达到1.23T,这意味着,对于无论是是安全从业者还是游戏行业本身,都是一个巨大的挑战。
此次的《2018上半年游戏行业DDoS态势报告》,依托腾讯云新一代游戏高防系统上半年攻防积累的大数据,分别从时间,地域,次数多个维度分析了上半年DDoS攻击态势,剖析了黑产链条和典型案例。
腾讯云还将在明天举办GAME-TECH“游戏安全”主题沙龙上海站,进一步解读游戏行业攻击态势,并为游戏行业从业者提供应对策略和建议,欢迎点击阅读原文,报名参加!
0x01 2018年上半年DDoS攻击大盘:攻击次数略微下滑,攻击峰值大幅增长
1. DDoS攻击形势:Tb级时代
2018年,全球最大DDoS攻击的峰值达到1.7Tbps,同比增长112%。随着带宽资源的不断丰富,各种设备、攻击软件的数量增长,一个即使“功力”没那么深厚的黑客也能轻松发起超大流量的DDoS攻击。
同期腾讯云上呈现的DDoS攻击态势可总结为: 攻击次数略微下滑,攻击峰值大幅增长 。结合上半年(截止到2018年6月25日数据),腾讯云总攻击次数同比略微下滑10%,攻击峰值也达到1.23Tbps,也是国内目前最大流量攻击,同比增长134%。
上半年超过100G的攻击1000+次,约为去年同期的1/4。2月份和3月份为大流量攻击爆发的月份,刚好处在春节假期时间和上班族返工之时。
100G以上的攻击中,大部分攻击的峰值在100G~200G区间,占比72%。
2. DDoS攻击行业分布:游戏四面楚歌
DDoS攻击的行业分布方面,游戏行业成为最大受害行业,占据近40%的攻击。此外,网络服务(占比4%)和企业门户(占比2%)也是攻击占比较高的行业。
3. DDoS攻击地域分布:被攻击企业集中一线、新一线城市
被攻击企业的地域分布与所在区域的经济发展水平高度重合,被攻击企业在东南沿海发达省份呈现明显的聚集,此外四川,陕西,河南,湖北,湖南等省份也有较多企业被攻击。
城市维度上,被攻击企业高度聚集在一线和新一线城市(占比达到78%)。
0x2 2018年上半年DDoS黑产形势:国外攻击源占比41%
1. 攻击团伙
通过监测发现,目前的DDoS黑产团伙呈现如下的3种形态:
1)高级跨国DDoS团伙
此类团伙技术能力较强,并掌握众多攻击资源,核心人员隐匿在国外,以攻击游戏行业头部站点获取佣金为主要获利手段。团伙人员众多,分工明确,有专门的后勤,财务,技术等角色,可发起数百G甚至上T的超大流量攻击。今年4月份在深圳南山法院公开审理的“暗夜”攻击团伙就属于这一类。
2)页端平台
通过购买国外的发包机(数台至数十台不等),搭建页端DDoS攻击平台,并吸引攻击手入驻,通过第三方支付平台充卡交易,目前活跃的此类攻击平台数量在数十家左右,为了防止竞争对手攻击,此类站点基本都会托管在cloudflare。
3)游离的攻击手
这部分人员手头资源相对有限,以个人作案为主,通过网络支付交易。因业内存在诈骗现象(骗测试或者二手单),个人信用是交易是否成功的关键,对于陌生人会要求押金交易或者第三方担保交易,担保者可获得约10%的提成收入。
2. 攻击资源
据统计,2018上半年DDoS攻击源总数超过1500万,主要来自于国内,占比达到59%,主要聚集在3个区域:环渤海区域,江浙以及广东,其中山东省遥遥领先。
国外的攻击源占比41%,美国,俄罗斯,阿根廷是主要的来源国家。
3. 攻击手法
整体来看,通过UDPFLOOD或者SYNFLOOD来造成带宽拥塞仍然是攻击者的首选策略。其中UDP反射放大攻击因为其可观的放大效果,以及可以隐藏行踪的特点,深受攻击者的青睐,在攻击手法占比接近60%。
另外,随着各国对于通过DDoS攻击进行的犯罪活动呈现高压态势,躲避司法追捕成为攻击者确保的目标。2018上半年,共发现有3种可隐匿行踪的新攻击手法被攻击者发掘出来。
自1月份以来。MEMCACHED反射手法以其高达50000倍的放大效率,全球超过10万的可用主机,成为攻击者发起DDoS攻击的利器。从下图可以看出在短短6个月内,MEMCACHED反射手法的占比从不足1%迅速增长到31%,并制造了数次上Tb的DDoS攻击。根据某国外DDoS站点的统计,国外攻击者选用MEMCACHED反射手法的占比也高达54%。MEMCACHED反射手法的威力可见一斑。
另外,今年3月份,基于IPMI协议的UDP反射攻击也被攻击者挖掘出来。此类攻击手法的特征为放大比例为1.1倍,攻击源绝大部分位于北美洲和欧洲等发达地区,IDC服务器占比达90%等。由于可以隐藏行踪,也被黑产攻击者挖掘出来。
特别的,之前的反射型攻击基本集中在UDP协议上,但是上半年出现了基于TCP协议的反射攻击。攻击者通过伪造受害者的IP作为源地址,向互联网上开放常见TCP端口的IP发送SYN包,引发受害者IP收到大量以上述端口为源端口的SYN_ACK包,导致被攻击服务器CPU飙升,网络拥塞,服务中断等严重后果。此外,发现这些源IP的攻击报文存在TCP超时重传等协议栈行为,防护难度更大 。
在一次针对某游戏行业客户的攻击中,经统计分析,攻击过程中共采集到近百万个攻击源,源端口聚集在常见的TCP端口:80/443/23/22/3389等端口(占比超过80%)。经过探测,发现绝大多数IP的对应端口都是存活的,很明显这个就是利用TCP协议发起的反射攻击。
0x03 2018年上半年游戏行业DDoS威胁分析
1. 游戏行业DDoS威胁概述
1)攻击占比(39%)和攻击峰值(1.23Tbps)均为各行业第一
2)平均攻击峰值9.4G
3)平均持续时长1759秒
4)最长持续时长766744秒
5)平均攻击成本 300元/次,高防用户攻击成本500元/次,棋类游戏用户攻击成本 5000~10000元/天
2. DDoS攻击的游戏细分行业分布
上半年,游戏行业的DDoS攻击占比接近40%。其中游戏行业细分行业中,手游(占比32%)和页游(占比15%)是攻击最多的品类。此外,棋类游戏的攻击占比为9%,也是DDoS攻击较多的细分行业。
3. 游戏行业DDoS攻击的时间分布
通过分析发现,绝大部分攻击的时长在5分钟以内(占比58%),但是也有5%的攻击成了持续时间超过12小时的持久战。
在攻击发起的时机方面,一年365天黑产攻击者都保持在线,并且在元旦,除夕等节假日,攻击者也会突然爆发。相对而言,每天的21点~23点成为攻击者最亢奋的时段。
4. 游戏行业攻击案例
1)某热门端游炸房团伙的“炸房”对抗
攻:代练团伙为确保游戏战绩,在战局不利时使用炸房外挂,调用国外第三方流量压测网站服务发起攻击,以UDP反射、UDP小包、业务报文回放等方式发起攻击,引发对局内玩家掉线,从而消除战败记录提升战绩。
防:依托行业领先的水印方案并加入动态防护特征,并通过四轮交锋,炸房攻击100%防护,并可识别出恶意玩家
