Angry Birds 等游戏 DDoS 防护和安全策略的云上最 … › sides-share › AWS...company...

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

王元恺，AWS 解决方案架构师

Angry Birds 等游戏 DDoS 防护和安全策略的云上最佳实践


什么是 DDoS 攻击

AWS 中国（宁夏）区域由西云数据运营AWS 中国（北京）区域由光环新网运营

拒绝服务攻击——DoS(Denial of Service)

通过各种手段，使网络服务无法使用或不可用的行为

如果攻击来源单一，

可以简单拦截IP防范


分布式拒绝服务攻击——DDoS(Distributed Denial Of

Service)

攻击者会使用大量广泛分布的僵尸网络、肉机等发起对目标的攻击

其来源分布一般比较分散。

因此难以简单防范。


什么人被攻击

Source: Arbor Networks, Inc. 2016 WISR Report


为什么被攻击？

This message is only for your company. Send this information to your boss.

We have completed network reconnaissance of your infrastructure. We studied the algorithms of your protection against DDoS. We are ready to crash your

servers and disturb normal work of your trading platform.

This is a small part of our power:

L7;

Botnet #1 - https://prnt.sc/kuyt6x - 3 500 000 requests per second.

Botnet #2 - https://prnt.sc/kuyu60 - 450 000 requests per second.

Botnet #3 - https://prnt.sc/kuywzf - 2 000 000 requests per second.

L4;

#1 - https://prnt.sc/kuyxjj

#2 - https://prnt.sc/kuyxx8

#3 - https://prnt.sc/kuyy3r

#4 - https://prnt.sc/kuyyah

Total L4 power now - more than 1.3 TB/S UDP and 240 000 000 packets per second TCP.

We know that you will be able to reflect the attack, but it will take at least 12-24 hours. Undoubtedly you will incur monetary losses.

What we want?

5 BTC (it's just dust for you) to 1Kd4f6NCuk5tBdvcj5und8xxBoSZnxaPsM

Your losses from the attack can be much greater.

We are waiting until October 2.

If you do what we want - we will help you fix some network bugs. If no - we will be forced to act.

We do not say goodbye. TGF6YXJ1cyBIYWNrZXJzISBOb3J0aCBLb3JlYSBQb3dlciE=

https://prnt.sc/kuyt6x

https://prnt.sc/kuyu60

https://prnt.sc/kuywzf

https://prnt.sc/kuyxjj

https://prnt.sc/kuyxx8

https://prnt.sc/kuyy3r

https://prnt.sc/kuyyah


DDoS 攻击类型


DDoS 攻击的类型——网络层攻击

数据Data7 应用层

数据传输协议

数据Data6 表示层

数据格式与加密

数据Data5

会话层开始、控制和结束会话

段Segments4 传输层

端到端的网络数据流

数据单位层

主机层

包Packets3 网络层

源和终点之间建立连接

帧Frames2 数据链路层

单个链路上如何传输数据

比特Bits1 物理层

将信息编码成电或者光

网络层

巨流量DDoS攻击带宽消耗

通过超过你的处理能力的流量来撑爆你的网络

例如，UDP泛洪（UDP Flood）** 严格意义上来说，UDP属于四层


DDoS 示例——UDP反射攻击

攻击者192.0.2.1

受害者198.51.100.4

源 =198.51.100.4目的=203.0.113.32

NTP DNSSNMPSSDPMemcached

反射器(NTP servers)203.0.113.32

协议理论BAF

NTP 556

DNS 28.7 ~ 54.6

SSDP 30.8

SNMP 6.3

Memcached 可达数万

带宽放大因子（BAF, Bandwidth Amplification Factor）


DDoS 攻击的类型——传输层攻击


数据传输协议



数据Data5




数据单位层

主机层







网络层

状态耗尽DDoS攻击协议耗尽

滥用协议的一些弱点试图压垮系统（如防火墙，负载均衡等）

例如TCP SYN泛洪（SYN Flood）


DDoS 示例——SYN Flood

连接表

SYN

ACK

SYN/ACK

X


DDoS 攻击的类型——应用层攻击


数据传输协议



数据Data5




数据单位层

主机层







网络层

应用层DDoS攻击应用消耗

使用格式良好但恶意的请求来规避防御，并消耗应用程序资源

例如HTTP GET泛洪（GET Flood）、DNS查询泛洪（DNS Query Flood）


DDoS 示例——HTTP攻击

Web服务器攻击者

GET

HTTP GET泛洪

慢速攻击 Slowloris

GET GET GET GET GET

G - E - T


DDoS 攻击趋势

巨流量攻击状态耗尽攻击应用层攻击

73%巨流量攻击

18%状态耗尽攻击

16%应用层攻击


如何缓解 DDoS 攻击


Rovio 通过 AWS 为数百万游戏玩家提供一致的服务

Rovio is a Finland-based entertainment media

company and creator of the Angry Birds brand.

With the Angry Birds 2 launch,

we reached 10 million users in

around three days.

• 需要 24*7 全天候不间断服务

• 使用 AWS 支持他们的游戏平台

• 确保可靠的正常运行时间

• 快速扩展以满足游戏发布的需求

• 帮助小型 IT 团队管理复杂的基础架构Mikko Peltola

Senior Manager—Cloud Operations, Rovio

”

“


Angry Birds —— 解决方案

Amazon CloudFront + AWS Shield Advanced + AWS WAF


Angry Birds —— 延迟测量

46% decrease

45% increase

37% decrease

58% decrease

33% decrease


Angry Birds —— 实际效果

• 自2018年2月在生产环境采用该架构，系统稳定延迟降低

• 考虑逐步在每个游戏，区域或客户端应用程序上推进

更多内容：https://www.slideshare.net/AmazonWebServices/how-rovio-

uses-amazon-cloudfront-for-secure-api-acceleration-ctd315-aws-

reinvent-2018

https://www.slideshare.net/AmazonWebServices/how-rovio-uses-amazon-cloudfront-for-secure-api-acceleration-ctd315-aws-reinvent-2018


规模

AWS

Regiontransit

transit

transit

更大的带宽


规模

transitAWS

Region

transit

transit

更多的计算资源


规模

transitAWS

Region

transit

transit

更多边缘节点

AWS

Edge

AWS

Edge

AWS

Edge

Route 53

CloudFront


规模

transitAWS

Region

transit

transit

攻击被抵挡

AWS

Edge

AWS

Edge

AWS

Edge

攻击者

攻击者

攻击者


多样性

Amazon Route 53 - Anycast Striping

Amazon CloudFront Edge Locations

transit

攻击者

AWS

Region

AWS

Edge

AWS

Edge

AWS

Edge

client

client

AWS

Edge

https://d1.awsstatic.com/whitepapers/Security/DDoS_White_Paper.pdf

https://d1.awsstatic.com/whitepapers/Security/DDoS_White_Paper.pdf


针对 HTTP(S) 的 DDoS 缓解


构建抗压架构: 自适应, 自扩展, 层次化

• 使攻击面最小化

• 自动扩展应对攻击

• 保护暴露的资源

• 对服务正常的行为模式了如指掌

• 建立攻击预案


使攻击面最小化

web app

server

DMZ public subnet

ssh

bastion

NAT

ELBUsers

Admin

Internet

Amazon EC2security group

security group

security group

security group

Frontend private subnet

TCP: 8080

Amazon EC2

TCP: 80/443

Backend private subnet

security group

TCP: 3306

MySQL DB

TCP: Outbound

TCP: 22


自动扩展应对攻击

ELB

users

security group

DMZ

public subnet

Amazon

Route 53

CloudFront

Edge Location

security group

web app

server

Frontend server

private subnet

DDoS


保护暴露的资源

• OWASP Top 10

• 限速机制

• 白名单/ 黑名单

• 自扩展的WAF层

• 学习引擎

Web Application Firewall 检测并过滤应用层流量HTTP & HTTPS


定制AWS WAF规则

即用型保护

SQLi

XSS

第三方黑名单列表 HTTP泛洪保护

定制的保护

灵活的规则引擎大小约束规则，正文检查，

字符串匹配 100K入口黑名单 ~1分钟更新时间

以Lambda为基础的保护开源GitHub存储库

预配置的规则和教程https://aws.amazon.com/waf/preconfiguredrules/


对服务正常的行为模式了如指掌

• CPU utilization

• Data transfer

• Disk utilization

• Requests / failures (400s)

• Connections

• Duration of connections

Create Alarms


AWS Shield Standard


AWS内置DDoS保护

防止最常见的基础架构攻击

SYN / ACK泛洪，UDP泛洪，

反射攻击等

无需额外费用

DDoS缓解

DDoS攻击

正常用户


AWS Shield Advanced托管的DDoS防护


24x7 DDoS响应团队

受到攻击前

主动咨询和最佳实践指导

受到攻击时

攻击缓解

受到攻击后

详细分析报告


DRT团队参与

CloudFrontDDoS

attack

Users

BlackWatch

DDoS

mitigation

API

GatewayRoute 53

边缘站点

AWS WAF

DDoS

Response

Team

Int

内部工具


攻击通知和报告

攻击监控和检测

• 通过Amazon CloudWatch实时通知攻击

• 针对攻击取证的近实时指标和数据包捕获

• 历史攻击报告


DDoS 费用保护

AWS承担因为DDoS攻击产生的扩展成本

• Amazon CloudFront

• Elastic Load Balancer

• Application Load Balancer

• Amazon Route 53


AWS Shield Advanced

始终在线监控和检测

先进的L3/4和L7 DDoS保护

攻击通知和报告全天候访问DDoS响应小组

AWS账单保护


针对自定义TCP和UDP的DDoS缓解


常见的游戏服务的攻击点

后台服务

• 用户认证

• 会话发现

• 匹配系统

• 排行榜

• 队伍

• 文字 & 语音聊天

• 内容分发

游戏服

• 游戏服务器

• 实时游戏会话

• 游戏代理服务器


普通玩家游戏客户端

玩家数据访问

配对和会话发现

连接到游戏服务器

会话请求

请求操作 - 登录，游戏会话，配对等

游戏会话结果和玩家技能更新

玩家数据库后台服务服务器

数据中心

会话存储会话发现/

管理服务器

游戏服

攻击者被控制的设备

攻击者被控制的设备

会话数据访问

常见的游戏服务的攻击点


游戏服务器的攻击类型统计

资料来源：http://gad.qq.com/article/detail/41670

针对游戏服，更难发起应用层（7层）攻击

http://gad.qq.com/article/detail/41670


AWS对于EIP提供纯TCP服务，防护能力如下

• 免费的UDP泛洪和反射攻击防护，以及ICMP泛洪

• 单机提供很高的小包吞吐能力吸收SYN泛洪，ACK泛洪

• 使用Network Load Balancer可以有更强的防护能力，保护后端服务


纯TCP协议的Game Server

• 正确设置安全组及VPC Network ACLs，禁用UDP/ICMP以及用不到的TCP端口

• SYN Flood防护，只需正确设置SYN Cookie

• Amazon Linux 1 & 2 默认打开SYN Cookie，其他 Linux 可以手动打开

• AWS Shield Advanced能够提供SYN限速的功能

• 使用NLB可以帮助支撑更多的SYN Flood流量，更大的吞吐和包处理能力

net.ipv4.tcp_fin_timeout = 30

net.ipv4.tcp_keepalive_time = 600

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_tw_recycle = 1


AWS Shield Advanced提供弹性IP级别的保护

• 在关联到面向 Internet 的 EC2 实例或 NLB 的 AWS 弹性 IP 地址上启用 AWS

Shield Advanced

• 弗吉尼亚北部、俄勒冈、俄亥俄、加利福尼亚北部、爱尔兰、法兰克福、东京和悉尼

• 指定端口，针对来源IP进行限流


客户构建的云原生解决方案


Amazon API

Gateway游戏客户端

客户端连接到专用游戏服务器独立的游戏服务器

AWS

LambdaAmazon

DynamoDB

会话管理操作

AWS Cloud

AWS

Lambda

请求持久化

会话请求

Amazon

Route 53 –

GeoDNS

Routing

Amazon

CloudFront

AWS WAFAWS Shield

弹性 IP

自动WAF解决方案

VPC

Flow

Logs

访问日志 AWS

Lambda

VPC

公有子网

VPC

流量日志

更新规则


Amazon API

GatewayGame Clients

客户端连接到专用游戏服务器独立的游戏服务器

AWS

LambdaAmazon

DynamoDB

会话管理操作

AWS Cloud

AWS

Lambda

请求持久化

会话请求

Amazon

Route 53 –

GeoDNS

Routing

Amazon

CloudFront

AWS WAFAWS Shield

弹性 IP

自动化安全组解决方案

VPC

Flow

Logs

访问日志

AWS

Lambda

修改安全组/ACL

VPC

公有子网

VPC

流量日志安全组规则

/NACLs

修改安全组/ACL


弹性 IP

(9.10.11.12)

游戏客户端

独立的游戏服务器Game

Server

AWS Cloud

弹性 IP

(5.6.7.8)

独立的游戏服务器

弹性 IP

(1.2.3.4)

独立的游戏服务器

游戏客户端

攻击者弹性 IP

(1.2.3.4)

VPC

AWS

Lambda

VPC

流量日志

Amazon

CloudWatch

AWS Shield

蜜罐保护


Game Clients

Dedicated

Game Server

(5.6.7.8)

AWS Cloud

Region A

Dedicated

Game Server

(9.10.11.12)Game Clients

AttackerDedicated

Game Server

(1.2.3.4)

Amazon

GameLift

Fleet

Amazon GameLift将尝试放置会话，直到服务器已满或无响应

一旦Amazon GameLift检测到Fleet中的会话数量较少，它将添加另一个实例。

Game Lift的解决方案


GDPR


GDPR 保护个人信息


AWS 提供什么

§§§

§

海量的工具和服务

合规框架

合作伙伴网络

数据保护合同

https://aws.amazon.com/compliance/gdpr-center/

https://aws.amazon.com/compliance/gdpr-center/


所有AWS服务现在都已GDPR就绪

Today, I’m very pleased to announce

that AWS services comply with the

General Data Protection Regulation (GDPR).

This means that, in addition to benefiting

from all of the measures that AWS already

takes to maintain services security,

customers can deploy AWS services

as a key part of their GDPR compliance

plans.

by Chad Woolf on 26 MAR 2018https://amazonaws-china.com/cn/blogs/security/all-aws-services-gdpr-ready/

https://amazonaws-china.com/cn/blogs/security/all-aws-services-gdpr-ready/


达到您的安全目标

AWS 基础服务

AWS 全球基础设施

您自己的认证评估

您自己的相关认证

您的外部审计

减少了您的工作量

更专注，获得更好的结果

建立在AWS高度一致的基础控制之上

GDPR

行为规范

客户


AWS Partner Network (APN)与GDPR


谢谢！


我们希望您喜欢今天的内容！也请帮助我们完成反馈问卷。

欲获取关于 AWS 的更多信息和技术内容，可以通过以下方式找到我们：

微信公众号：AWSChina

新浪微博：https://www.weibo.com/amazonaws/

领英：https://www.linkedin.com/company/aws-china/

知乎：https://www.zhihu.com/org/aws-54/activities/

视频中心：http://aws.amazon.bokecc.com/

更多线上技术活动：https://aws.amazon.com/cn/about-aws/events/webinar/

感谢参加 AWS 在线研讨会

Angry Birds 等游戏 DDoS 防护和安全策略的云上最 … › sides-share › AWS...company...

Documents

Transcript of Angry Birds 等游戏 DDoS 防护和安全策略的云上最 … › sides-share › AWS...company...

Angry Birds 等游戏 DDoS 防 护和安全策略的云上最 … › sides-share › AWS...company...

Documents

Transcript of Angry Birds 等游戏 DDoS 防 护和安全策略的云上最 … › sides-share › AWS...company...

Angry Birds 等游戏 DDoS 防护和安全策略的云上最 … › sides-share › AWS...company...

Transcript of Angry Birds 等游戏 DDoS 防护和安全策略的云上最 … › sides-share › AWS...company...