qq3250845

.............

qq3250845

一直以来，DDoS攻击都是游戏企业的噩梦。许多刚创业的游戏公司，可能刚上线就被打死。而一些大型的游戏企业都遭受过大大小小的DDoS攻击，这让游戏公司无一不面临着业务和安全的双重挑战。今天恒欣就来说说DDoS攻击是怎么把游戏企业服务器打挂的?




1.占用服务器的有限资源
比如TCP连接数资源(服务器的连接数是有限制的)，有的TCP连接会断开，有的会保持通信；比如一家餐馆，攻击者打比方是地痞流氓总是去排队，但是并不去消费，那么此时正常的客人也就无法进去消费。

2、纯流量DDOS攻击
攻击者利用UDP报文连接，报文的形式对服务器的一些重要端口比如：8080端口，影响正常玩家的速度，流量型攻击相当于地痞流氓直接把餐馆的门给堵了。频繁的攻击服务器，发送大量的垃圾报文，造成服务器忙于解码垃圾数据然后瘫痪。

3、深度业务模拟类CC攻击
这是一种针对**类游戏的攻击，由于**类的游戏通信协议相对比较简单，所以黑客进行协议破解的难度很小。有黑客会针对**客户的登陆、注册、房间创建、充值等多种业务接口进行协议模拟型的攻击，这种流量和正常业务一样，防御难度更高！


DDOS高防

随着DDoS攻击的迅猛进攻，攻防资源不对等，抗D成本高昂，让很多企业难以承受。选择靠谱的云防御服务商正成为游戏企业防御DDoS攻击的最有效之选。针对游戏客户端、手游APP等业务场景，恒欣安全推出的DDoS高防服务采用防御专用调度清洗引擎，最大程度保障游戏的高可用性、低延时体验， 同时提供7X24小时安全专家服务，随时保障您的业务稳健运行。

qq3250845

...................

qq3250845

.........................

qq3250845

................

qq3250845

............

qq3250845

..............

qq3250845

DDoS攻击是运维和安全人员最深恶痛绝的攻击方法之一， 其投入成本已经变的越来越小，但是危害很大。 在近些年由于IOT 设备的安全不到位， 有些黑客组织甚至利用IOT设备造成了几百G乃至上T的攻击流量。 最近一段时间国外黑客组织对世界范围内的大银行发起了DDoS 攻击，我们国内有些银行也遭受到了攻击。在这里恒欣向大家提供、分析一些DDoS 攻击向量的方法。

首先我们要举例一些常见的攻击行为， 只有了解到了攻击者采用的不同的攻击方法才能有针对性的选择防御的手段。 从IOS 7层模型上讲， DDoS 攻击一般可以出现在第四层和第七层。 四层比如有各种tcp 的flood 攻击， 比如常见的syn flood， ack flood， reset flood， 也还有udp 协议的flood 攻击。这种攻击一般来说只要了解到了攻击所使用的方法，一般来说比较容易防御。 7层里面最常见的就是http或者api 的攻击， 也包含对于其他协议比如dns， ntp 等等协议的利用来发起攻击。 针对应用层的攻击可以是以量取胜的大流量攻击， 也可能是针对于协议的比如http slow 攻击或者是利用已知CVE攻击服务程序的攻击。

那当我们遭受了攻击的时候， 如何快速的找到攻击者用的是什么方法呢？我们可用从数据包和设备的统计上面进行分析。 比如，如果有BIG-IP LTM， 我们可以先去查看系统的performance 图形，比如throughput，new connection 在client 侧和server 侧的数字是否匹配。如果client 侧数字变很大， 但是server 侧没有什么变化， 基本可以确定是四层攻击。




如果七层协议的图形比如http request 的统计一起彪很高那无疑是7层的攻击。 另外如果有启用BIG-IP LTM 的AVR 功能在vs 的话可以在7层提供更多的信息。那如果并没有发现大流量但是服务无法连接， 那应该考虑是否有慢速http 攻击， 抓包验证。

数据包包含了最全面的信息， 平时我们都用类似wireshark 之类的软件查看数据包， 但是在大量数据包的时候用wireshark 比较难一下找到我们想要的信息。我们可以用tshark 外加bash 的一些其他工具来进行统计。 比如如下命令可以统计数据包里面的ip出现的次数。

qq3250845

当我们遭受DDOS攻击之后会有什么效果呢？那么我们针对这些容易出现的问题采取什么样的DDoS防御方法呢？那么本文就向你介绍这方面的内容。

对于遭受DDOS攻击的情况是让人很尴尬的，如果我们有良好的DDoS防御方法，那么很多问题就将迎刃而解，我们来看看我们有哪些常用的有效地方法来做好DDoS防御呢。

对于DDoS防御的理解：

对付DDOS是一个系统工程，想仅仅依靠某种系统或产品防住DDOS是不现实的，可以肯定的是，完全杜绝DDOS目前是不可能的，但通过适当的措施抵御90%的DDOS攻击是可以做到的，基于攻击和防御都有成本开销的缘故，若通过适当的办法增强了抵御DDOS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDOS攻击。

DDoS防御的方法：

1、采用高性能的网络设备

首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。

2、尽量避免NAT的使用

无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用，因为采用此技术会较大降低网络通信能力，其实原因很简单，因为NAT需要对地址来回转换，转换过程中需要对网络包的校验和进行计算，因此浪费了很多CPU的时间，但有些时候必须使用NAT，那就没有好办法了。

3、充足的网络带宽保证

网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗现在的SYNFlood攻击，当前至少要选择100M的共享带宽，最好的当然是挂在1000M的主干上了。但需要注意的是，主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的，若把它接在100M的交换机上，它的实际带宽不会超过100M，再就是接在100M的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为10M，这点一定要搞清楚。

4、升级主机服务器硬件

在有网络带宽保证的前提下，请尽量提升硬件配置，要有效对抗每秒10万个SYN攻击包，服务器的配置至少应该为：P4 2.4G/DDR512M/SCSI-HD，起关键作用的主要是CPU和内存，若有志强双CPU的话就用它吧，内存一定要选择DDR的高速内存，硬盘要尽量选择SCSI的，别只贪IDE价格不贵量还足的便宜，否则会付出高昂的性能代价，再就是网卡一定要选用3COM或Intel等名牌的，若是Realtek的还是用在自己的PC上吧。

5、把网站做成静态页面

大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦，至少到现在为止关于HTML的溢出还没出现，看看吧！新浪、搜狐、网易等门户网站主要都是静态页面，若你非需要动态脚本调用，那就把它弄到另外一台单独主机去，免的遭受攻击时连累主服务器，当然，适当放一些不做数据库调用脚本还是可以的，此外，最好在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理访问你网站的80%属于恶意行为。

6、增强操作系统的TCP/IP栈

Win2000和Win2003作为服务器操作系统，本身就具备一定的抵抗DDOS攻击的能力，只是默认状态下没有开启而已，若开启的话可抵挡约10000个SYN攻击包，若没有开启则仅能抵御数百个，具体怎么开启，自己去看微软的文章吧！《强化 TCP/IP 堆栈安全》。

也许有的人会问，那我用的是Linux和FreeBSD怎么办？很简单，按照这篇文章去做吧！《SYN Cookies》。

7、安装专业抗DDOS防火墙

8、其他防御措施

以上几条对抗DDOS建议，适合绝大多数拥有自己主机的用户，但假如采取以上措施后仍然不能解决DDOS问题，就有些麻烦了，可能需要更多投资，增加服务器数量并采用DNS轮巡或负载均衡技术，甚至需要购买七层交换机设备，从而使得抗DDOS攻击能力成倍提高，只要投资足够深入。

DDoS防御的八大方法就向你介绍到这里，希望对你了解和掌握DDoS防御有所帮助。

qq3250845

.。。。。。。。。。。。。。。