【云安全】教你4招搞定游戏云DDoS防御

举报
王子奇 发表于 2017/11/27 15:36:58 2017/11/27
【摘要】 一.游戏云DDoS清洗背景 近几年随着黑色产业链(木马传播,流量交易,虚拟财产等)的不断壮大,游戏服务被攻击的次数与日俱增,游戏客户的信誉受到了极大的打击,如何提高游戏的服务质量,减缓攻击是目前比较紧急的问题。 游戏云DDoS清洗防御的主要原理其实就是对整个网络流量的缓解和稀释,然后对恶意数据进行清洗和过滤。DDoS流量缓解和稀释的方法有CDN、AnyCast,前者是通过智能DNS解析和调度,

一.游戏云DDoS清洗背景

      近几年随着黑色产业链(木马传播,流量交易,虚拟财产等)的不断壮大,游戏服务被攻击的次数与日俱增,游戏客户的信誉受到了极大的打击,如何提高游戏的服务质量,减缓攻击是目前比较紧急的问题。

      游戏云DDoS清洗防御的主要原理其实就是对整个网络流量的缓解和稀释,然后对恶意数据进行清洗和过滤。DDoS流量缓解和稀释的方法有CDN、AnyCast,前者是通过智能DNS解析和调度,将用户的访问流量和攻击流量牵引至到不同的机房和机器进行处理,但是通过智能DNS的方式对指定IP的攻击无效,而AnyCast可以解决针对IP攻击的问题。

      本文章重点介绍现存的游戏云DDoS清洗的几种典型场景。

二.游戏云DDoS清洗场景

2.1 游戏云DDoS清洗场景一:FULLNAT负载均衡

FULLNAT负载.png

图一

1.客户需要修改游戏客户端中游戏发布服务器地址,指向高防节点的VIP服务地址,用户访问会被静态牵引至LVS-FULLNAT负责均衡集群;

2.在牵引过程中,高防机房中清洗检测设备通过流量检测发现针对VIP存在攻击时,通过引流的方式,经过DDoS清洗设备的清洗,流量回注至LVS-FULLNAT负责均衡集群;

3.LVS-FULLNAT负责均衡集群通过将数据报文进行SNAT+DNAT转换的方式,然后将清洗后的流量回源至客户游戏业务服务器来提供服务。

2.2 游戏云DDoS清洗场景二:SDK+DNS调度+IP切换的清洗方式

 image.png

图二

1.本场景是在场景一的基础上,增加SDK+HTTPDNS/DNS来完成IP切换调度的功能,如图二;

2.客户购买高防节点1和高防节点2的VIP服务,并修改游戏客户端,集成游戏云DDoS清洗SDK模块,然后指向高防节点1的VIP服务地址;

3.当流量被迁引至高防节点1时,通过服务VIP 122.13.3.2:8080来提供服务,并最终回源至APP SERVER;

4.当高防节点1的VIP服务不可用时,则可以通过HTTPDNS/DNS和SDK联动的方式修改游戏客户端的解析地址,将游戏请求流量调度至高防节点2;

5.当流量被迁引至高防节点2时,提供方式如同高防节点1。

2.3 游戏云DDoS清洗场景三:云+端联动防御,不限于客户本地节点

云+端联动+GRE3.png

图三

1.客户需要修改游戏发布服务器地址,指向高防节点的VIP服务地址;

2.用户访问时,通过智能DNS调度的方式,直接访问客户游戏服务器,客户本地会镜像流量并进行实时的攻击检测;

3.当客户本地攻击检测阈值超过固定阈值,则会通知DNS业务调度进行黑洞或流量牵引至云平台,用户访问则被静态牵引至LVS负责均衡集群;

4.LVS负责均衡集群通过将数据报文进行DNAT转换,通过高防节点的GRE网关增加隧道标签,并完成数据封装;

5.高防节点的GRE网关将封装好的数据报文转发至客户节点的GRE网关,完成解封装后,将真实源/目的IP的数据包转发至客户游戏服务器;

6.客户游戏服务器的响应数据包转发至客户本地GRE网关,增加隧道标签并完成封装,然后转发至高防节点的GRE网关完成解封装,然后再被转发至LVS负责均衡集群;

7.LVS负责均衡集群通过查询与用户访问建立的会话,进行DNAT转换,将源IP替换成VIP后对用户进行应答,流程结束。

2.3 游戏云DDoS清洗场景三:AnyCast调度防御

ANYCAST+GRE3.png

图四

1.本方案在第一和第二种方案的基础上,补充了AnyCast的路由调度思路;

2.高防节点和客户本地节点通过发布路由,广播的IP地址采用相同的网络地址,只是采用不同掩码划分优先级;

3.当没有攻击时,默认走客户本地节点提供游戏服务;

4.当出现大流量攻击时,客户本地节点将停止对外的路由广播,于是就近的高防节点的次优路由变成了最优路由,同时也成为唯一路由,以此完成流量的动态牵引;

5.当攻击结束后,客户本地节点将对外进行路由广播,就近的高防节点的路由优先级从最高变为次高,并完成一次路由更新和收敛,将流量切至原有客户本地节点链路。

三.游戏云DDoS清洗场景应用的对比:

3.1 场景一的清洗方式架构简单,成本较低,但是需要修改游戏客户端游戏服务地址,不灵活,复杂度低;

3.2 场景二的清洗方式架构略复杂,成本略高,通过SDK+HTTPDNS/DNS进行IP快速切换的方式来缓解攻击,但是针对攻击跟随需要硬抗;

3.3 场景三的清洗方式从客户角度看,成本较低,正常情况下,均走客户本地节点提供游戏服务,当遇到攻击时,将流量迁引至高防节点;

3.4 场景四的清洗方式成本较高,无需修改游戏客户端程序,通过anycast任意多播的方式进行路由重分布,当发生攻击时,只需停止本地广播即可完成引流,但是路由的更新和收敛时延暂不知晓,对外部资源依赖比较大。

四.总结:

  以上几种场景不限于游戏业务,应用场景不限于高防节点和客户本地节点。

  

好消息!华为云为云内用户免费提供5Gbps DDoS攻击流量清洗
DDoS基础防护服务为华为云内资源(弹性云服务器、弹性负载均衡),提供网络层和应用层的DDoS攻击防护(如泛洪流量型攻击防护、资源消耗型攻击防护),并提供攻击拦截实时告警,有效提升用户带宽利用率,保障业务稳定可靠
还等什么,立刻去开通:http://www.huaweicloud.cn/product/antiddos.html

【版权声明】本文为华为云社区用户原创内容,未经允许不得转载,如需转载请自行联系原作者进行授权。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。