線上遊戲之DDOS 攻防實戰記

作者/顏美惠

前言 網際網路自1980年代開始蓬勃發展以來,產生了許多改變人類生活方式的應用服務,如電子郵件、網頁服務等,而網路攻擊亦隨著網際網路的誕生與廣泛應用,不斷地推陳出新,如電腦病毒及電腦蠕蟲、密碼猜測、後門程式及社交工程等等攻擊手法,可以說是伴隨著網際網路的成長與茁壯而發展出來的。 其中大多數的網路攻擊針對的目標是資訊的機密性(Confidentiality)及完整性(Integrity),攻擊者主要希望可以獲得重要資訊甚至進而竄改資訊,但是約莫於1998年左右,一種新的網路攻擊想法產生了,其主要的攻擊目標不再是針對資訊的機密性及完整性,而是針對資訊的可用性(Availability)進行攻擊,使得一般使用者無法正常使用目標系統所提供之網路服務或資源,我們稱此類攻擊手法為「服務阻斷攻擊」(DoS, Denial of Service attacks)或「分散式服務阻斷攻擊(」DDoS, Distributed Denial of Service),以下要跟大家分享一個實際案例,是某線上遊戲公司之熱門MMOPRG遊戲(以下簡稱為A Game),遭受到DDoS之應變、處理及防堵過程。 實際案例分享 一、事件起源: A Game 的200個分流(約600台主機)一直在restart。(平均每台server每天發生5次) 二、攻擊時間: 自7月份一直持續到10月份,每日不定時發動攻擊,每次攻擊不超過1分鐘。 三、攻擊影響: 1. CCU (Concurrent User) 大幅下降,眾多玩家無法登入而產生了大量客訴。 2. Game server一直重新啟動,導致玩家失去再玩此款之信心,進而影響營收。 3. 利用網路及game server之瞬斷,盜取遊戲中之虛擬寶物。 四、攻擊方式概述:


五、事件之省思 從一開始發現Game server一直重新啟動到發生塞爆頻寬的過程中,這中間耗費了許多時間(大約3個星期),才得以了解攻擊的手法,事件至今已暫告一段落,但有下列幾點,是值得去思考及改善的: 1.協同ISP業者合作僅是暫時性作法 協請CHT中華電信將異常流量導至歐洲,利用讓封包繞遠路而產生timeout,而drop掉大部份異常封包,或是以BGP方式,讓海外的IP無法route進來。但是對ISP業者而言,都只能提供暫時性的阻擋,是故這種方式無法對持續且長期的攻擊做有效的阻擋。 2.市售資安設備無法有效處理 現有之資安設備(IDS/IPS、WAF…等),都是以標準的web服務(http/https)在做偵測及阻擋,但是MMORPG 這類遊戲的設計上,都是以自訂的通訊協定(Protocol)進行溝通,因此現有市面上並無工具可以立即協助處理這類的攻擊。 3.線上遊戲的營運要求 由於線上遊戲的營運很在乎response time及latency,這關係到玩家的體驗經驗好壞,在網路架構上需要有大的網路頻寬,也因此在整體的IT架構上,無法以Firewall、Anti-virus wall等設備來事先過濾異常封包,只能以依賴switch之ACL列表,這在線上遊戲營運的安全性上會是一個重要的脆弱點。 4.沒有架設有效的監控工具 導致每次事件發生時,都是經過一段時間後,才透過玩家對客服的回報及抱怨得知,而無法達到即時阻擋以降低對遊戲的影響。而所謂有效的監控,需要具備以下項目:
  • 監控工具:流量監控、分析(如Netflow, MRTG)、Syslog分析工具、SNMP collector、security auditor tool、router path trace tool、system utilization tool….等。
  • 建立各系統、設備平時運作之baseline,當超過baseline時,才能在第一時間,發現異常,而不是用自我的人為感覺做判斷。
  • 側錄機制:市面上有許多側錄工具,但由於大型的IDC 維運中心,資料量很龐大,以此Game center而言,在服務尖峰時段,每秒約有350,000人次在線上進行遊戲,若進行封包側錄,會取得極大量的封包資訊而導致無法有效分析。是故需要以客製化方式,開發一套適合自己維運環境的側錄機制。
結語 整體事件至今(11月),還都有偶發、零星之攻擊,可以預見的是,在寒假(也就是線上遊戲的旺季)時,駭客一定會再捲土重來。而觀察、分析這次的長時間攻擊,在手法上是以DDoS(分散式服務阻斷)做為攻擊的方式,但攻擊標的並不是大範圍的不特定伺服器,而是僅針對特定款熱門的線上遊戲,相當具有針對性的(針對A 款Game),而且是一直在持續進行中,這完全符合目前最熱門的APT (Advanced Persistent Threat,) 進階持續性滲透攻擊定義,只是到現在,還是沒有分析出到底駭客的真正目的為何?而目前這個案件,也和檢調單位配合中,希望能透過不同的管道,找出攻擊中的意圖,而能事先進行防堵。