游戏反黑狙击战：与黑客赛跑的24小时

作者丨何思思

编辑丨张栋

如今，游戏已经成了人们茶余饭后的主要消遣方式之一。 

据了解，游戏深受95后青少年群体的青睐，究其原因，主要是其能带给了玩家极好的客户体验，但殊不知，其背后也有着不为人知的“痛楚”。那就是黑客的攻击，每款游戏在上线时几乎都会被黑客吊打个千翻百变。 而大多数游戏厂商在与黑客强强对话的过程中，由于敌我力量悬殊，不得不宣告灭亡。 

一切都在意料之中，8月19日，一款名为《半盏复古行》在开服首日，就遭遇了黑客的猛烈攻击。但与其他游戏命运不同的是，此款游戏的发行方——只玩科技凭借自身顽强的意志，以及和安全厂商的合作，亲手终结了黑客，最终顺利上线。 

黑客攻击势力强劲，急需“外挂” 

“上线即死亡”，似乎成了各大厂游戏厂商开服日的一大魔咒。 

《半盏复古行》是由北京十字星研发，广州只玩发行的一款剧情向合成手游，集古董收集，萌宠养成，剧情闯关等多种玩法于一体，通过合成消除解锁地块，探寻未知区域。

该款手游计划于8月19日10点正式开服，却因黑客的多轮攻击未能准时上线。 

图丨网友留言

众所诸知，各行各业都存在被黑客攻击的风险，在游戏行业亦是如此。据了解，黑客在选择攻击目标时也是有标准的，一是中小型游戏厂商，二是热度较高的游戏。

只玩科技联合创始人雨林（花名）表示，“在《半盏复古行》上线之前就在TapTap社区得到了15万的关注量。” 

通过雨林的此番表述，《半盏复古行》被黑客攻击的原因就不言而喻了。 

据雷锋网了解，《半盏复古行》在8月18日上线前，就有大量账号进行注册，经只玩科技团队进行检测发现黑客攻击行为并对恶意账号进行了屏蔽和删除。时间推移到19日，在做首发准备时，服务器资源配占比出现异常，团队工作人员通过对前端架构和服务器调整，抵御住了黑客多种方式的攻击，但是由于漏洞仍存在大流量的攻击，直至腾讯安全团队的加入，最终于20号凌晨两点，服务器逐渐恢复正常。游戏顺利上线。

被问及在游戏开服之前有没有相应预案时？

苏打谈到，“开服前，我们对常规攻击做了准备工作，包括异常案例分享、制作IP黑名单，登录限制及异常限制，在加大了服务器集群的同时，部署了一些空的服务器进行扩容以备不时之需。” 

据悉，《半盏复古行》上线首日，黑客使用80万个游客账号同时登陆，另还使用了几万个真实身份证、手机号账号开启多轮攻击。

“我们做了充分的准备，但完全低估了黑客的攻击手段，很难区别黑客准备的大量用户数据，除了正常攻击外，还间接攻击了数据库，以及整个技术框架内的每个环节。其中有一部分防住了，但防不住的那部分，就会导致整个服务器崩溃，”苏打如是说。

一般来说，游戏厂商为了带来更多的流量，吸引更多的玩家，在上线首日会通过各种渠道购买推荐位、广告位做一些品牌营销，据悉《半盏复古行》在开服前就在各渠道得到了不错的资源，包括华为首页推荐，OV和小米都给了Banner位和Icon。

雨林告诉雷锋网，“如果在上线首日遭到攻击，不仅会浪费大量的人力物力财力，还会带来极差的客户体验，对于后续游戏品牌的推广有很大的影响。 ”

与黑客交锋：惊心动魄的24小时

这次不是黑客终结了游戏，而是游戏终结了黑客。 

雨林坦言，“由于黑客攻击实力不断加强，只玩科技第一时间联系到了腾讯安全，腾讯安全10分钟发起了一个20人的团队来支持。 ”

腾讯云游戏行业高级架构师王睿表示，“在接到只玩科技的请求后，首先，跟对方沟通判断攻击类型，然后匹配相应的安全产品，比如WAF产品，再去找产品研发的同学，协助只玩过滤正常的玩家流量，去抓攻击流量，通过攻击流量的分析选定相应的安全产品，制定反黑策略。 ”

据了解，在腾讯安全的建议下，只玩科技将真实服务器IP收敛起来，同时取消业务的对外访问，全部通过负载均衡对外，资产均衡通过腾讯安全的WAF防火墙进行访问，外面部访问基本要通过防火墙做一个拦截，这在一定程度上就能抵御住黑客的攻击。 

众所周知，黑客的最终目的是获利。

近年来，在利益的驱使下，黑客逐渐呈现出集团化、专业化的发展态势，且攻击手段和技术也在不断的更新迭代，诸如DDoS攻击、敲诈勒索、偷取源代码等。

 

在腾讯安全产品研发总监董文辉看来，黑客攻击也需要考虑成本，对于低成本攻击，防起来相对容易，只需要用大量的流量进行清洗。但此次攻击，区别于传统攻击，黑客对这款游戏的用户及业务非常熟悉，采用了各种秒播IP和工具，所以这次黑客攻击的成本非常高，这就增大了反黑难度。 

通过此次反黑行动，董文辉总结出了一套方法论：

• 第一步：数据进来，识别真实的攻击流量； 

• 第二步：通过情报能力，做IP摸底，分析其行为特征；

• 第三步：制定策略，开启CC防护规则，进行机器人对抗。 

“从19号中午，一直到20号凌晨，在整个反黑过程中，我们每部署一个新策略，黑客就会更新一套新的攻击方式，我们反复地根据攻方式处理，进行了10多个攻防回合，最终在凌晨两点钟整个服务器趋于稳定，并且后期我们的攻防体系控制地愈来愈好，黑客的反击能力也逐渐减弱，游戏最终成功上线。”

雨林回忆道。 

反黑道路上，修炼内功是王道

“在与黑客对抗过程中，只睡了5分钟，团队的心态经历了紧张、崩溃和重建”，雨林说道。 

在反黑过程中，打倒黑客往往借助的是高超的技术，但对于反黑方来说，也是一场心理的博弈。

雨林强调说，“由此至终，没有考虑过向黑客投降、缴纳勒索金。此次事件也为我们敲响了安全的警钟，如果自己的安全防护体系没有建立起来，依然会有另外的组织或者竞争对手可乘之机，不管怎么样，还是要以修炼内功为主。” 

对于游戏开放商而言，游戏上线固然重要，但更重要的是，前期要提高对安全防护体系的重视。做好事前、事中、事后三个环节的工作部署。

• 事前，遵循防御性编码的规则以及安全部署规范，进行安全防护的演练，比如DDoS攻击或者应用层攻击的演练，以及QA的验证测试；

• 事中，攻击发生时，要切断攻击源，尽快恢复业务；

• 事后，要对整个攻击事件复盘，找到其中的漏洞。 

例如，很多游戏厂商在没有受到攻击时也会做一些像混沌工程，类似于自己攻击自己，通过这样的方式发现安全防护体系的漏洞，然后进行补全，也是很必要的。

在董文辉建看来，有利益的地方，就有黑客的存在。黑客的动机是多元化的，安全攻防也没有一招制敌的法宝，各大游戏厂商要随着黑客的攻击手段不断演进自己的防御体系。 

访谈最后，雨林表示，“此次攻击让我们深刻认识到了自身在安全知识，防护体系等方面的不足，未来，公司将加大安全产品方面的投入，并希望与诸如腾讯安全这样的伙伴共同合作，筑起安全防护这道围墙。”（雷锋网(公众号：雷锋网) 雷锋网）

雷锋网原创文章，未经授权禁止转载。详情见转载须知。