94
騰訊雲
2017TFC棋牌大會:騰訊雲安全首席架構師方勇 六天七夜的棋牌行業抗D曆程
10月30日上方網訊:2017第十五屆TFC全球泛遊戲大會已於10月27日在廈門杏林灣大酒店落下帷幕。在10月26日下午, 由上方匯、TOP棋牌智力遊戲聯盟聯合主辦的2017TFC中國棋牌遊戲生態大會,於廈門杏林灣大酒店312會議室召開。
此次大會主辦方請到了體育總局、北京版權保護協會、九鼎資本、騰訊雲、上海雲盾、金環天朗、水木智娛、黑布林數碼等行業主管單位領導和先進企業高管參會,對相關政策法規進行解讀,解決中國棋牌遊戲難題,促進棋牌遊戲行業健康正向發展。
在此次大會上,來自騰訊雲安全的首席架構師方勇先生發表了關於防護黑客 DDoS 攻擊的的演講。
在演講中,方勇先生講述了近期遇到的黑客攻擊實例,並表示騰訊雲的棋牌遊戲安全解決方案會從事前、事中、事後去幫助客戶進行有針對性的防護。在國內最高質量的28線 BGP 鏈路上提供強大的 DDoS 防護,幫助客戶在炮火連天的機場上穩健起飛。最後還提出大家可以專心做自己的業務,把背後的安全交給騰訊雲安全團隊,騰訊雲安全團隊會為大家保駕護航。
很榮幸能在一個非常專業的棋牌大會上跟大家分享騰訊雲這一段時間在棋牌抗攻擊領域的一些經驗和收獲。剛才主持人,包括上午很多嘉賓都討論到,在棋牌領域大家非常用心去經營自己的業務,但同時背後還有很多雙眼睛在盯著我們,因為棋牌行業發展太好了,這個行業裏故事太多、太吸引人。前不久棋牌行業裏最用心最有毅力的一次黑客攻擊,被我們成功防禦住,下麵為大家分享一下。
案例分享
好些棋牌企業會被斷斷續續的攻擊一兩個月,但連續六天七夜的持續攻擊在這個領域比較少見。
在和黑客的對抗過程中我們有四個感觸。一個是黑客非常專業,他們非常了解我們整個棋牌行業的業務,了解上下遊和同行的情況,了解棋牌有線上的業務,有線下的渠道和代理,他們無孔不入。
當時這個棋牌企業他被黑客攻擊的很全麵,首先,先打登陸服,做棋牌研發的都知道這是棋牌的入口。登陸服防住之後去打遊戲服,遊戲服防住了他去打渠道後台,渠道後台防住之後就打支付接口,打一個第四方支付公司。當這個支付公司也被保護起來後,他又去打域名,包括打 CDN。這樣來來回回換著方式打,各類流量反射攻擊,syn flood,udp flood,四七層 CC。我們感覺到黑客真的非常專業,也非常用心和“敬業”,是一種不達目的不罷休的架勢。唯一沒做的,就是去機房拔網線了,不過棋牌企業大部分用的雲計算服務,要通過拔網線來達成目標幾乎不可能。
第二個是黑客有一套自己的監控係統,很多棋牌公司都會使用調度策略,在一個 IP 遭受攻擊時會切換到另一個 IP,黑客針對這種防護手段也針對性通過實時監控來發現 IP 變化,及時變換攻擊目標。由此大家可以看到黑客在進行攻擊時非常聰明。
第三是時間長,800G,持續6、7天,有運維經驗的,買過帶寬的,大家都知道這個數字背後意味著什麼樣的一個成本。
第四是反應快。其實在這個 Case 裏麵黑客打的是一個比較成熟的棋牌公司,但我們還有一個初創棋牌客戶,他們產品還沒發布,隻是和線下渠道有一些溝通,但第二天就被攻擊了。其實不管規模大的棋牌公司,還是初創型的棋牌公司,都麵臨著 DDoS 的問題。
騰訊雲棋牌安全解決方案介紹
回到騰訊雲給棋牌客戶的解決方案。我們從事前、事中、事後去幫助我們的客戶進行有針對性的防護。
首先,事前監控。騰訊在安全行業有十幾年經驗的積累,在全國甚至海外很多節點都部署了自己研發的蜜罐係統,包括情報係統和大數據分析係統,會對全球的 DDoS 攻擊行為做一個非常全麵的監控,及時地去發現攻擊。
其次是事中防護,這是整個環節裏麵最重要的,也是整個對抗的過程。在這個過程中騰訊有相當多的優勢。第一是騰訊自有相當多的 BGP 的資源,在北京、上海,騰訊有 TB 級的 BGP 的資源,還有單點600G+的防護能力。第二,除了這些昂貴的 BGP 資源之外,騰訊還有多地聯防的技術手段,也就是行業裏說的 anycast,這個在中國能做得就極少,能做得好的目前我了解到的主要是騰訊做得比較好,一個 IP 可以在全國範圍內多個地方多個線路發布,這個代表就是經常用得114.114.114.114,這背後有相當多的資源門檻和資金門檻,還有一些其他方麵的要求。
接著,就是我們給客戶做精細的定製化的防護,比如說我們棋牌盾加大點防護,我們采用 UDP的預壓製,國內大概75%的攻擊流量都是由 UDP 組成,我們隻要把這些流量在運營商層麵封堵之後,真正打到客戶 IP 上的非常少。另外,我們會給客戶進行7×24小時專人值守,特別在重要的時期,比如說國慶、春節等這些節假日。
我稍微總結一下騰訊雲 DDoS 防護的亮點。第一是28線BGP,不知道大家有沒有概念,BGP 最開始是兩線、三線到四線、八線,騰訊雲現在是28線 BGP。可能大家不知道這背後意味著什麼,BGP 帶寬的成本是電信或者聯通單線路成本的5-6倍,加上人員的運營成本等各方麵的成本,最終成本至少是到6-7倍。但是騰訊雲把這麼昂貴的資源,這麼稀缺的資源拿來做高防,我覺得是騰訊雲對待客戶的一種態度。是希望客戶能在防攻擊的同時,也能享受到超高品質的網絡質量。
第二是0變更。我們都知道業務上的變更對運維和研發人員來說都不是一個好消息。如果你的雲主機在騰訊雲上,不用換 IP,不用改解析,不增加任何網絡延遲,無需任何變更就可以享用我們奢華而不奢侈的 BGP 高防。
最後,大家可以專心做自己的業務,把背後交給騰訊雲安全團隊,我們會為大家保駕護航。謝謝大家!
【2017TFC大會簡介】
第15屆TFC全球泛遊戲大會在廈門杏林灣大酒店舉辦,本屆大會以“創新、突破、升維”為主題,在秉承“火爆、專業、幹貨、成果、接地氣”的宗旨,跨界整合移勱遊戲、直播行業、VR/AR/AI、泛娛樂4大領域,融合泛遊戲上下遊優質資源,突破移動遊戲與智能娛樂新境界,不斷突破自身為泛遊戲行業引入全新的元素。
最後更新:2017-10-30 21:13:19