tft每日頭條

 > 遊戲

 > 遊戲框架推薦

遊戲框架推薦

遊戲 更新时间:2024-12-02 20:57:40

遊戲行業高速發展,網絡安全風險加劇。全球紅利下,地下黑色産業鍊迅速擴張。DDoS 攻擊這一遊戲行業的頭号敵人外,應用層的攻擊種類、方式也日漸複雜,直追 DDoS 威脅程度。

如撞庫攻擊、賬戶接管、API login、爬蟲等攻擊,成本低廉、效果明顯,正是黑色産業期望的攻擊模式。基于行業風險,本篇案例分享中,我們将介紹 Akamai 如何利用 WAP BMP SDK 一體化服務,化解安全隐患,尤其是手遊的應用層攻擊問題。

遊戲框架推薦(遊戲出海案例沉浸體驗爆款遊戲)1

應用層危機!攻擊類别難辨!

案例主角是某知名遊戲公司。該公司跨足遊戲及新媒體産業,有着近10年的遊戲行業經驗。旗下代理的爆款遊戲産品,先後榮膺頭部遊戲平台優選推薦,在玩家群體中享有盛譽。

正當該公司的業務蒸蒸日上時,網絡攻擊随之而來。臨近遊戲發布前期,登錄響應慢,甚至久登不上、掉線等情況時有發生。出于技術限制,運維團隊隻能通過網絡層的抓包進行分析,發現了異常的 API login 請求,但很難分辨出非法請求、攻擊類型,并及時阻斷。

基于此前的運維困境,該公司曾尋求過多家安全廠家協助防護,但效果甚微。Akamai 得知情況後,經專業技術分析,排除了 DDoS 攻擊,認為需要從應用層安全出發,來分析是否為利用機器爬蟲的進行的 API login 攻擊,或撞庫攻擊。緊接着,我們為客戶緊急上線了 WAP (Web應用安全類産品) 和 BMP (Bot管理産品),來實時洞見全鍊路攻擊威脅,并及時阻截。

遊戲應用層攻擊全解析

談及遊戲應用層攻擊,Bot 攻擊和 API 濫用可謂是一對孿生兄弟。Bot 作為一種自動化的惡意軟件,可經過互聯網對目标站點遠程攻擊;而起到資源互聯器作用、且已被捕獲和監控的API,亦可助推黑客自動化批量獲取數據,由于很少攜帶人類行為痕迹,隐蔽性極高。

這對孿生兄弟聯手“使壞”,衍生出了通過 Web API login 憑證濫用對遊戲網站登錄服務器進行攻擊的方式。這也正是該公司所面臨的攻擊威脅。通常,攻擊者會去分析遊戲客戶端和 API 端點服務器間的流量和數據,從而獲取 API 傳遞的數據内容的字段和數值,以備下一步攻擊。攻擊可以通過直接構造報文的方法,進行重放攻擊,或修改部分數值進行欺詐。

在遊戲業務中,普遍常見的 API 端點,即用于注冊登錄、驗證等操作的 login 服務器。而攻擊者往往通過進行遊戲 ID 僞造,惡意注冊大量小号、測試賬号發起惡意活動,或撞庫攻擊,以實現賬戶接管。此外,黑客利用模拟器工具、Bot 腳本,還可以發動自動化程度更高的攻擊。例如,NoxPlayer, BlueStacks 等安卓模拟器可在電腦端進行遊戲操作,也為惡意程序和腳本提供了一條“捷徑”。

防護策略三步走

● WAP BMP,守護浏覽器登錄

針對支持浏覽器模式或基于 iOS 或安卓内核浏覽器 Webview 訪問請求,Akamai WAP & BMP 解決方案可進行有效防護。鑒于 Bot 攻擊體量小,API 請求類型合法化,普通 WAF 模式難于防護,用 BMP 爬蟲行為檢測功能可以輕松識别。

遊戲框架推薦(遊戲出海案例沉浸體驗爆款遊戲)2

浏覽器登錄模式防護

該公司此前使用過多家安全公司産品,防護效果欠佳。相比之下,Akamai WAP & BMP 配合使用,可實現高度自動的浏覽器登錄模式防護機制。防護原理表現為,通過 Akamai 智能邊緣平台插碼實現,客戶端執行 JS 代碼收集行為數據,并打分反饋給 BMP 平台,随後利用 AI 算法智能評估,甄别潛藏的異常請求。監測指标包含有 IP 地址分布,爬取速度、内容、時段等。鎖定攻擊後,Akamai 将及時阻斷。

● BMP SDK,延伸防護至原生APP

為防範惡意模拟工具濫用,進一步防護移動端原生 APP (非浏覽器架構)類型,該遊戲公司解決自身原始安全問題後,繼而采用了 Akamai 加持手機端安全的 SDK 功能,布局更立體的安全防護屏障。

遊戲框架推薦(遊戲出海案例沉浸體驗爆款遊戲)3

原生 APP 防護

具體防護中,我們将爬蟲檢測傳感器植入 APP 來實時收集手機端用戶行為,判别爬蟲攻擊與正常用戶訪問。至此,基于對惡意攻擊的行為檢測,Akamai 幫助該建立了一整套從 PC 端到浏覽器端,再到手機端的全方位防護體系。

● 關注威脅動态,升級防護體系

當下,針對爬蟲、API安全的攻擊方式持續演進。爬蟲攻擊從撞庫和惡意登錄,發展至惡意注冊大量小賬号、測試賬号攫取利益(如薅羊毛、刷排名等),以及賬戶接管盜取用戶信息等;而 API 攻擊,更是從對登錄服務器攻擊,發展到操縱數值,攻擊服務器,嚴重破壞遊戲的公平性。

應對複雜難控的攻擊威脅,我們持續升級 BMP 策略以及 Bot 檢測和防護算法;而針對賬戶接管攻擊,Akamai 可使用 Account Protector 技術服務,識别欺詐行為,避免信任受損。而在 Web 應用整體的防護體系中,我們将遵從 WAAP 防護體系架構,從 Web 應用 API、Bot 和 DDoS 層面有針對性地防護。

小貼士:Akamai 安全參考框架建議

守護玩家體驗 布局多層防護

1 基于最佳實踐,梳理服務器類别,如登錄服務器、遊戲服務器、統計服務器、交易服務器等;

2 查探數據流和協議,梳理遊戲流程、相關協議,定位威脅來源和脆弱點。如隐藏 API 訪問玩家多重資源,或反向 DNS 解析遊戲服務器地址段等;

3 利用可視化工具,洞見異常流量,利用 BMP 及時預見潛在爬蟲等威脅

4 使用 Akamai 多層安全解決方案,為不同遊戲模塊提供專項安全防護。

共構安全、公平的美好遊戲環境,全方位守護全球玩家體驗。Akamai 将充分發揮 WAP BMP SDK 的一體化防護服務優勢,攜手遊戲行業客戶與合作夥伴,體系化加固安全防護,讓玩家盡享沉浸、美好的遊戲體驗。

,

更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!

查看全部

相关遊戲资讯推荐

热门遊戲资讯推荐

网友关注

Copyright 2023-2024 - www.tftnews.com All Rights Reserved