从爆红到被黑,游戏黑产攻防48小时

2022-11-30 10:41:10 浏览数 (3)

编者按

数字化浪潮蓬勃兴起,企业面临的安全挑战亦日益严峻。

腾讯安全近期将复盘2022年典型的攻击事件,帮助企业深入了解攻击手法和应对措施,完善自身安全防御体系。

本篇聚焦某游戏公司新游戏上线后与黑产多轮攻防的48小时里,腾讯安全和客户如何并肩作战,击退黑产的故事。

“已经扩容几十台机器,怎么还是崩掉?!”

运维人员看着屏幕上的曲线图,陷入沉思。另一边,公司网站打不开、游戏访问缓慢、玩家投诉不断,巨大的压力席卷而来。

几天前,这家独立游戏公司的新产品一夜之间爆红,吸引了上千万玩家。当团队还沉浸在成功的喜悦中时,危机突然降临。运维人员敏锐地判断到,这不是简单的用户大规模增长,大量异常流量表明:

“我们被黑灰产攻击了!”

游戏背后的黑产战事

有人的地方就有江湖,有利益的地方就有黑产。

游戏行业蓬勃发展,带动了5G和AI等先进技术,也助推数字经济和文化产业。然而,由于游戏产业本身拥有巨大的产值和流水,在这庞大的系统下也滋生了一条黑色产业链,他们不择手段地汲取养分,对游戏生态造成了巨大的破坏。

游戏黑灰产们无利而不往,他们一般通过两种方式来牟利。一种是通过DDoS攻击或者病毒入侵的方式,破坏游戏服务器并造成宕机,从而对游戏厂商勒索高额赎金;另一种即是通过逆向破解、漏洞利用等手段生产外挂,通过售卖外挂猎取不义之财。

不幸的是,这款风靡全网的游戏先后遭遇了上述两种黑灰产攻击。

时间回到七月份,这款游戏突然一夜爆红,用户规模在一周内增长达500倍。搜索指数暴涨、热搜榜单霸屏,前所未有的关注度吸引了上千万玩家跃跃欲试,而潜伏在暗处的游戏黑灰产,也开始盯上了这块“肥肉”。

几天之后,游戏服务器开始出现多次异常。运维人员在后台发现计算资源、网络资源都处于极度繁忙的状态,造成多个页面无法正常服务,于是只能下线部分服务,并进行紧急扩容。

此时,第一轮黑灰产攻击已经暗流涌动。

看着后台大量虚虚实实的访问量如洪水一般涌入,运维人员判断到,“我们正在遭受更恶劣的DDoS攻击!”

他们迅速联系腾讯云,升级了DDoS高防包,同时使用高防IP进行兜底,抵御更大流量的攻击。据事后得知,腾讯安全DDoS防护在10天内帮助游戏扛住了50多次DDoS攻击,最高峰值接近200G。

服务器压力终于有所缓和,运维人员松了一口气,但是一种不好的预感仍然埋藏在他们的心里。

更棘手的难题,还在夜晚等待他们。

云上攻防48小时

兵者,无坚不摧,唯快不破。

晚上8点,第二轮攻击席卷而来。突然之间公司网站打不开、游戏访问缓慢、玩家投诉不断,尽管运维人员已经扩容了几十台机器,但是每台机器的平均CPU水位仍处于50%以上。于是出现了文章开头的一幕。

而令整个游戏团队更不安的,是由此引发的第三轮攻击——外挂的应用,由于游戏的某个API被黑灰产恶意利用,一个外挂在开源网站GitHub上大肆传播,让游戏体验雪上加霜。一时间,玩家的谩骂淹没了游戏的官方微博,不少玩家更是纷纷表示要弃坑。

“如果不把垃圾流量的问题解决掉,继续扩容也只是治标不治本。”他们意识到了事情的严峻。

一个棘手的问题摆在他们面前——如何准确地拦截假流量而不误伤真实玩家,才能同时稳住业务系统和用户口碑?

面对来势汹汹的黑灰产攻击,他们再次找来了腾讯安全团队。

腾讯安全架构师Rancho突然接到了这个初创游戏团队的合作诉求时,凭借多年来和黑灰产对抗的经验,Rancho很快判断出症结所在,而解决症结的“利器”正是可以精准拦截恶意BOT和API攻击的腾讯安全WAF。

准备接入30万QPS和30G业务带宽,能支持吗?”Rancho迅速联系腾讯安全WAF团队。

要知道,30万QPS是重大晚会直播才有的水平,时间又是晚上11点。一项几乎不可能的任务,Rancho不确定是否能完成。

直接上!我们采用云原生架构,可弹性伸缩。”腾讯安全WAF负责人Jiyun坚决判断。

(腾讯安全团队Jiyun和Hugues)(腾讯安全团队Jiyun和Hugues)

原来,这家游戏公司本身是腾讯云的用户,而腾讯安全WAF是采用云原生架构,可在云端即开即用。当晚12点,相关的防护策略已经陆续配置上。

由于游戏还涉及很多实时对抗、分布式攻击源、动态攻击策略等复杂的攻击手段,在防护策略上线后,腾讯安全WAF的技术专家对防护规则持续调整优化,第二天下午四点,看到肉眼可见的效果,游戏团队决定全量接入腾讯安全WAF。

与此同时,随着BOT防护机制生效,大量的流量被清洗掉,而且没有接到玩家的投诉。

有意思的是,之前在开源网站GitHub上的热门外挂产品,也在腾讯安全WAF打击策略上线之后,很快发布了版本失效的公告。

腾讯安全WAF做了流量清洗之后,他们的机器减少了30台,CPU消耗也降低到8%,算下来帮他们节省了一半以上的计算资源。”腾讯安全WAF工程师Hugues介绍道。

游戏黑产的无限战争

黑产的偷袭不会停止,江湖的暗战也不会结束。

从第一次接到需求,到研判、试用、灰度,再到全量上线,双方团队前后不过48小时,能够如质如量完成客户的诉求,既得益于团队多年积累的技术实力和服务央视频、小红书这类大客户的经验积累,也得益于“云原生架构”带来的天然优点。

一方面,这家独立游戏公司由于是新兴的创业公司,没有历史包袱,因此产品架构在建设之初就接入采用了云原生技术。他们在游戏上线初期,就基于容器部署服务,借助腾讯云的云原生特性来完成业务的快速上线。 

而另一方面,腾讯安全WAF在升级之后,同样支持云原生接入方式,并采用国内首创的“旁挂式”云原生架构,可以在对业务无改动的情况下,快速应对突增流量,确保业务的安全能力快速部署。

这是腾讯安全WAF团队服务过的流程最快的一个客户,也是腾讯安全团队无数次和黑灰产攻防的缩影。

腾讯安全正在不断磨炼,打造出一个个扎实好用的安全产品,面向产业互联网持续输出自己的安全能力。

1 人点赞