遊戲行業高速發展，網絡安全風險加劇。全球紅利下，地下黑色産業鍊迅速擴張。DDoS 攻擊這一遊戲行業的頭号敵人外，應用層的攻擊種類、方式也日漸複雜，直追 DDoS 威脅程度。

如撞庫攻擊、賬戶接管、API login、爬蟲等攻擊，成本低廉、效果明顯，正是黑色産業期望的攻擊模式。基于行業風險，本篇案例分享中，我們将介紹 Akamai 如何利用 WAP BMP SDK 一體化服務，化解安全隐患，尤其是手遊的應用層攻擊問題。

應用層危機！攻擊類别難辨！

案例主角是某知名遊戲公司。該公司跨足遊戲及新媒體産業，有着近10年的遊戲行業經驗。旗下代理的爆款遊戲産品，先後榮膺頭部遊戲平台優選推薦，在玩家群體中享有盛譽。

正當該公司的業務蒸蒸日上時，網絡攻擊随之而來。臨近遊戲發布前期，登錄響應慢，甚至久登不上、掉線等情況時有發生。出于技術限制，運維團隊隻能通過網絡層的抓包進行分析，發現了異常的 API login 請求，但很難分辨出非法請求、攻擊類型，并及時阻斷。

基于此前的運維困境，該公司曾尋求過多家安全廠家協助防護，但效果甚微。Akamai 得知情況後，經專業技術分析，排除了 DDoS 攻擊，認為需要從應用層安全出發，來分析是否為利用機器爬蟲的進行的 API login 攻擊，或撞庫攻擊。緊接着，我們為客戶緊急上線了 WAP (Web應用安全類産品) 和 BMP (Bot管理産品)，來實時洞見全鍊路攻擊威脅，并及時阻截。

遊戲應用層攻擊全解析

談及遊戲應用層攻擊，Bot 攻擊和 API 濫用可謂是一對孿生兄弟。Bot 作為一種自動化的惡意軟件，可經過互聯網對目标站點遠程攻擊；而起到資源互聯器作用、且已被捕獲和監控的API，亦可助推黑客自動化批量獲取數據，由于很少攜帶人類行為痕迹，隐蔽性極高。

這對孿生兄弟聯手“使壞”，衍生出了通過 Web API login 憑證濫用對遊戲網站登錄服務器進行攻擊的方式。這也正是該公司所面臨的攻擊威脅。通常，攻擊者會去分析遊戲客戶端和 API 端點服務器間的流量和數據，從而獲取 API 傳遞的數據内容的字段和數值，以備下一步攻擊。攻擊可以通過直接構造報文的方法，進行重放攻擊，或修改部分數值進行欺詐。

在遊戲業務中，普遍常見的 API 端點，即用于注冊登錄、驗證等操作的 login 服務器。而攻擊者往往通過進行遊戲 ID 僞造，惡意注冊大量小号、測試賬号發起惡意活動，或撞庫攻擊，以實現賬戶接管。此外，黑客利用模拟器工具、Bot 腳本，還可以發動自動化程度更高的攻擊。例如，NoxPlayer, BlueStacks 等安卓模拟器可在電腦端進行遊戲操作，也為惡意程序和腳本提供了一條“捷徑”。

防護策略三步走

● WAP BMP，守護浏覽器登錄

針對支持浏覽器模式或基于 iOS 或安卓内核浏覽器 Webview 訪問請求，Akamai WAP & BMP 解決方案可進行有效防護。鑒于 Bot 攻擊體量小，API 請求類型合法化，普通 WAF 模式難于防護，用 BMP 爬蟲行為檢測功能可以輕松識别。

浏覽器登錄模式防護

該公司此前使用過多家安全公司産品，防護效果欠佳。相比之下，Akamai WAP & BMP 配合使用，可實現高度自動的浏覽器登錄模式防護機制。防護原理表現為，通過 Akamai 智能邊緣平台插碼實現，客戶端執行 JS 代碼收集行為數據，并打分反饋給 BMP 平台，随後利用 AI 算法智能評估，甄别潛藏的異常請求。監測指标包含有 IP 地址分布，爬取速度、内容、時段等。鎖定攻擊後，Akamai 将及時阻斷。

● BMP SDK，延伸防護至原生APP

為防範惡意模拟工具濫用，進一步防護移動端原生 APP (非浏覽器架構)類型，該遊戲公司解決自身原始安全問題後，繼而采用了 Akamai 加持手機端安全的 SDK 功能，布局更立體的安全防護屏障。

原生 APP 防護

具體防護中，我們将爬蟲檢測傳感器植入 APP 來實時收集手機端用戶行為，判别爬蟲攻擊與正常用戶訪問。至此，基于對惡意攻擊的行為檢測，Akamai 幫助該建立了一整套從 PC 端到浏覽器端，再到手機端的全方位防護體系。

● 關注威脅動态，升級防護體系

當下，針對爬蟲、API安全的攻擊方式持續演進。爬蟲攻擊從撞庫和惡意登錄，發展至惡意注冊大量小賬号、測試賬号攫取利益（如薅羊毛、刷排名等），以及賬戶接管盜取用戶信息等；而 API 攻擊，更是從對登錄服務器攻擊，發展到操縱數值，攻擊服務器，嚴重破壞遊戲的公平性。

應對複雜難控的攻擊威脅，我們持續升級 BMP 策略以及 Bot 檢測和防護算法；而針對賬戶接管攻擊，Akamai 可使用 Account Protector 技術服務，識别欺詐行為，避免信任受損。而在 Web 應用整體的防護體系中，我們将遵從 WAAP 防護體系架構，從 Web 應用 API、Bot 和 DDoS 層面有針對性地防護。

小貼士：Akamai 安全參考框架建議

守護玩家體驗 布局多層防護

1 基于最佳實踐，梳理服務器類别，如登錄服務器、遊戲服務器、統計服務器、交易服務器等；

2 查探數據流和協議，梳理遊戲流程、相關協議，定位威脅來源和脆弱點。如隐藏 API 訪問玩家多重資源，或反向 DNS 解析遊戲服務器地址段等；

3 利用可視化工具，洞見異常流量，利用 BMP 及時預見潛在爬蟲等威脅

4 使用 Akamai 多層安全解決方案，為不同遊戲模塊提供專項安全防護。

共構安全、公平的美好遊戲環境，全方位守護全球玩家體驗。Akamai 将充分發揮 WAP BMP SDK 的一體化防護服務優勢，攜手遊戲行業客戶與合作夥伴，體系化加固安全防護，讓玩家盡享沉浸、美好的遊戲體驗。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!