【云安全】教你4招搞定游戏云DDoS防御

一.游戏云DDoS清洗背景

      近几年随着黑色产业链(木马传播，流量交易，虚拟财产等)的不断壮大，游戏服务被攻击的次数与日俱增，游戏客户的信誉受到了极大的打击，如何提高游戏的服务质量，减缓攻击是目前比较紧急的问题。

      游戏云DDoS清洗防御的主要原理其实就是对整个网络流量的缓解和稀释，然后对恶意数据进行清洗和过滤。DDoS流量缓解和稀释的方法有CDN、AnyCast，前者是通过智能DNS解析和调度，将用户的访问流量和攻击流量牵引至到不同的机房和机器进行处理，但是通过智能DNS的方式对指定IP的攻击无效，而AnyCast可以解决针对IP攻击的问题。

      本文章重点介绍现存的游戏云DDoS清洗的几种典型场景。

二.游戏云DDoS清洗场景

2.1 游戏云DDoS清洗场景一：FULLNAT负载均衡

图一

1.客户需要修改游戏客户端中游戏发布服务器地址，指向高防节点的VIP服务地址，用户访问会被静态牵引至LVS-FULLNAT负责均衡集群；

2.在牵引过程中，高防机房中清洗检测设备通过流量检测发现针对VIP存在攻击时，通过引流的方式，经过DDoS清洗设备的清洗，流量回注至LVS-FULLNAT负责均衡集群；

3.LVS-FULLNAT负责均衡集群通过将数据报文进行SNAT+DNAT转换的方式，然后将清洗后的流量回源至客户游戏业务服务器来提供服务。

2.2 游戏云DDoS清洗场景二：SDK+DNS调度+IP切换的清洗方式

图二

1.本场景是在场景一的基础上，增加SDK+HTTPDNS/DNS来完成IP切换调度的功能，如图二；

2.客户购买高防节点1和高防节点2的VIP服务，并修改游戏客户端，集成游戏云DDoS清洗SDK模块，然后指向高防节点1的VIP服务地址；

3.当流量被迁引至高防节点1时，通过服务VIP 122.13.3.2:8080来提供服务，并最终回源至APP SERVER；

4.当高防节点1的VIP服务不可用时，则可以通过HTTPDNS/DNS和SDK联动的方式修改游戏客户端的解析地址，将游戏请求流量调度至高防节点2；

5.当流量被迁引至高防节点2时，提供方式如同高防节点1。

2.3 游戏云DDoS清洗场景三：云+端联动防御,不限于客户本地节点

图三

1.客户需要修改游戏发布服务器地址，指向高防节点的VIP服务地址；

2.用户访问时，通过智能DNS调度的方式，直接访问客户游戏服务器，客户本地会镜像流量并进行实时的攻击检测；

3.当客户本地攻击检测阈值超过固定阈值，则会通知DNS业务调度进行黑洞或流量牵引至云平台，用户访问则被静态牵引至LVS负责均衡集群；

4.LVS负责均衡集群通过将数据报文进行DNAT转换，通过高防节点的GRE网关增加隧道标签，并完成数据封装；

5.高防节点的GRE网关将封装好的数据报文转发至客户节点的GRE网关，完成解封装后，将真实源/目的IP的数据包转发至客户游戏服务器；

6.客户游戏服务器的响应数据包转发至客户本地GRE网关，增加隧道标签并完成封装，然后转发至高防节点的GRE网关完成解封装，然后再被转发至LVS负责均衡集群；

7.LVS负责均衡集群通过查询与用户访问建立的会话，进行DNAT转换，将源IP替换成VIP后对用户进行应答，流程结束。

2.3 游戏云DDoS清洗场景三：AnyCast调度防御

图四

1.本方案在第一和第二种方案的基础上，补充了AnyCast的路由调度思路；

2.高防节点和客户本地节点通过发布路由，广播的IP地址采用相同的网络地址，只是采用不同掩码划分优先级；

3.当没有攻击时，默认走客户本地节点提供游戏服务；

4.当出现大流量攻击时，客户本地节点将停止对外的路由广播，于是就近的高防节点的次优路由变成了最优路由，同时也成为唯一路由，以此完成流量的动态牵引；

5.当攻击结束后，客户本地节点将对外进行路由广播，就近的高防节点的路由优先级从最高变为次高，并完成一次路由更新和收敛，将流量切至原有客户本地节点链路。

三.游戏云DDoS清洗场景应用的对比：

3.1 场景一的清洗方式架构简单，成本较低，但是需要修改游戏客户端游戏服务地址，不灵活，复杂度低；

3.2 场景二的清洗方式架构略复杂，成本略高，通过SDK+HTTPDNS/DNS进行IP快速切换的方式来缓解攻击，但是针对攻击跟随需要硬抗；

3.3 场景三的清洗方式从客户角度看，成本较低，正常情况下，均走客户本地节点提供游戏服务，当遇到攻击时，将流量迁引至高防节点；

3.4 场景四的清洗方式成本较高，无需修改游戏客户端程序，通过anycast任意多播的方式进行路由重分布，当发生攻击时，只需停止本地广播即可完成引流，但是路由的更新和收敛时延暂不知晓，对外部资源依赖比较大。

四.总结：

  以上几种场景不限于游戏业务，应用场景不限于高防节点和客户本地节点。

好消息！华为云为云内用户免费提供5Gbps DDoS攻击流量清洗
DDoS基础防护服务为华为云内资源（弹性云服务器、弹性负载均衡），提供网络层和应用层的DDoS攻击防护（如泛洪流量型攻击防护、资源消耗型攻击防护），并提供攻击拦截实时告警，有效提升用户带宽利用率，保障业务稳定可靠
还等什么，立刻去开通：http://www.huaweicloud.cn/product/antiddos.html