入侵游戏服务器(入侵游戏服务器刷装备)

2017年10月26日上方网消息，由上方汇、TOP棋牌智力游戏联盟联合主办的2017TFC中国棋牌游戏生态大会，于昨日正式在厦门杏林湾大酒店312会议室召开。

此次大会主办方请到了体育总局、北京版权保护协会、上海云盾、九鼎资本、腾讯云、金环天朗、水木智娱、黑布林数码等行业主管单位领导和先进企业高管参会，对相关政策法规进行解读，解决中国棋牌游戏难题，促进棋牌游戏行业健康正向发展。

在此次大会上，上海云盾CEO王晓旭发表了名为“全方位安全防护，助力游戏畅通无阻”的演讲。在演讲中，上海云盾CEO王晓旭指出游戏本身是一个高实时、高交互的产业，它在市场上面临被黑客攻击、DNS劫持、DDOS等问题的几率远远大于其他产业。

他谈到，上海云盾安全产品体系可以帮助用户解决黑客攻击系列问题。作为一家从业十年之久的安全服务商，云盾的SAAS平台能够灵活组合，帮助客户一站式解决整个产品生命周期的安全问题。

展开全文

以下是演讲实录：

各位领导，各位朋友，大家上午好！说到游戏运营，我们只能给一些安全方面的建议，帮助大家能够在游戏上面有更好的运营。

游戏行业为什么会成为俎上之肉？

一般游戏被攻击有两种原因，要么是同行之间互相恶意竞争，要么就是你被黑客盯上了，黑客可能会向游戏运营商发起敲诈勒索。

游戏本身是一个高实时、高交互的产业，一旦发生异常波动、网络延迟等现象，极易出现玩家大量流失的情况，并且游戏的协议往往是私有的，因此防御难度相当大。与此同时，黑客对于游戏产品的攻击成本非常低，一般在互联网上面通过一些论坛、一些攻击的用户群，只要花几十块钱、几百块钱就能够打垮一台服务器。攻击成本低，效果又非常好，所以这个是游戏行业面临的最大安全问题。

同时，很多棋牌游戏运营商为了迅速盈利，急于抢占地方市场，往往一开始就找一些外包商或是一些比较热门的代码，通过快速开发急急忙忙上线。

这其中肯定会存在很多的安全隐患，我们发现刚做棋牌游戏的客户，其游戏系统架构存在非常多的安全漏洞，这让黑客就有更多的攻击点，让他有机可乘。

这个图是一个典型棋牌游戏的系统架构，我们对整个棋牌游戏总结下来大概有三个安全方面的问题，其中包括游戏的应用安全、游戏的业务安全还有游戏的可用性安全。下面我会给大家详细讲一下这三个安全问题点。

三大游戏安全问题

对于游戏的应用安全，涉及到以下几个点：游戏的活动页面、游戏的官方网站、还有棋牌的代理商系统以及游戏的API接口。这四个都是基于Web协议来做的，还有一些APP包。

尤其要指出代理商系统和API接口，因为很多棋牌游戏商之前的外包、快速开发所造成的安全漏洞，使得黑客能够非常容易地利用其入侵到游戏服务器系统，截取游戏的核心数据，以此对数据做恶意篡改或者攫取网站信息。盲目追求快速盈利而忽视安全防护工作，因此导致的游戏数据泄露，显然是得不偿失的。

说到游戏APP，很多APP也为了快速占领各个市场，一次性制作好几个版本，没有对APP做适当的加固。使得黑客就会去篡改、破解APP包，篡改里面的数据接口或者做一些伪造APP包。我们团队经常发现有一些客户的APP包接口被人篡改，黑客能够将其拿到第三方的应用去分发，最后的结果就是玩家在玩此公司的游戏，钱却进了别人的口袋，这就比较悲剧了。

还有一方面就是游戏的业务安全问题，包括游戏活动、游戏安全合规问题以及DNS劫持和游戏运营商最讨厌的外挂系统。除了黑客，还有一些专门混迹在互联网上的羊毛党，他们会大量注册平台的账号，当你一推出什么优惠的活动，他们就会批量去刷这些优惠券，结果就是你花了重金去做活动推广，其实最后效果非常差。

还有一些黑客他会利用互联网上面已经泄露的账号密码信息——大家都知道目前互联网已经泄露的账号密码信息非常非常多。黑客会利用这些账号密码批量去登陆，批量匹配你的游戏平台。万一被他运气好撞上，黑客就可以通过已经成功登陆的账号密码转移玩家的虚拟财产，造成玩家账号被盗的情况。

对于DNS劫持，也就是流量劫持，游戏需要通过流量来推广大量级的资源。今年6月1日国家颁布了《网络安全法》，专门针对流量劫持做了定义。以前的流量劫持是没有明确的法律法规，现在针对流量劫持已经有明确的法规可以作为依据。

针对游戏的安全合规问题，这个我们就不多说了，也就是游戏的自身运营安全。《网络安全法》现在要求超过1000个用户以上的涉网系统，都要做好等级保护工作……简而言之，如果你的游戏没有做好信息安全等级保护，这在现在已经属于违法行为了。

还有可用性安全，这涉及到支付接口、WEB应用、登陆服务器和房间服务器几个点。玩家对于实时性的要求非常高，如果在用户进行游戏时候突然掉线或者网络波动频繁，就会引发非常严重的后果。

某个客户的游戏被持续攻击了，在线度下降90%，原本1000个玩家在线，到第二天直接变成100个玩家，这种情况想必是所有运营商都不愿意见到的。所以游戏玩家的流畅度体验是至关重要的，稍有差池就会引发游戏可用性降低的问题——这种情况的罪魁祸首就是前面所说的DDoS/CC攻击。

还有一些地方棋牌游戏运营商，因为没有自己的技术团队，本身代码质量非常差，其业务架构只是简单的拼凑。所以即便只是微小的攻击甚至不需要进行攻击，它的日常服务也会非常不稳定，这使得我们在帮它排查问题的时候，也时常会感到困难。

所以建议中小型棋牌游戏运营商，尽量找一些靠谱的外包团队；或者是打算自己做产品的，需要有相应的技术团队做支撑，要不然后面在运营的过程当中会非常的痛苦。

游戏行业DDoS案例和态势

目前DDoS的攻击态势……我们在安全领域已经从业将近10来年，这10来年基本上游戏行业是DDoS攻击重灾区，不管其他行业怎么发展，游戏这个行业始终都会遭受非常大量的攻击。

其次，类似互联网金融、电商、O2O、在线教育这些有核心在线应用系统的领域，也是DDoS攻击的重灾区，大家可以观察一下，基本都是钱在哪里，攻击就在哪里。因为钱多的地方竞争大，敲诈勒索的黑客就喜欢去敲诈这些有钱的企业。

今年的6月份，在成都那边有一家棋牌游戏公司，遭受DDoS攻击峰值流量达到1个T以上，相当于一个二三线城市整个城市的网络出口，这种量级的攻击基本可以把一个二三线城市给打塌。

行业目前对于DDoS的解决方案基本上分为以下几类，有一些是客户他自己解决，这另外再说。在运营商这个层面——这里运营商指的是电信运营商，本身会提供基于运营商层面的DDoS清洗，好比是造一个房间，它的钢筋、水泥决定房子的框架。运营商为客户提供一个比较粗略的管道级清洗，能够清洗四五百G的攻击。

还有一些卖硬件的盒子厂商，好比说造房子的装修物料，能够提供本地化的清洗和一些简单的应用层安全策略。还有一些高防的IDC，这些IDC运营商基本上是各地为营，在各个省份，各个地方，自行建造了一个房屋，粗略地弄一个简装修或者毛坯房，加上运营商的资源和设备盒子的资源出租给游戏客户，游戏厂商可以把一些服务器放在他这个房子里面。

还有现在非常火的云计算平台，他们相当于是一个精装修的房子交付。上海云盾能够为客户提供豪华装修全屋定制的方案，我们整合行业的大部分资源，包括运营商的资源以及我们自己的平台和产品，为客户的业务提供精细化的清洗。

上海云盾为游戏量身定制

通过我们云端安全网络帮助客户的业务系统，房间服务器、IP服务器、登陆服务器等等抵御各类型攻击，为其提供我们的应用安全交付。我重点说一下我们其中两个产品，一个是红网卫士，这个产品是帮助用户实时解决黑客入侵和业务安全的问题，不需要用户改源代码，就能够实时解决垃圾注册等问题。

还可以帮助用户来防止黑客入侵，就是说你的应用有安全漏洞，我们可以通过虚拟补丁的方式来帮助解决你的安全漏洞问题，同时帮助用户做黑客分析，分析真正想入侵你业务、想黑你系统的黑客。通过我们的云端大数据分析，分析出黑客的关联网络跟他的攻击路径以及攻击行为。

我们红网卫士这个产品，目前已经应用在众多金融业务系统，包括大的金融，银行、证券和政府的信息系统。

我们太极抗D这款产品，它有单个IP地址，我说得IP不是游戏行业里说的IP，这个IP是指互联网上面的虚拟IP地址。我们单个IP地址的清洗架构，刚才说了我们整合了运营商的资源，清洗完以后可以到本地再到应用层的房屋集群，形成三个清洗层的层层联动。

同时，我们还会跟客户进行深度的集成，通过集成我们的SDK，可以帮一些更复杂或者是攻击超级大的DDoS来做更好的防护，当然这个是需要游戏厂商能够互相协同，集成我们的SDK。

攻击溯源：让黑客无所遁形

我们为客户提供安全服务的同时，也为大客户提供攻击溯源的服务。对于攻击溯源我们上海云盾有一支专门安全研究队伍，他们会在互联网上追踪这些攻击组织，分析这些团伙。通过我们的分析，帮助这些云端大客户提供攻击线索和信息的关联落地。

在2016年的时候我们在福州配合福州网安打击了一个攻击团伙，当时历经了6个月的时间才抓到这个攻击团伙。要抓到幕后攻击者这是非常困难的事情，有可能某个厂商去指使某个马仔再叫黑客攻击。我们能做到就是追溯到背后的攻击组织乃至更之后的攻击者。

上海云盾游戏安全解决方案特点

总结下来有以下几点，我们是一家中立的安全服务商，和客户业务无竞争，并且我们在安全行业已经从事了十来年，具备非常丰富的安全领域防护经验。我们的公司团队成立于2011年，而整个队伍成员都是来自各大安全厂商或者是原来甲方的安全专家，全都具备十年以上的安防工作经验。

同时，我们解决方案也非常的灵活，可以针对不同客户业务系统量身定制专属的安全防护策略。并且我们的DDoS最新推出了不按带宽计费的方式，我们可以跟一些刚推出的游戏或者是刚刚成立的棋牌游戏公司，根据他的玩家数量来计费，也就是说，我们可以随着客户的发展跟客户一起成长。

上海云盾的期望和愿许

我们非常希望服务好每一个客户，希望跟客户一起成长。在游戏刚推出来的时候，你并没有什么收益，我可以事先为你提供技术的防护，随着玩家数量的增长，我们的合作也可以进一步的加深，这是双赢的状况。

我们云盾的SAAS平台能够灵活组合，灵活地叠加其他安全交付产品，能够帮助用户一站式解决整个应用生命周期的安全问题——我们的价格也同样的亲民。