在防护时,登录、支付等服务相比游戏服,延迟容忍度更高一下;所以防护措施与游戏服不同,可以考虑电信联通等单线的大带宽高防资源;游戏服的延迟要求与类型密切相关,可以参见上述提及的延迟要求。
3、 可否更换 IP
从业务技术架构上看,能否更换IP,决定了防护的灵活性;若可以更换IP,则可以灵活的调度多个IP实现“游击战”式的灵活防护;如果不能更换IP,只能用带宽先把攻击流量承接下来,然后再做清洗;这种情况在攻击量超过带宽上限时,服务端公网入口已经被拥塞至几近瘫痪,业务请求几乎都不能被正常处理。
4、 是否可多地域部署
此外,如果业务可以多地域部署,则可以更好的利用多地的高防资源防护,并且玩家游戏体验更好。
【三、防护思路总结】
架构设计阶段
把安全防护考虑在内,尽量采用公网IP可更换或服务端提供域名访问、可多地域部署的架构
业务部署阶段
规划好暴露在公网的服务(即需要防护的目标)的数量,使其处在一个合理区间,以便在单点攻击发生时,不会影响全部玩家;同时也要综合考虑防护成本和效果;
根据游戏类型,以及自身的竞争环境是否健康,规划游戏是否需要独立的防护资源,游戏内不同玩家分组,不同业务模块是否需要独立防护;否则多业务可以共享防护资源;
根据延迟要求,选择防护资源的地域和线路;一个游戏内的不同服务,延迟要求可能也不相同,例如大厅服通常相对游戏服的延迟要求就低一些;
根据业内攻击数据统计,以及自身的竞争现状,规划是否需要保底+弹性的灵活防护模式,以平衡防护效果和成本;
业务被攻击时
根据攻击情况,调整保底和弹性模式;结合攻击频率,调整防护策略。如果是大流量攻击,但是还在防护带宽内,可以考虑继续使用大带宽防护或者适当升级带宽以保障防护效果;如果是大流量带宽攻击频繁,超过可以购买的带宽或者防护成本过高,可以考虑多高防 IP调度的方式;
如遇到频繁且复杂的攻击场景,有必要建立多层防护。例如使用多 IP 灵活调度作为第一层,第二层可以使用大带宽的三网防护兜底,针对 CC 可以做到有效防护,在一些复杂场景,一定程度上可以做自定义防护;
腾讯云专家助力
在以上各阶段,可以联系腾讯云团队,可以一起更有效的做好多轮次攻防。
【四、腾讯云新一代高防解决方案】
结合上述的防护思路,在面对越来越严峻的安全威胁时,可以使用腾讯云新一代高防解决方案来保障业务安全。腾讯云新一代高防解决方案提供了全方位多层次的 DDoS 防护方案,可以完全契合上述防护思路。您可以根据业务部署特点选择 DDoS 高防 IP、DDoS 高防包,并根据防护需求配置高级安全策略、CC 防护策略、水印防护策略等以灵活应对多种 DDoS 和 CC攻击威胁。
防护域名
防护域名提供智能解析和自动切换的能力。 在同时具备包括BGP的多线路防护资源时,优先解析到BGP;若发生攻击导致BGP线路被封禁,系统会自动切换到三网防护资源,此时会根据访问者的来源IP自动解析到对应的运营商线路,从而尽可能的保证最优的延迟;
高防IP
借助BGP高防IP的力量来防护,客户端连接到高防IP,高防IP再转发给游戏服务器;可以转发云外或者云上的服务器。
高防包
对于部署在腾讯云上的业务,高防包就像一层护甲,直接在现有业务IP上生效,做到快速接入高防,业务无需做变更;高防包分两种:
ü 单IP高防包,为腾讯云上一个服务器或者负载均衡提供防护;
ü 多IP高防包,也叫共享高防包,可以防护多个腾讯云服务器或者负载均衡;
高级安全策略
如果DDoS攻击流量的报文中有一定特征,可以通过设置针对性的安全策略,进行有针对性的过滤
CC防护策略