这几天，游戏界的朋友都在focus ChinaJoy。有妹子看，大家都high起来了嘛。伴随游戏行业的关注度，游戏安全也成为焦点。

游戏是DDoS重灾区

对游戏玩家来说，游戏中流畅的操作所带来酣畅淋漓的快感是最基本的需求。

DDoS攻击带来的一个常见后果就是“卡机”。对于游戏运营者来说，“卡机”的直接结果就是玩家的大量流失。如此一来，游戏行业衍生出专门负责制造麻烦的DDoS攻击团队。而且有愈演愈烈的趋势。

从2014年第二季度以来，游戏一直占据DDoS攻击的35%。2015年第一季度，这一数据仍旧高居不下，再次高于其他任何行业。

知乎版DDoS

那么问题来了，到底什么是DDoS攻击？感谢知乎网友、白帽子刘哲打了一个人人都能读懂的神比喻：

主线：DDOS攻击成功——添加规则和黑名单进行DDOS防御，防御成功——增加DDOS流量，改变攻击方式——增加硬防与其抗衡

DDOS攻击成功：某饭店可以容纳100人同时就餐，某日有个商家恶意竞争，雇佣了200人来这个饭店坐着不吃不喝，导致饭店满满当当无法正常营业。

添加规则和黑名单进行DDOS防御，防御成功：老板当即大怒，派人把不吃不喝影响正常营业的人全都轰了出去，且不再让他们进来捣乱，饭店恢复了正常营业。

增加DDOS流量，改变攻击方式：主动攻击的商家心存不满，这次请了五千人逐批次来捣乱，导致该饭店再次无法正常营业。

增加硬防与其抗衡：饭店把那些捣乱的人轰出去之后，另一批接踵而来。此时老板将饭店营业规模扩大，该饭店可同时容纳1万人就餐，5000人同时来捣乱饭店营业也不会受到影响。

防护的挑战

对于游戏业务来说，如何保证业务连续性是压倒一切的目标。

为了破坏连续性，攻击一方不仅仅会利用大规模的攻击流量挑战防护一方的带宽资源，还包括防护系统的反应速度、检测精准度、处理性能，以及包括应急响应、快速处置、防护策略调整、团队协作以及运营商沟通等在内的综合能力。

这不仅仅是对防护方的资源能力和技术实力的挑战，更重要的是综合运营能力的挑战。但是，这恰恰是绝大多数游戏公司所不具备的。

453G的DDoS攻击背后

2014年圣诞节前，阿里云成功帮助某游戏用户抵御了峰值高达453G的DDoS攻击。

     阿里云453.8Gbps攻击时间图

在此次453Gbps的攻击中，黑客采用了网络层攻击（UDP Flood和SYN Flood）为主要手段。其中，UDP Flood占67%，SYN Flood占33%。如下所示：

在这次攻击中，黑客从12月20日下午16时持续攻击到21日下午16时左右，阿里云云盾安全团队先后采取了切换IP、源验证、限源、特征丢弃等多个手段，在运营商的配合下，完成了整个防护过程。

回顾整个防护过程，一边是波涛汹涌的DDoS攻击，一边是血脉贲张的游戏PK，对于玩家来说，就像完全独立的平行世界。

云盾的优势

一、实时采集，秒级响应

和大多数基于NetFlow的DDoS检测手段不同，阿里云云盾流量采集基于分光的方式。分光可以实现近乎实时的流量采集，但NetFlow采集会有十几秒甚至几十秒的延时。

对于绝大多数系统来说，DDoS攻击的响应过程中最大的技术瓶颈就是尽可能快速地检测发现DDoS攻击。阿里云云盾采用了集群化处理。一个服务器集群即为500台服务器。500台服务器单集群的并行处理的结果是实现1秒检测。

二、可弹性扩展的T级防护能力

对于游戏用户来说，对业务连续性和可用性要求非常高，阿里云云盾高防IP服务提供全天候的实时DDoS防护，可随时更换防护的IP，防护能力弹性调整，随时升级到更高能力级别的防护，而整个过程服务无中断。

大流量DDoS下的攻防双方，在一定程度上拼的是资源能力。

采用高防IP服务的用户服务器将部署在阿里云云盾高防数据中心中。高防数据中心单点防护能力为300Gbps，可以实现多数据中心联动防护以获得更高的防护带宽。

三、自动化防护

衡量一个DDoS防护系统效率的重要指标是系统的自动化水平。

阿里云云盾的检测以及策略下发是完全自动化的，即一旦发现有DDoS情况的发生，系统将自动化完成行检测、攻击策略匹配及下发，总体响应时间<5秒。

四、专业的安全专家团队

安全攻防背后是人的对抗。阿里云云盾安全团队背后国内最优秀的安全维护和专家团队，提供7X24全天候安全运营工作。这支由国内最优秀的安全专家组成的团队平均每天面对500次以上的DDoS攻击，其中不乏业界最新和最复杂的DDoS攻击威胁。