SEO优化中被[CC攻击]实战解决方案
本来最近一直比较低调的，也不愿意提风一样的男子，也不说是济南网站优化第一朋少，可是，你越是低调，越是有人看你不顺眼，越想搞你。觉得你挺好欺负的样子。网站从昨天一直开始在CC攻击。一直到今天下午，从来不带停的。攻击量应该是十分大的。可能这样一说有好多同学都不知道我在说什么。那么我慢慢给大家讲讲。
如果一个网站做优化，如果被CC攻击，如果它一直在攻击你，而你解决不了的话，基本排名下降是肯定的。降权也有很大的可能。危害还是有的，这并不是危言耸听。
1、先来普及一下知识，什么是CC攻击？
攻击者借助代理服务器生成指向受害主机的合法请求，实现DDOS,和伪装就叫：cc(ChallengeCollapsar)。
CC主要是用来攻击页面的。大家都有这样的经历，就是在访问论坛时，如果这个论坛比较大，访问的人比较多，打开页面的速度会比较慢，访问的人越多，论坛的页面越多，数据库就越大，被访问的频率也越高，占用的系统资源也就相当可观。
总结为一句话：利用大量的电脑或是代理服务器，请求你的网站，使你网站瘫痪。
2、CC攻击的原理
CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。CC主要是用来攻击页面的，每个人都有这样的体验：当一个网页访问的人数特别多的时候，打开网页就慢了，CC就是模拟多个用户（多少线程就是多少用户）不停地进行访问那些需要大量数据操作（就是需要大量CPU时间）的页面，造成服务器资源的浪费，CPU长时间处于100%，永远都有处理不完的连接直至就网络拥塞，正常的访问被中止。
3、被CC攻击了怎么办？
（1）备份网站数据。一般我们都是有空间和后台的。备案网站程序+数控库，是一件很轻松的事情。
（2）换一个高防服务器或是VPS。基本来讲，CC攻击者的能力，通过上面可以得知，决定于他可用代理IP的数量。根据朋少的观察，他代理IP的个数是有限的。而我们换成一个高防服务器的话，直接超出他攻击的范围，那他的攻击就无效了。
（3）开启360防护。这个没开启成功。空间是西数的。然后一被CC，直接就关了，我不问，他从来也不解释。但是看了网上的帖子。不过我感觉开启了防护，也许会影响优化。
综上所述，我选择了第二种，换了高防服务器。
4、致攻击我的人
我不会骂你，也不打你。只是你觉得这样有意思吗？打又打不死，你是纯属过来恶心我的吗？
如果你真有钱，你就DDOS我，没CC，长时间DDOS，我的排名可能会下降的。
即使我下去了，你可以上来吗？兄弟？
还是把思路多放在如何优化好网站，如何上排名，如何去赚钱吧。
CC攻击并不是每个人都会有。被人打，证明你还有存在的价值。如果大家都不想去搞你的站的时候，基本来讲，就完了。谢谢大家，准备睡了！！！打字已经开始乱了。。。。。
想看更多关于网站优化的文章，敬请关注
网站排名前20名快速进前三QQ
责任编辑：
声明：该文观点仅代表作者本人，搜狐号系信息发布平台，搜狐仅提供信息存储空间服务。
今日搜狐热点【长文】DDoS攻防战：CC攻击及防火墙frdev的原理与实现
我的图书馆
【长文】DDoS攻防战：CC攻击及防火墙frdev的原理与实现
【编者按】DDoS攻击的模式改变了传统的点对点的攻击模式，使攻击方式出现了没有规律的情况，而且在进行攻击的时候，通常使用的也是常见的协议和服务，这样只是从协议和服务的类型上是很难对攻击进行区分。在进行攻击的时候，攻击数据包都是经过伪装的，在源IP 地址上也是进行伪造的，这样就很难对攻击进行地址的确定，在查找方面也是很难的。本文将针对应用层的DDoS攻击的实现、防范，以及一个防火墙内核模块的实现做了详细解读，本文来作者个人博客。概述 DDoS，即 Distributed Denial of Service ，可译为分散式阻断服务攻击。上图与DDoS的字面已经清楚的表述出了此类攻击的原理，勿需多言。这类攻击泛滥存在的主要原因之一是网络服务的开放性，这一特点导致了DDoS攻击无法根本杜绝，目前主要应对策略是积极防御与消极防御。典型DDoS的攻击方式：死亡之Pingicmp封装于IP报文之中，而IP对于很大的数据载荷采用分片传输的策略，而接收方需要对这些IP分片进行重组，如果接收方的重组算法不能很好地处理意外情况，后果会很严重，典型的意外情况包括：1.连续分片的偏移量之间不符合它们应该的逻辑关系，攻击者伪造出这样的一系列分包是很容易的；2.重组完成后的IP头与数据载荷，总长度竟超过了IP报文总长2^16字节（64kB）的限制，一个实现的例子是，前面各分片一律正常，唯有最后一个IP分片的数据载荷尽量填充到最大，如达到以太网最大传输单元MTU 1500字节上限，这样重组后的报文总长度就达到了约（64kB+B=65.44kB）的大小。这种攻击方式附加了对目标系统协议栈算法的漏洞利用。泪滴TearDrop泪滴攻击指的是向目标机器发送损坏的IP包，诸如重叠的包或过大的包载荷。借由这些手段，该攻击可以通过TCP/IP协议栈中分片重组代码中的bug来瘫痪各种不同的操作系统。(此段摘自维基百科中文，实现方式可参考上死亡之Ping）UDP洪水UDP是一种无连接协议，当数据包通过 UDP 发送时，所有的数据包在发送和接收时不需要进行握手验证。当大量 UDP 数据包发送给受害系统时，可能会导致带宽饱和从而使得合法服务无法请求访问受害系统。遭受 DDoS UDP 洪泛攻击时，UDP 数据包的目的端口可能是随机或指定的端口，受害系统将尝试处理接收到的数据包以确定本地运行的服务。如果没有应用程序在目标端口运行，受害系统将对源IP发出 ICMP 数据包，表明“目标端口不可达”。某些情况下，攻击者会伪造源IP地址以隐藏自己，这样从受害系统返回的数据包不会直接回到僵尸主机，而是被发送到被伪造地址的主机。有时 UDP 洪泛攻击也可能影响受害系统周围的网络连接，这可能导致受害系统附近的正常系统遇到问题。然而，这取决于网络体系结构和线速。（此段摘自维基百科中文）TCP RST 攻击TCP协议存在安全漏洞，正常的TCP连接可以被非法的第三方复位，这是因为TCP连接通讯不包含认证的功能。如，在已知连接的五元组的情况下，攻击者可以伪造带有RST/SYN标志的TCP报文或普通数据报文，当其sequence number落在TCP连接的滑动窗口范围内，可能导致会话终止或者虚假数据插入。（这里仅仅提一下，详细可参考文章《 从TCP协议的原理来谈谈rst复位攻击》、《 忆龙2009：TCP非法复位漏洞及解决方法》）TCP 全连接攻击庞大的攻击群同时地、不断地与目标服务器建立正常的TCP连接，从而严重影响正常用户的连接服务。Syn Flood攻击者向目标服务器发送大量（伪造源IP地址、伪造源端口、正确目标IP地址、正确目标端口）tcp syn数据包，目标服务器为了维持这么大量的虚假连接，大量的tcp状态机维持在了SYN_RCVD状态，严重地影响了处理速度与消耗了系统资源，而反观攻击者，伪造并发送这些小数据包，各项资源消耗都极低，对于网络传输速度为3Mb/s的一个攻击者来说，攻击包的速率大约可达每秒(3Mb/8/40=9830)个，如果网络传输速度达到30Mb/s，单个攻击者的攻击包速率可为98300/s，如果再考虑到分布式攻击，情况将变得极为恶劣。 CC攻击CC，即 Chanllenge Collapsar ,可直译为 黑洞挑战，CC攻击是 DDoS 攻击的一种类型，使用代理服务器向受害服务器发送大量貌似合法的请求，巧妙之处在于，网络上有许多免费代理服务器，甚至很多都支持匿名代理，所以其优点为：1.攻击者事先不需要抓取攻击傀儡，但仍需得到可用的、符合要求的代理 ip:port 列表;2.匿名代理，使得追踪变得非常困难，但并非不可能！四层及以下的DDoS防御：新型攻击方式的产生、流行，必然导致对应防御策略的出现。而针对四层及四层以下的DDoS攻击，现在的硬件防火墙大多都能对死亡之Ping、icmp洪水、泪滴等做到很好的防御效果，所以，这里重点介绍SynFlood的若干防御策略：SynCookie：等到系统资源到达某一临界点，内核协议栈启用SynCookie机制，进行Syn包源IP:PORT验证，它本身是一种非常巧妙的实现，具体可参考文章《 SYN Cookie的原理和实现》；　　SynProxy：即Syn代理，一般可在前端防火墙上实现，不过，淘宝开源项目ipvs维护者吴佳明先生已经在内核层实现了这一功能，可理解为SynCookie+Proxy，请访问 https://github.com/alibaba/LVS/获得最新源码与项目文档；SynCheck：对Syn包依据一定的规则进行检验,以过滤掉一部分不规则的包；SynFirstDrop：Syn首包丢弃策略，但如果攻击者将伪造的Syn报文发送两次，这种方法就失去了效果。 以上的这些常见防御方法都可以分别通过硬件和软件来实现，一般来讲，硬件防火墙处理能力要比软件方法强，但价格也更加昂贵，尽管软件实现性能会有下降，但也没有太差，例如，ipvs工作于内核层，淘宝在大部分网站使用其作为Director，下面是一些官方数据：
如果在上面这些数据的基础之上，前端Director实现集群以分担系统负载，性能将会更佳，可见软件防火墙在使用的得当的情况之下，能极大降低系统成本，而且性能理想，这是经过淘宝的系统实际验证了的。CC攻击工具实现与防御理论我们将要实现一个进行应用层DDoS攻击的工具，综合考虑，CC攻击方式是最佳选择，并用bash shell脚本来快速实现并验证这一工具，并在最后，讨论如何防御来自应用层的DDoS攻击。第一步：获取大量可用代理ip:port列表网上所处可见免费代理，我们使用http的GET方法抓取html文档，接着使用正则过滤出我们需要的ip port对，然后逐一验证各代理的可用性，最终得到可用的代理ip port对。 参数：declare check_threads=10 #验证代理可用性时的并发数，看一下代码就会发现，我们使用的是GET http://baidu.com方法，所以，并发数请不要也太高，除非你的目标就是...... 总结：应征入伍的士兵共计600人，经过考核的共计449人，如果你还想招募更多的士兵，奉劝一句，苦海无边，回头是岸。 第二步：吹响战争号角笔者在一台VPS上建立了一个薄弱的靶机，各位读者请不要太暴力，测试一下就可以了，地址 http://eecs.cc:8080/
读者可自行尝试攻击这个站点，然后使用浏览器访问查看服务器网络状况，此时大量连接处于TIME_WAIT状态，参考TCP状态机，这一状态为主动关闭一方的最终等待状态。（编者注：请不要恶意攻击别人的网站）应用层DDoS的防御理论：问题模型描述：每一个页面，都有其资源消耗权重，静态资源，权重较低，动态资源，权重较高。对于用户访问，有如下：用户资源使用频率=使用的服务器总资源量/s命题一：对于正常访问的用户，资源使用频率必定位于一个合理的范围，当然会存在大量正常用户共享ip的情况，这就需要日常用户访问统计，以得到忠实用户ip白名单。命题二：资源使用频率持续异常的，可断定为访问异常的用户。防御体系状态机：1.在系统各项资源非常宽裕时，向所有ip提供服务，每隔一段时间释放一部分临时黑名单中的ip成员；2.在系统资源消耗达到某一阈值时，降低Syn包接受速率，循环：分析最近时间的日志，并将访问异常的ip加入临时黑名单；3.若系统资源消耗慢慢回降至正常水平，则恢复Syn包接受速率，转到状态1；若目前策略并未有效地控制住系统资源消耗的增长，情况继续恶劣至一极限阈值，转到状态4；4.最终防御方案，使用忠实用户ip白名单、异常访问ip黑名单策略，其他访问可慢慢放入，直到系统资源消耗回降至正常水平，转到状态1。上述的防御状态机，对于单个攻击IP高并发的DDOS，变化到状态3时，效果就完全体现出来了，但如果防御状态机进行到4状态，则有如下两种可能：1.站点遭到了攻击群庞大的、单个IP低并发的DDOS攻击；2.站点突然间有了很多访问正常的新用户。建议后续工作：保守：站点应尽快进行服务能力升级。积极：尽所能，追溯攻击者。追溯攻击者： CC：proxy-forward-from-ip 单个IP高并发的DDOS：找到访问异常的、高度可疑的ip列表，exploit，搜集、分析数据，因为一个傀儡主机可被二次攻占的概率很大（但不建议这种方法） 单个IP低并发的DDOS：以前极少访问被攻击站点，但是在攻击发生时，却频繁访问我们的站点，分析日志得到这一部分ip列表 追溯攻击者的过程中，snat与web proxy增加了追踪的难度，如果攻击者采用多个中继服务器的方法，追溯将变得极为困难。防御者：1。应对当前系统了如指掌，如系统最高负载、最高数据处理能力，以及系统防御体系的强项与弱点 2.历史日志的保存、分析 3.对当前系统进行严格安全审计 4.上报公安相关部分，努力追溯攻击者 5.网站，能静态，就一定不要动态，可采取定时从主数据库生成静态页面的方式，对需要访问主数据库的服务使用验证机制6.防御者应能从全局的角度，迅速及时地发现系统正在处于什么程度的攻击、何种攻击，在平时，应该建立起攻击应急策略，规范化操作，免得在急中犯下低级错误对历史日志的分析这时将会非常重要，数据可视化与统计学的方法将会很有益处：1.分析每个页面的平均访问频率2.对访问频率异常的页面进行详细分析 分析得到ip-页面访问频率3.得到对访问异常页面的访问异常ip列表4.对日志分析得到忠实用户IP白名单5.一般一个页面会关联多个资源，一次对于这样的页面访问往往会同时增加多个资源的访问数，而攻击程序一般不会加载这些它不感兴趣的资源，所以，这也是一个非常好的分析突破点ip黑白名单防火墙frdev的原理与实现实现方案选择：硬件实现或者软件实现？在面对诸如大量畸形包这样的攻击时，硬件实现将会是非常好的选择，这是因为在进行此类型的封包过滤时，系统需要记忆的状态很少（对于FPGA、ASIC诸多硬件实现方案来讲，记忆元件的成本决不可忽视，寄存器与静态RAM都非常昂贵，所以当需要记忆的信息很少时，纯硬件方案的速度优势使得其完胜软件方案）。但是，当状态机需要处理庞大的记忆信息时，我们就需要选择廉价的存储器——动态随机存储器（如SDRAM中的DDR3）来作为系统状态机的存储介质，以降低系统的成本和复杂度。这时，软件实现更胜一筹。尽管纯硬件实现的速度会比软件的方式高出很多，但我们也从第一篇文章《 DDoS攻防战 （一） ： 概述》中lvs性能的测试结果中看到，软件实现的、作为服务器前端均衡调度器的lvs，性能理想并且能胜任实际生产环境中的、庞大的用户请求处理，可见，如果设计合理，软件实现的性能无需过多担忧。最终，我们决定采用软件的方法来实现所需的ip黑白名单模块。最终系统鸟瞰：笔者花费大约二十天的时间，使用C语言实现了这一模块，其中，内核空间的核心代码约2300行，用户空间管理工具的代码总行数约为700行。下为系统的鸟瞰： 用户空间管理工具fripadm，通过ioctl与工作于内核态的frdev模块进行通信 frdev维护两个double_hash_table的实例，并提供了一个挂在NF_INET_PRE_ROUTING的钩子函数，其通过操作这两个double_hash_table的实例以分别实现ip黑名单、白名单的功能 frdev通过内核中设备驱动的ioctl机制，向用户空间提供这两个double_hash_table实例的操作函数，而我们的用户空间管理工具fripadm正是基于此而实现的下面是内核态的主要数据结构与其对应的操作函数：
为什么使用双哈希表缓冲？请考虑如下场景：情况1：来自应用层的DDoS攻击常常是瞬间涌入大量非法ip请求，例如数万个非法ip，所以，对于防火墙黑白名单功能的要求至少有如下：能在很短的时间内更新大量数据项，且不能造成系统服务停顿。分析：如果只使用一个全局的哈希表，当在短时间内进行大量的数据项增删时，例如，成千上万个，此时，即使采用多把读写锁分割哈希表的策略，对共享资源的竞争也依然将严重影响系统响应速度，严重时系统可能会停顿或者更糟，对于生产环境中的高负载服务器，这是无法容忍的。解决：以空间换时间 采用双哈希表缓冲的策略，将系统共享资源的竞争热点压缩至两个hash表指针主备切换的极短时间内，此方法能显著降低系统在大量数据项更新时共享资源的竞争。系统查询将会直接访问master指向的fr_ip_hash_array，而用户的更新操作将直接针对mirror所指向的另一个fr_ip_hash_array实例，直到switch_mirror_update操作的执行，master将被瞬间“更新”。这是其主要的工作特点。对于SMP与多队列网卡的系统，可采用如下策略：多数cpu核心专门负责处理内核的softirq任务，剩下的少数cpu负责进行双哈希表的更新、切换与重建等操作。这样可提高系统对攻击的快速防御响应。但此方案将使得系统需要维护两个互为镜像的哈希表，这将加重系统内存的读写负担。具体实现细节如下： 挂到协议栈上的钩子函数：在模块初始化函数fr_ip_dev_init的最后，即当两个双哈希表实例（分别用作黑名单与白名单）初始化成功、fedev设备注册成功之后，其将会执行nf_register_hook，将指定的钩子函数fr_nf_hook_sample挂到NF_INET_PRE_ROUTING之上。fr_nf_hook_sample的主要处理代码如下： 其中，double_hash_white_ptr指向白名单fr_ip_double_hash实例，double_hash_ptr则指向黑名单fr_ip_double_hash实例，由于支持模糊ip匹配，故，上述代码使得对源ip过滤的“通”、“堵”策略皆可使用。内核空间frdev的ioctl处理函数：目前，ioctl支持来自用户空间的如下操作：上述各功能的具体实现请阅读frdev源码中的fr_ip_dev_ioctl_routine函数。用户空间管理工具：fripadm第一步，实现fripadm_black_in_exe与fripadm_white_in_exe，是分别管理黑白名单的工具，不过，较为简陋，第二步，使用shell脚本对其进行二次封装得到fripadm_black_in.sh与fripadm_white_in.sh这两个较用户友好的工具。fripadm为用户空间的C语言开发者们提供了如下API： fripadm_black_in_exe、fripadm_white_in_exe、fripadm_black_in.sh与 fripadm_white_in.sh的具体实现请参看frdev源码。最终系统测试： 按照README所述的过程，编译、安装完毕frdev设备后，便可进行如下测试：原本被black所DROP的数据包，在更新了white的ip条目后，被white所ACCEPT，上图红线标出了数据包被截断的icmp_seq的区间。 关于frdev的陈述到此为止。最近笔者在阅读《白帽子讲Web安全》这本书时，发现了雅虎公司用于防护应用层DDoS攻击的系统Yahoo Detecting System Abuse，yahoo为此系统申请了专利保护。下面是关于这个系统的描述：A system continually monitors service requests and detects service abuses. First, a screening list is created to identify potential abuse events. A screening list includes event IDs and associated count values. A pointer cyclically selects entries in the table,advancing as events are received. An incoming event ID is compared with the event IDs in the table. If the incoming event ID matches an event ID in the Screening list,the associated count is incremented. Otherwise, the count of a selected table entry is decremented. If the count value of the selected entry falls to Zero, it is replaced With the incoming event. Event IDs can be based on properties of service users,such as user identifications, or of service request contents,such as a search term or message content. The screening list is analyzed to determine whether actual abuse is occurring. 大概思路如下： 此系统通过维护一个筛选表来得到用户的请求频率，以判断其是否存在service abuse，然采取相关措施，例如BLOCK。这种防御思想，与我们之前所提出的防御状态机有着异曲同工之妙。笔者认为这是必然的。前面的文章已经提过，DDoS攻击存在的主要原因之一是网络服务的开放性，我们不可能从下层来解决这样的问题（因为服务的可用性是第一要求），只能从上层分析解决.而应用层已经处于协议栈的最高层，所以，要防御应用层DDoS攻击，只能从应用层以上来寻找解法，故，在这种情况下，除了借助数据统计分析，难道还会有更好的方法么？
喜欢该文的人也喜欢& 浏览内容
Linux被DDOS及CC攻击解决方案
现在攻击越来越频繁,无需什么技术即可就行拒绝服务经常一些站长反映自己的网站经常出现mysql 1040错误，他的在线用户才不到一千，mysql配置也没问题。一般遇到这站情况就需注意了,你的网站可能被CC攻击了。
解决方案及思路
CC攻击防御措施，鉴于系统是centos，运行了下面的这两行命令。
netstat -anlp|grep 80|grep tcp|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|head -n20 | netstat -ant |awk '/:80/{split($5,ip,":");++A[ip[1]]}END{for(i in A) print A[i],i}' |sort -rn|head -n20
netstat -anlp|grep 80|grep tcp|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|head -n20 | netstat -ant |awk '/:80/{split($5,ip,":");++A[ip[1]]}END{for(i in A) print A[i],i}' |sort -rn|head -n20
把请求过多的IP记录下来。
222.127.94.*
247.27.128.*
145.27.133.*
222.127.94.*247.27.128.*145.27.133.*
开始封禁IP，具体可以看我下面运行的命令。本文主要是采用iptables进行封禁
iptables -I INPUT -s 222.127.94.0/16 -j DROP
iptables -I INPUT -s 247.27.128.0/16 -j DROP
iptables -I INPUT -s 145.27.133.0/16 -j DROP
iptables -I INPUT -s 193.1.0.0/8 -j DROP 【慎用封禁整个段】
iptables -I INPUT -s 222.127.94.0/16 -j DROPiptables -I INPUT -s 247.27.128.0/16 -j DROPiptables -I INPUT -s 145.27.133.0/16 -j DROPiptables -I INPUT -s 193.1.0.0/8 -j DROP 【慎用封禁整个段】
运行上面这些命令之后我们已经完成封禁操作了，不过还得保存一下，如果不保存的话重启系统之后上面设定的规则会消失。
service iptables save
service iptables save
运行下面这行命令，来查看谁的访问量最高（需要安装tcpdump）
tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F"." '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -nr |head -20
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
1000 packets captured
1000 packets received by filter
0 packets dropped by kernel
1420 IP 174.7.7.*
tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F"." '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -nr |head -20 tcpdump: verbose output suppressed, use -v or -vv for full protocol decodelistening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes1000 packets captured1000 packets received by filter0 packets dropped by kernel1420 IP 174.7.7.*
&然后将packets过多的IP记录下来，用上面的方法封禁。
service iptables save
service iptables save
保存然后重启
iptables service iptables restart
iptables service iptables restart
这一步建议多进行几次，发现异常IP用上面的办法封禁。如果出现误封可以参考下面这行解封命令进行解封
iptables -D INPUT -s 222.142.2.0/16 -j DROP
iptables -D INPUT -s 222.142.2.0/16 -j DROP
封单个IP的命令是：
iptables -I INPUT -s 211.1.0.0 -j DROP
iptables -I INPUT -s 211.1.0.0 -j DROP
封IP段的命令是：
iptables -I INPUT -s 211.1.0.0/16 -j DROP
iptables -I INPUT -s 211.2.0.0/16 -j DROP
iptables -I INPUT -s 211.3.0.0/16 -j DROP
iptables -I INPUT -s 211.1.0.0/16 -j DROPiptables -I INPUT -s 211.2.0.0/16 -j DROPiptables -I INPUT -s 211.3.0.0/16 -j DROP
封整个B段的命令是：
iptables -I INPUT -s 211.0.0.0/8 -j DROP
iptables -I INPUT -s 211.0.0.0/8 -j DROP
封几个段的命令是：
iptables -I INPUT -s 61.37.80.0/24 -j DROP
iptables -I INPUT -s 61.37.81.0/24 -j DROP
iptables -I INPUT -s 61.37.80.0/24 -j DROPiptables -I INPUT -s 61.37.81.0/24 -j DROP
进行了上面的操作之后，客户的网站正常了，几乎秒开，当然这和他的vps给力也有一定的关系。top了一下，资源也正常了。
以上方法只做参考具体操作因情况而定,多多主意网络安全,不要给骇客有机可乘！
关注我们，实时联系
通知公告?如果喜欢本站可以直接点击！?点击此加入晓残博客会员群！?本站免费提供加密解密服务！?如果你有意向广告合作点击！
<a href="//www.exehack.net/5208.html" title="WordPress WordPress <= 4.9.6任意文件删除漏洞可重装
博客统计日志总数：545 篇评论数目：2171 条标签总数：43 个页面总数：8 个分类总数：17 个友链总数：24 个建站日期：运行天数：2723 天最后更新：阿里云：游戏行业DDoS攻击解决方案 - Bill Yuan - 博客园
正确性、健壮性、可靠性、效率、易用性、可读性、可复用性、兼容性、可移植性...
posts - 931, comments - 26, trackbacks - 0, articles - 0
转自：http://www.gamelook.com.cn/420
根据全球游戏和全球移动互联网行业第三方分析机构Newzoo的数据显示：2017年上半年，中国以275亿美元的游戏市场收入超过美国和日本，成为全球榜首。
游戏行业的快速发展、高额的攻击利润、日趋激烈的行业竞争，让中国游戏行业的进军者们，每天都面临业务和安全的双重挑战。
游戏行业一直是竞争、攻击最为复杂的一个江湖。 曾经多少充满激情的创业团队、玩法极具特色的游戏产品，被互联网攻击的问题扼杀在摇篮里；又有多少运营出色的游戏产品，因为遭受DDoS攻击，而一蹶不振。
DDoS攻击的危害
阿里云安全发布的2017年上半年的游戏行业DDoS攻击态势报告中指出：2017年1月至2017年6月，游戏行业大于300G以上的攻击超过1800次，攻击最大峰值为608G；游戏公司每月平均被攻击次数高达800余次。
目前，游戏行业因DDoS攻击引发的危害主要集中在以下几点：
90%的游戏业务在被攻击后的2-3天内会彻底下线。
攻击超过2-3天以上，玩家数量一般会从几万人下降至几百人。
遭受DDoS攻击后，游戏公司日损失可达数百万元。
为什么游戏行业是DDoS攻击的重灾区？
据统计表明，超过50%的DDoS和CC攻击，都在针对游戏行业。游戏行业成为攻击的重灾区，主要有以下几点原因：
游戏行业的攻击成本低，几乎是防护成本的1/N，攻防两端极度不平衡。
随着攻击方的手法日趋复杂、攻击点的日趋增多，静态防护策略已无法达到较好的效果，从而加剧了这种不平衡。
游戏行业生命周期短。
一款游戏从出生到消亡，大多只有半年的时间，如果抗不过一次大的攻击，很可能就死在半路上。黑客也是瞄中了这一点，认定只要发起攻击，游戏公司一定会给保护费。
游戏行业对连续性的要求很高，需要7&24小时在线。
因此如果受到DDoS攻击，很容易会造成大量的玩家流失。在被攻击的2-3天后，玩家数量从几万人掉到几百人的事例屡见不鲜。
游戏公司之间的恶性竞争，也加剧了针对行业的DDoS攻击。
游戏行业的DDoS攻击类型
攻击者与服务器频繁建立TCP连接，占用服务端的连接资源，有的会断开、有的则一直保持。空连接攻击就好比您开了一家饭馆，黑帮势力总是去排队，但是并不消费，而此时正常的客人也会无法进去消费。
流量型攻击
攻击者采用UDP报文攻击服务器的游戏端口，影响正常玩家的速度。用饭馆的例子，即流量型攻击相当于黑帮势力直接把饭馆的门给堵了。
攻击者攻击服务器的认证页面、登录页面、游戏论坛等。还是用饭馆的例子，CC攻击相当于，坏人霸占收银台结账、霸占服务员点菜，导致正常的客人无法享受到服务。
模拟游戏登录和创建角色过程，造成服务器人满为患，影响正常玩家。
对玩家的DDoS攻击
针对对战类游戏，攻击对方玩家的网络使其游戏掉线或者速度慢。
对网关DDoS攻击
攻击游戏服务器的网关，导致游戏运行缓慢。
频繁的攻击服务器，发送垃圾报文，造成服务器忙于解码垃圾数据。
游戏安全痛点
业务投入大，生命周期短
一旦出现若干天的业务中断，将直接导致前期的投入化为乌有。
缺少为安全而准备的资源
游戏行业玩家多、数据库和带宽消耗大、基础设施资源准备时间长，而安全需求往往没有被游戏公司优先考虑。
可被攻击的薄弱点多
网关、带宽、数据库、计费系统都可能成为游戏行业攻击的突破口，相关的存储系统、域名DNS系统、CDN系统等也会遭受攻击。
涉及的协议种类多
难以使用同一套防御模型去识别攻击并加以防护，许多游戏服务器多用加密私有协议，难以用通用的挑战机制进行验证。
实时性要求高，需要7&24小时在线
业务不能中断，成为DDoS攻击容易奏效的理由。
行业恶性竞争现象猖獗
DDoS攻击成为打倒竞争对手的工具。
如何判断已遭受DDoS攻击？
假定已排除线路和硬件故障的情况下，突然发现连接服务器困难、正在游戏的用户掉线等现象，则说明您很有可能是遭受了DDoS攻击。
目前，游戏行业的IT基础设施一般有 2 种部署模式：一种是采用云计算或者托管IDC模式，另外一种是自行部署网络专线。无论是前者还是后者接入，正常情况下，游戏用户都可以自由流畅地进入服务器并进行游戏娱乐。因此，如果突然出现以下几种现象，可以基本判断是被攻击状态：
主机的IN/OUT流量较平时有显著的增长。
主机的CPU或者内存利用率出现无预期的暴涨。
通过查看当前主机的连接状态，发现有很多半开连接；或者是很多外部IP地址，都与本机的服务端口建立几十个以上的ESTABLISHED状态的连接，则说明遭到了TCP多连接攻击。
游戏客户端连接游戏服务器失败或者登录过程非常缓慢。
正在进行游戏的用户突然无法操作、或者非常缓慢、或者总是断线。
DDoS攻击缓解最佳实践
目前，有效缓解DDoS攻击的方法可分为 3 大类：
服务器加固
商用的DDoS防护服务
您可根据自己的预算和遭受攻击的严重程度，来决定采用哪些安全措施。
在预算有限的情况下，建议您优先从自身架构的优化和服务器加固上下功夫，减缓DDoS攻击造成的影响。
部署DNS智能解析
通过智能解析的方式优化DNS解析，有效避免DNS流量攻击产生的风险。同时，建议您托管多家DNS服务商。
屏蔽未经请求发送的DNS响应信息
典型的DNS交换信息是由请求信息组成的。DNS解析器会将用户的请求信息发送至DNS服务器中，在DNS服务器对查询请求进行处理之后，服务器会将响应信息返回给DNS解析器。
但值得注意的是，响应信息是不会主动发送的。服务器在没有接收到查询请求之前，就已经生成了对应的响应信息，这些回应就应被丢弃。
丢弃快速重传数据包
即便是在数据包丢失的情况下，任何合法的DNS客户端都不会在较短的时间间隔内向同一DNS服务器发送相同的DNS查询请求。如果从相同IP地址发送至同一目标地址的相同查询请求发送频率过高，这些请求数据包可被丢弃。
如果DNS服务器已经将响应信息成功发送了，应该禁止服务器在较短的时间间隔内对相同的查询请求信息进行响应。
对于一个合法的DNS客户端，如果已经接收到了响应信息，就不会再次发送相同的查询请求。每一个响应信息都应进行缓存处理直到TTL过期。当DNS服务器遭遇大量查询请求时，可以屏蔽掉不需要的数据包。
丢弃未知来源的DNS查询请求和响应数据
通常情况下，攻击者会利用脚本对目标进行分布式拒绝服务攻击（DDoS攻击），而且这些脚本通常是有漏洞的。因此，在服务器中部署简单的匿名检测机制，在某种程度上可以限制传入服务器的数据包数量。
丢弃未经请求或突发的DNS请求
这类请求信息很可能是由伪造的代理服务器所发送的，或是由于客户端配置错误或者是攻击流量。无论是哪一种情况，都应该直接丢弃这类数据包。
非泛洪攻击 (non-flood) 时段，可以创建一个白名单，添加允许服务器处理的合法请求信息。白名单可以屏蔽掉非法的查询请求信息以及此前从未见过的数据包。
这种方法能够有效地保护服务器不受泛洪攻击的威胁，也能保证合法的域名服务器只对合法的DNS查询请求进行处理和响应。
启动DNS客户端验证
伪造是DNS攻击中常用的一种技术。如果设备可以启动客户端验证信任状，便可以用于从伪造泛洪数据中筛选出非泛洪数据包。
对响应信息进行缓存处理
如果某一查询请求对应的响应信息已经存在于服务器的DNS缓存之中，缓存可以直接对请求进行处理。这样可以有效地防止服务器因过载而发生宕机。
使用ACL的权限
很多请求中包含了服务器不具有或不支持的信息，可以进行简单的阻断设置。例如，外部IP地址请求区域转换或碎片化数据包，直接将这类请求数据包丢弃。
利用ACL，BCP38及IP信誉功能
托管DNS服务器的任何企业都有用户轨迹的限制，当攻击数据包被伪造，伪造请求来自世界各地的源地址。设置一个简单的过滤器可阻断不需要的地理位置的IP地址请求或只允许在地理位置白名单内的IP请求。
同时，也存在某些伪造的数据包可能来自与内部网络地址的情况，可以利用BCP38通过硬件过滤清除异常来源地址的请求。
部署负载均衡
通过部署负载均衡（SLB）服务器有效减缓CC攻击的影响。通过在SLB后端负载多台服务器的方式，对DDoS攻击中的CC攻击进行防护。
部署负载均衡方案后，不仅具有CC攻击防护的作用，也能将访问用户均衡分配到各个服务器上，减少单台服务器的负担，加快访问速度。
使用专有网络
通过网络内部逻辑隔离，防止来自内网肉鸡的攻击。
提供余量带宽
通过服务器性能测试，评估正常业务环境下能承受的带宽和请求数，确保流量通道不止是日常的量，有一定的带宽余量可以有利于处理大规模攻击。
服务器安全加固
在服务器上进行安全加固，减少可被攻击的点，增大攻击方的攻击成本：
确保服务器的系统文件是最新的版本，并及时更新系统补丁。
对所有服务器主机进行检查，清楚访问者的来源。
过滤不必要的服务和端口。例如，WWW服务器，只开放80端口，将其他所有端口关闭，或在防火墙上做阻止策略。
限制同时打开的SYN半连接数目，缩短SYN半连接的timeout时间，限制SYN/ICMP流量。
仔细检查网络设备和服务器系统的日志。一旦出现漏洞或是时间变更，则说明服务器可能遭到了攻击。
限制在防火墙外与网络文件共享。降低黑客截取系统文件的机会，若黑客以特洛伊木马替换它，文件传输功能无疑会陷入瘫痪。
充分利用网络设备保护网络资源。在配置路由器时应考虑以下策略的配置：流控、包过滤、半连接超时、垃圾包丢弃，来源伪造的数据包丢弃，SYN 阀值，禁用ICMP和UDP广播。
通过iptable之类的软件防火墙限制疑似恶意IP的TCP新建连接，限制疑似恶意IP的连接、传输速率。
识别游戏特征，自动将不符合游戏特征的连接断开。
防止空连接和假人攻击，将空连接的IP地址直接加入黑名单。
配置学习机制，保护游戏在线玩家不掉线。例如，通过服务器搜集正常玩家的信息，当面对攻击时，将正常玩家导入预先准备的服务器，并暂时放弃新进玩家的接入，以保障在线玩家的游戏体验。
商用DDoS攻击解决方案
针对超大流量的攻击或者复杂的游戏CC攻击，可以考虑采用专业的DDoS解决方案。目前，通用的游戏行业安全解决方案做法是在IDC机房前端部署防火墙或者流量清洗的一些设备，或者采用大带宽的高防机房来清洗攻击。
当宽带资源充足时，此技术模式的确是防御游戏行业DDoS攻击的有效方式。不过带宽资源有时也会成为瓶颈：例如单点的IDC很容易被打满，对游戏公司本身的成本要求也比较高。
DDoS攻击解决方案&&游戏盾
游戏盾是阿里云针对游戏行业面对的DDoS、CC攻击推出的具有针对性的网络安全解决方案，相较与高防IP，除了能针对大型DDoS攻击（T级别）进行有效防御外，还具备彻底解决游戏行业特有的TCP协议的CC攻击问题能力，防护成本更低，效果更好！
日，阿里云云盾在深圳云栖大会发布了游戏行业安全风控新模式：游戏盾。游戏盾在风险治理方式、算法技术上全面革新，帮助游戏行业用户用更低的成本缓解超大流量攻击和CC攻击，解决以往的攻防框架中资源不对等的问题。
与传统单点防御DDoS防御方案相比，游戏盾用数据和算法来实现智能调度，将正常玩家流量和黑客攻击流量快速分流至不同的节点，最大限度缓解大流量攻击；通过端到端加密，让模拟用户行为的小流量攻击也无法到达客户端。
同时，在传统防御中，黑客很容易锁定攻击目标IP，在攻击过程中受损非常小。而游戏盾的智能调度和识别，可让用户隐形，让黑客显形&&& 每一次攻击都会让黑客受损一次，攻击设备和肉鸡不再重复可用。颠覆以往DDoS攻防资源不对等的状况。
游戏盾的前世今生
游戏盾从诞生之初到现在，经历了3次重大的技术变革。从初代的云层，到现在的游戏盾，无论是从技术架构还是从功能实现上，都发生了翻天覆地的变化。
而驱动这些变化的浅层因素，是攻防资源的不对等问题；深层因素则是对现有网络本身的路由规则和基础设施的深度思索。
简单来说，游戏盾通过风控模式调度流量来撬动攻防天平；而从本质来说，游戏盾更像是一个除了路由和DNS之外，能够再次改变流量走向的存在。
云层：第一次实验
游戏盾的前身是云层项目。它诞生在2015年初的一次营救实验。
一家公司遭受黑客的反复攻击，传统的DDoS防御方法已全部败下阵来。在紧急情况下，公司向阿里云安全团队寻求合作，并提出可以尝试一种通过快速流量调度，来躲避黑客攻击的新方法。
当时，这种方法并没有在任何实战场景中被验证过。阿里云DDoS防护安全技术团队在摸着石头过河的情况下，与用户的技术团队一起合作，将这种新的防护方法付诸于实践，成功扛下了一次次攻击。
云层时代也就此开始。
当时，黑客的攻击手法相对来说比较单一，找到目标IP地址，通过一波大流量（10~50GBps）攻击将IP打进黑洞。而黑客发动下一波攻击的准备时间大约需要10~15分钟。而云层通过秒级分布式IP的快速调度，压制了黑客的分钟级攻击跟随，赢得了这场竞赛的阶段性胜利。
接下来，云层模式在其它几场攻防实战中屡立战功。但与此同时，新形态的攻击方式也在不断地进化，云层尽管实现了秒级的IP调度速度，但要跟上黑客的嗅探和跟随，其算法和效率仍然需要进化。在这种背景下，游戏盾的时代来了！
游戏盾：正式踏入战场
一直以来，国内超过50%的DDoS和CC攻击，都是针对游戏行业。因此，游戏成了DDoS攻防最好的战场，也是调度算法的最佳训练场。
于是，阿里云安全团队决定将云层时代积累下来的技术经验，应用在游戏行业中，成为所有用户能够用得上、并且管用的风控模式。
在游戏盾诞生之前的很长一段时间，阿里云安全团队对游戏行业的攻防对抗模式反复分析，深入了解了游戏业务的注册特点、登录特点、玩家特点，并在此基础上重构了游戏盾的智能调度算法。
游戏盾继承了云层快速调度的能力，又通过对端信息的采集、和对网络通信等行为进行归一化的处理分析。基于云上的资源和特性，游戏盾得以对海量的端数据进行计算、处理和存储。相比线下环境，借助云计算平台在计算和数据处理上的优势，阿里云取得了实质性的突破&&完成对每一个终端设备的画像，并最终沉淀为端威胁值这一新的调度因子。
游戏盾所有数据处理的核心是空中流量调度系统（AirTraffic Control ，ATC），它以深度机器学习（DL）和神经网络（LSTM）为认知基础，将恶意用户快速隔离在调度体系之外。
在游戏行业炮火重重的前线上，游戏盾完成了涅槃重生，并在最猛烈的攻击之下不断进行自我升级。同时，威胁识别和影响面控制代替调度成为了新的技术关键词。
精细化和分层而治：领先一小步
当然，这仍只是一个开始。攻击方也在逐步加重自己的兵力投入。想要领先黑客一小步，光靠数据和算法还不够，需要真正了解对方的攻击趋势和攻击手法。
在实战的磨砺中，游戏盾正式踏入精细化攻防对抗这一领域：NetGuard应运而生。借助前2个阶段所积累的AI建模分析能力，游戏盾向针对业务层的攻击发起挑战。
游戏盾通过串行学习特定业务数据特征，快速识别畸形和突发的异常流量，并在干路上进行阻截。与此同时，阿里云安全团队提出了由用户层、网络层、接入层和业务层4级联动的立体防护体系，让游戏盾帮助用户搭建最适合自己的安全架构。
游戏盾的立体防护体系的核心，在于分层而治。首先，大流量攻击依托网络层去解决；而技巧型CC攻击通过接入层去解决。立体防护体系可以达到突破带宽限制，控制攻击影响范围和时间，精准识别用户行为的目标。
倾斜的天平
从，经过2年的攻防实战和技术打磨让游戏盾将一种新的安全风控模式，应用到攻防战场中，帮助游戏行业的用户去解决实质性的问题。
然而，从云层到游戏盾，只是阿里云安全团队撬动DDoS攻防天平的第一步。真正前进的方向，是构筑一张安全、可信、承载着&干净流量&的网络，并将这张网络延展到更广的边界。
游戏盾是阿里云DDoS高防IP产品系列中针对游戏行业的安全解决方案。游戏盾专为游戏行业定制，针对性解决游戏行业中复杂的DDoS攻击、游戏CC攻击等问题。
游戏盾由 2 大模块组成：
分布式抗D节点：通过分布式的抗D节点，游戏盾可以做到防御600G以上的攻击。
游戏安全网关：通过针对私有协议的解码，支持防御游戏行业特有的CC攻击。
游戏盾如何防御DDoS攻击？
与普通的DDoS高防机房不同，游戏盾并不是通过海量的带宽硬抗攻击，而是通过分布式的抗D节点，将黑客的攻击进行有效的拆分和调度，使得攻击无法集中到某一个点上。同时基于SDK端数据、流量数据，可以通过动态的调度策略将黑客隔离！
游戏盾如何防御CC攻击？
一般来说，游戏行业的CC攻击跟网站的CC攻击不同。网站类的CC攻击主要是基于HTTP或者HTTPS协议，协议比较规范，相对容易进行数据分析和协议分析。但是游戏行业的协议大部分是私有的或者不常见的协议，因此对于CC攻击的防御，阿里云推出了专业的云上防御游戏安全网关（原称NetGuard、简称NG）。
游戏安全网关通过在用户业务和攻击者之间建立起一道游戏业务的防火墙，根据攻击者的TCP连接行为、游戏连接后的动态信息、全流量数据，准确分辨出真正的玩家和黑客。
游戏安全网关支持大数据分析，根据真实用户业务的特点分析出正常的玩家行为，从而直接拦截异常的客户端。且可以随时针对全国省份、海外的流量进行精确封禁，支持百万级的黑白名单。
游戏安全网关可以同SDK建立加密通信隧道，全面接管客户端和服务端的网络通信，仅放行经过SDK和游戏安全网关鉴权的流量。彻底解决TCP协议层的CC攻击。（需SDK版本在5.1.7以上）
技术革新&&智能调度算法拆分流量
DDoS攻防的本质，是资源的对抗。从网络、CDN、服务器到数据库，只要存在资源差的地方，就可以有DDoS攻击在发生。
从云层、弹性安全网络到现在的游戏盾，阿里云安全团队在与游戏行业用户并肩作战几年后，用数据和算法来改变了大流量攻击防御的模式。
今天，游戏盾在应对黑客攻击的时候，不仅是被动在防御，也具备主动的反击能力。有效识别哪个客户端是黑客、哪个客户端是好的用户，通过更加灵活的调度算法，让用户的正常流量和黑客的攻击流量不往一处走，扛住一次次超大型的DDoS攻击。
风控模式革新&&从单点防御到分层治理
在游戏盾的演进过程中，阿里云安全团队成功平衡了 4 大资源不对等的难题：
如何对抗黑客T级压倒性带宽资源。
如何攻破黑客的肉鸡资源。
如何填补黑客只需要攻点、用户需要防面的鸿沟。
如何解决资金成本的问题。
分层而治，是解决这些问题的基础。所有资源的不对等，都是因为攻击方太容易找到目标，而防御方太容易成为目标。分层而治中的分，代表流量的拆分、业务的拆分和目标的拆分；让攻击者的成本和门槛增大，把用户成本控制到最低；层代表一种漏斗模型。
用户层：用户层的数据总是不那么可信的，作为通信的发起方，保护好自己是头等大事。
网络层：网络的问题就交给专门的网络设备解决，不要再使用服务器硬扛了。
接入层：接入层是为了应对CC攻击而准备的。在这一层，只处理用户行为，不处理业务。
业务层：真正的业务服务器必须好好保护，不能直接暴露，物理通路的隔离是相对比较好的选择。
游戏盾改变了DDoS攻防只是拼带宽的传统概念，成为针对游戏行业用户的整体风控方案。在游戏盾的风控理论下，只要您解决好用户端的问题，就可以解决无限大的DDoS攻击，从而达到攻防成本的平衡。
与传统DDoS攻击解决方案对比
全套安全解决方案
阿里云深度分析游戏安全问题，基于阿里巴巴集团海量攻防实战积累，为游戏运营量身打造最全面、最可信的阿里云游戏安全完整解决方案。
该解决方案具有以下特点：
全方位安全防护
超强防护、实时响应
针对游戏、智能调节
行业最强安全大数据
本方案能够全面解决游戏行业安全风险，涉及的云产品具体如下：
游戏盾：抵御大流量攻击和CC攻击、保障核心用户体验。
数据风控&移动安全：人机识别，App加固，预防恶意注册、流量作弊、撞库盗号。
Web应用防火墙：保障游戏主站及支付服务安全，全面支持HTTPS。
安骑士：预防暴力破解、服务器漏洞修复。
堡垒机：资源分级授权管理，运维更安全。
态势感知：利用机器学习还原已发生的攻击，预测未发生的攻击，扩大安全可见性。
先知：加入先知平台的安全众测服务，帮助游戏公司全面发现业务漏洞及风险。
云安全产品介绍
除DDoS攻击之外，游戏行业另一大安全威胁就是欺诈作弊，包括：
垃圾注册：玩家大量注册小号，获取新号奖励和刷金币。
流量作弊：渠道商利用模拟器等手段批量挂机，进行流量作弊，获取非正常利益。
游戏盗号：攻击者利用自动化工具，通过扫库撞库等方式进行盗号。
然而，这些安全威胁会直接导致游戏公司耗费大量心血设计的游戏平衡遭到破坏，从而大大降低玩家体验、导致用户流失。因此，在游戏安全解决方案中，数据风控是必不可少的安全产品之一。
阿里云数据风控产品由阿里聚安全提供，凝聚了阿里巴巴集团多年业务风控经验，专业、实时对抗垃圾注册、刷库撞库、活动作弊、论坛灌水等严重威胁游戏业务安全的风险。在拦截恶意欺诈、作弊流量的同时，保障正常玩家体验顺畅无影响。
相较业内同类产品，阿里云的数据风控针对游戏行业具有以下优势：
精准的风险识别率
依据历史大数据分析，数据风控可以达到高于于95%95%的风险识别率，并保持低于1%的风险误识率。
在游戏行业中，实行恶意欺诈作弊的拦截过程中，除了尽可能阻断恶意请求，更重要的是不能误拦截正常玩家的访问请求。因此，从业务安全角度来说，风险识别的精准度至关重要。
业内领先的验证技术
通过创新的验证技术，极大提高对恶意用户的拦截能力。在保证精准的风险识别率的前提下，尽可能多的拦截恶意用户请求，就是对绿色游戏环境最大的守护。同时，随着游戏行业的快速发展，新型的欺诈、作弊方式层出不穷，创新领先的验证技术是提升拦截能力的关键。
支持多平台的防控
同时支持Web端和移动平台的风险防控。近些年，随着移动端游戏的兴起，移动游戏行业的竞争早已白热化，支持移动平台的业务风险防控能力甚至比Web端更为重要。
稳定可靠的系统支持
高于99.99%的可用性、毫秒级响应时间、每秒万级并发量，保障业务顺利进行。
对于游戏行业爆发式的流量涌入（游戏新上线、推广活动期间等），需要高可用、高性能的业务安全产品进行护航。
游戏行业经常会遭受大量垃圾账号注册的威胁，使用数据风控产品保障业务安全，有效降低垃圾账号带来的垃圾广告、诈骗、营销活动作弊等安全风险。
说明：在用户注册过程中应用数据风控后，垃圾账号比例显著下降，大幅提高垃圾账号注册团伙的欺诈成本。
游戏行业经常会面临盗号威胁，由于玩家并不完全了解账户安全的相关知识，对于自己的游戏账户安全也缺乏足够的重视，因此经常出现玩家账号被 盗的现象，而盗号对玩家来说无疑是灭顶之灾，即使通过账号找回机制拿回账号，游戏账号中的物品、装备、金钱也很可能已经被盗取，对玩家的利益造成重大损失。随之而来的，就是玩家的流失。
在游戏账户登录过程中应用数据风控后，被盗账号数量显著下降，大幅降低玩家因恶意盗号而产生重大损失的可能性。
游戏行业竞争激烈，游戏公司也会投入大量金钱进行推广活动。然而，实际推广过程中大量的推广费用被羊毛党通过恶意欺诈的方式所消耗，而推广活动的目标玩家却无法得到优惠，导致游戏公司巨额的推广费用都打了水漂。
在游戏推广活动过程中应用数据风控后，恶意领用情况比例大幅下降，游戏公司花费的推广费用起到实质效果。
Web应用防火墙
游戏公司的官方网站页面是游戏的门户，也是游戏公司推出活动的宣传窗口，同时大多游戏公司也会在网站中提供社区功能供玩家进行交流。因此，对于游戏官方网站的安全防护也必不可少。另外，部分游戏直接以网页的形式（页游）供玩家进行游玩，对于这种情况，Web应用的防护更是重中之重。
Web应用防火墙（WAF）基于云安全大数据能力，防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击，并过滤海量恶意CC攻击，避免您的资产数据泄露，保障网站或App业务的安全与可用性。
相较业内同类产品，阿里云的 Web 应用防火墙具有以下优势：
稳定快速：国内BGP多线路节点容灾，智能最优路径，毫秒级响应。
专业安全：专业安全团队运营、最新0DAY漏洞 24 小时内防护；多维防护配置，保障CC防护效果。
贴近业务：特有业务风控防护，防爬、防刷、拒绝黄牛党。
报表丰富：提供详细的数据报表，快速全面了解业务当前安全状况。
游戏行业另一大安全威胁是破解、外挂，包括客户端破解和伪造数据包等风险。
破解客户端游戏程序，免费获得游戏内购，改变游戏设定。
通过破解游戏和数据包结构，逆向出或直接调用发包函数，改变正常游戏数据，实现超出正常玩家的水平和能力。
完全脱离游戏客户端程序，但可以与游戏服务器自由通讯的外挂程序。此类外挂对游戏的危害最大，严重破坏游戏平衡，缩短游戏运营周期。无论是手游还是端游在被破解之后都可以做外挂，还能够通过破解协议报文模拟数据并发送到服务器上去，消耗游戏的资源使得正常玩家也无法进行游戏。
这类安全威胁，对游戏公司整体的安全架构的各方面来说都是巨大的挑战。首先对于游戏客户端程序，需要具有明确的安全代码开发规范，保障客户端程序安全的健壮性。同时，数据包在客户端与游戏服务器之间的传输过程中必须采用加密传输；并且在服务器端也需要部署完善的安全措施和安全能力。
首先针对客户端，手游客户端的安全问题随着移动游戏行业的大热，已经成为游戏公司不得不重视的关键点。
阿里云移动安全（Mobile Security）基于阿里聚安全的核心技术，为游戏移动端应用（App）提供全生命周期的安全服务，准确发现游戏移动端应用的安全漏洞、恶意代码、仿冒应用等安全风险；通过应用加固和安全组件等功能，大幅提高应用反逆向、反破解能力。移动安全包含以下功能：
依托阿里巴巴集团专利安全技术，提供深度静态检测、和业界先进的动态分析技术，查找代码后门及应用漏洞。
对全网应用渠道进行持续监测，可以收集仿冒应用，二次打包等各种威胁，为用户提供仿冒应用数，装机量，资产损失等数据。
应用加固和安全组件
安全组件SDK提供的安全存储、安全加密、安全签名、安全检测等功能，可有效抵御游戏外挂、二次打包等风险，保障移动平台应用完整性、执行环境可信、数据机密性。
实时联动全网安全事件、最新互联网及应用安全问题，动态调整安全防护策略。
相较业内同类产品，阿里云的移动安全服务有如下优势：
强大的扫描能力
自主研发的恶意代码扫描引擎是AV-Test历史上最年轻的满分冠军，漏洞扫描引擎领先业界同类竞品一代以上，覆盖95%以上的已知漏洞，仿冒监测引擎实现全网覆盖。
强大的漏洞扫描能力可以帮助游戏公司发现游戏移动客户端存在的安全漏洞，大幅降低恶意攻击者利用漏洞破解游戏客户端的可能性。
淘宝同款防护技术
移动安全由应用加固和安全组件组成的内外结合的全方位安全防护技术应用于支付宝和淘宝等超级应用上，稳定性强、兼容性好、体积小，对移动应用几乎没有影响。
通过对手游客户端进行应用加固，并添加安全组件的方式，增强手游客户端程序安全的健壮性，进一步降低被破解的风险。
雄厚的人才积累
移动安全拥有多位业界重大影响力的白帽子，如Xfocus创始人，dex2jar作者，Black Hat /RSA特约Speaker，具有非常雄厚的技术实力。
手游客户端的反破解是游戏公司与黑客之间的攻防战，开放于应用市场的移动客户端可能遭受各种技术手段的破解尝试，而雄厚的安全技术实力正是移动端应用安全的强力后盾。
快速接入，可系统集成
所有服务都可以通过SaaS服务提供，方便企业用户能够简单快速接入，并可集成到自有系统中，实现自动化服务。
移动安全可以简单快速的接入手游客户端程序，将对游戏的开发、上线进度的影响降到最低，并且可以集成到游戏公司自有系统中，轻松完成移动应用的安全改造。
全生命周期风险管控
通过恶意代码扫描、漏洞扫描发现内在风险，通过应用加固、安全组件抵御外部攻击风险，通过仿冒检测快速掌握品牌风险。完整的风险管控流程，覆盖移动应用全生命周期的可能遇到的风险。
完整的全生命周期风险管控，帮助游戏公司在手游客户端应用的各个阶段实现安全加固，发现内在风险、抵御外部风险、掌握品牌风险。
游戏公司自主研发
具备App自主开发能力的游戏公司，通过移动安全对已上线的版本进行漏洞扫描和仿冒检测，修复线上漏洞，举报封杀仿冒应用来源。在后续的新版本开发中，在开发阶段就接入移动安全的安全组件，在测试阶段进行漏洞扫描和修复，并在上线前进行应用加固，从内到外进行安全增强。移动App新版本上线一段时间后，不定时进行仿冒检测，掌握仿冒应用情况。
对第三方开发进行验收
对于委托第三方开发的游戏移动端App应用，游戏公司验收时无法及时发现App的安全问题，比如无意或有意使用了恶意代码，上线后可能蒙受巨大损失。因此，需要对已上线的应用进行漏洞扫描、仿冒检测、恶意代码扫描，及时排查修复线上问题。在后续的新版本的验收时，使用漏洞扫描和恶意代码扫描，及时发现安全隐患。
加固移动客户端的安全之后，您更需要全面加固服务器端的安全能力，保障游戏业务的安全稳定。服务器经常面临着各类漏洞、木马后门、异常登录等威胁，而任何一项风险事件被恶意攻击者利用都意味着用户信息、账号数据、游戏数据等可能泄露或被恶意篡改。
安骑士是一款服务器主机安全管理产品。通过安装在服务器上的轻量级Agent插件与云端防护中心的规则联动，实时感知和防御入侵事件，保障服务器的安全。
相较业内同类产品，阿里云的安骑士具有以下优势：
集中安全管理：非单机版软件，在云端Web控制台统一管理所有服务器的安全状态。
资源占用极低：Agent插件正常资源仅占用 1%CPU 50MB内存以下。
实时安全监控：非触发式安全扫描，系统自动感知资产变化、实时检测漏洞和黑客行为。
一键安全处置：闭环安全，不仅发现问题，还支持一键漏洞修复、一键病毒隔离，解决主机安全问题。
随着游戏的内容更新、新版本的发布，承载着游戏运行的这些服务器上经常会进行各类操作。同时，游戏服务器的运维也需要大批人员进行操作，一旦某个操作出现失误，往往带来巨大的损失，比如紧急停服维护在各类游戏运营过程中都司空见惯。因此，对于游戏服务器上的操作需要慎之又慎，并且需要完善的服务器审计进行监控和记录，便于第一时间发现误操作，并对经常出现的失败操作进行分析改进。
堡垒机主要是基于协议正向代理实现，对SSH、Windows远程桌面、SFTP等常见运维协议的数据流进行全程记录，再通过协议数据流重组的方式进行录像回放，达到运维审计的目的。
相较业内同类产品，阿里云的堡垒机具有以下优势：
满足《萨班斯法案》、金融监管、《等级保护》的审计要求。
管理界面简洁易用，可快捷同步当前云账号中的ECS列表。
多协议支持
支持SSH、Windows远程桌面、SFTP等常见运维协议。
追溯运维操作的故障，在线回放操作记录。
游戏行业遭受的恶意攻击往往错综复杂，在被动采取各种安全防护措施之后，如何能够主动发现、预知攻击，才是更为领先的防御理念。不再仅仅是头痛医头脚痛医脚的传统安全解决思路，而将整个安全数据进行整体分析，从更全面的角度看待自己当前面临的安全威胁，并预知可能发生的安全攻击。
态势感知是一个大数据安全分析平台，能对您云上所有资产进行安全告警，并用机器学习来发现潜在的入侵和高隐蔽性攻击，回溯攻击历史，预测即将发生的安全事件。态势感知收集企业 20 种原始日志和网络空间威胁情报，利用机器学习还原已发生的攻击，并预测未发生的攻击，扩大安全可见性，并集中管理云上资产安全事件。
安全事件告警和检索：包含了ECS，RDS等全部云上资产的告警，对安全事件进行实时监控和处理建议说明，并对告警事件进行分析和全文检索。
原始日志存储和检索：针对不同版本，提供了7~180天内的原始日志检索功能，并提供逻辑表达式，满足自定义查询日志和分析的需求。
安全风险量化和预测：通过机器学习，把全量的日志进行精量化威胁分析，并通过资产依赖关系和攻击手段判断，预测潜在的安全风险。
提供安全可视化界面，全面+实时地感知安全问题。
不同的游戏环境、不同的游戏运营方式可能存在着不同的漏洞，借助专家群众的力量去发现自身全链路的安全问题，才是互联网思路的解决方式。
先知平台提供私密的安全众测服务，可帮助游戏公司全面发现业务漏洞及风险，按效果付费。加入先知平台后，可自主发布奖励计划，激励先知平台的安全专家来测试和提交企业自身网站或业务系统的漏洞，保证安全风险可以快速进行响应和修复，防止造成更大的业务损失。相比传统渗透测试，先知具有测试效率高、测试人员多、测试效果好、性价比高等优势。
相对于其他众测平台，先知平台有如下优势：
游戏公司 A，其主要游戏业务是地方棋牌游戏，刚开始时发展非常迅速，但是却在2016年5月和6月份时被DDoS攻击打击得非常惨烈，使得其业务基本上无法开展并且接近倒闭边缘。
这时，阿里云向该游戏公司提供了游戏行业安全解决方案，并且将安全解决方案应用到了其整个游戏攻防体系中去。在4月份到11月份期间，经历了 2 次大型的攻击对抗。
第一次对抗发生在安全解决方案部署完成之后，黑客很快发现仅靠大流量攻击完全打不下来，于是黑客开始破解游戏客户端，将游戏客户端破解之后就发现了游戏客户端中对于流量调度的原理，这样就能够把所有的 IP 防护节点全部找出来，之后对于找出的节点进行逐个打死。阿里云在第一轮对抗中做的就是将应用进行加密，并将逻辑进行混淆，这样就使得黑客难以在同一时间发现更多的节点的IP地址，而最多一次只能获取一个节点的IP。
在第二轮攻防中，黑客发现使用大流量攻击无法打下来，但是使用CC攻击却非常有效，于是他们使用CC攻击的手法去攻击登录服务，当登录服务受到攻击时就发现防御能力急剧下降，即便其他的游戏节点都正常也是无济于事，不能起到任何作用，所以阿里云此时推出了游戏安全网关的CC防护能力，使用游戏安全网关的CC防护之后即便是 500 万QPS也能够轻松防御。
2016年2月，游戏公司B在一个月的时间内连续被攻击了多次，并且攻击流量超过了 400 G，而这个流量在2016年初时是非常高的，公司B同样也快被打挂了，此时阿里云帮助其启用了高防+游戏盾的安全解决方案，同时帮助该公司实现了态势感知和溯源，也帮其找到了在背后进行攻击的黑客并通过游戏公司报警，阿里云提供证据最后将犯罪嫌疑人捉拿归案，这也是反击能力的体现。
很多游戏公司被攻击之后往往是打不还手的，其实并不是因为游戏公司脾气好，而是往往通常情况下游戏公司并不知道到底谁在发起攻击，所以如果客户拥有了溯源的能力就可以找到在背后对自己发起攻击的那个人并将其绳之以法，同时也将会为自己的业务赢得一定时间的安全发展时机。
总结与展望
本文档从行业背景、DDoS攻击分析、常用缓解DDoS攻击方法、阿里云游戏盾DDoS攻击解决方案以及阿里云游戏安全整体解决方案等多个方面进行了阐述，旨在为游戏行业的客户提供全面的安全解决方案。
阿里云游戏行业DDoS攻击解决方案&&游戏盾，是阿里云的人工智能技术与调度算法在安全行业中的成功实践。
随着攻防进程的推进，网络层和接入层逐步壮大，游戏盾的风控模式，会逐步延展到各个行业中，建立起一张安全、可信的网络。在这张网络中，传输着干净的流量，而攻击被前置到网络的边缘处。所有的端，在接入这张网络时，都会经过风险控制的识别，同时网内的风控系统，也让恶意攻击者无法访问到他锁定的资源。
未来，以资源为基础的DDoS防护时代终将被打破，推出对DDoS真正免疫的风控架构，而这不仅仅局限于游戏行业。}