游戏盾提供了一个只能由 SDK 接入的并且免疫 DDOS/CC 攻击的弹性安全网络。SDK 通过服务本地化代理接入游戏盾的弹性安全网络,实现玩家(Token)由具体的游戏盾网络接入点(GroupName)访问防护目标(Dip)端口(Dport)的逻辑。通过服务 SDK 提供的服务本地化接口,将任意 IP、端口的服务本地化,并且由 SDK 接管所有的通信流量,进行调度和加密传输。
与普通的 DDoS 高防机房不同,游戏盾并不是通过海量的带宽硬抗攻击,而是通过分布式的抗 D 节点,将黑客的攻击进行有效的拆分和调度,使得攻击无法集中到某一个点上。同时基于 SDK 端数据、流量数据,可以通过动态的调度策略将黑客隔离!
游戏安全网关通过在用户业务和攻击者之间建立起一道游戏业务的防火墙,根据攻击者的 TCP 连接行为、游戏连接后的动态信息、全流量数据,准确分辨出真正的玩家和黑客。
游戏安全网关支持大数据分析,根据真实用户业务的特点分析出正常的玩家行为,从而直接拦截异常的客户端(协议非法)。且可以随时针对全国省份、海外的流量进行精确封禁,支持百万级的黑白名单。
游戏安全网关可以同 SDK 建立加密通信隧道,全面接管客户端和服务端的网络通信,仅放行经过 SDK 和游戏安全网关鉴权的流量,彻底解决 TCP 协议层的 CC 攻击(模拟协议型攻击)。
从单点防御到分层治理
分层而治,是解决这些问题的基础。所有资源的不对等,都是因为攻击方太容易找到目标,而防御方太容易成为目标。
分层而治中的 “分”,代表流量的拆分、业务的拆分、和目标的拆分;让攻击者的成本和门槛增大,把用户成本控制到最低;“层” 代表一种漏斗模型。以前,我们都是用带宽去硬抗 DDoS 攻击,而在游戏盾中,我们用最适合的‘武器’去做最擅长的事。
用户层(SDK):用户层的数据总是不那么可信的,作为通信的发起方,保护好自己是头等大事。
网络层(Selb):网络的问题就交给专门的网络设备解决,不要再使用服务器硬扛了。
接入层(游戏安全网关):还记得 CC 攻击的影响吗?接入层就是为了应对它准备的。在这一层,只处理用户行为,不处理业务。
业务层:真正的业务服务器必须好好保护,不能直接暴露,物理通路的隔离是相对比较好的选择。
游戏盾改变了 DDoS 攻防只是 “拼带宽” 的传统概念,成为针对游戏行业用户的整体风控方案。在游戏盾的风控理论下,只要我们解决好用户端的问题,就可以解决无限大的 DDoS 攻击,从而达到攻防成本的平衡。