Microsoft Azure：為什么游戲行業(yè)一直是DDoS 攻擊的重災區(qū)

中國的游戲市場已經進入繁榮發(fā)展期。不管是網游、頁游、端游，還是手游，尤其是手游得到爆發(fā)式增長。伴隨游戲行業(yè)的快速發(fā)展，隨之而來的難題就是DDoS攻擊也越來越頻繁。

游戲行業(yè)DDoS攻擊的主要原因是因為游戲產品生命周期偏短，而DDoS供給成本又不高，只要發(fā)起攻擊，企業(yè)為確保游戲穩(wěn)定運營而不得不快速做出讓步，致使敲詐勒索的成功率相對更高。在遭受DDoS攻擊后，游戲公司的日損失甚至多達數百萬元。

我們知道，游戲廠商是這一輪中國互聯網內容出海的主力部隊，而海外市場將面臨更復雜的競爭環(huán)境，遭受DDoS的幾率會更高。所以，選擇安全能力更強的云服務商，就成為了一個關鍵。

出海熱潮與安全困惑

2020年，是新冠疫情這只“黑天鵝”不斷產生蝴蝶效應的一年，也讓不確定因素倍增。在這個由諸多不確定因素聚集而成的時代，卻有一個確定的增長因素，就是互聯網的成長。

全球性疫情蔓延之后，各國家和地區(qū)居家隔離的政策，推動了移動互聯網的用戶活躍度攀升，網絡游戲、電子商務、在線直播等應用占領了流量山峰，不斷創(chuàng)造新的商業(yè)機會。作為全球互聯網應用的熱點區(qū)域，中國有許多優(yōu)秀的互聯網企業(yè)，通過出海布局去尋找新的增長點。

客觀地說，出海也是現階段，中國互聯網逆勢增長的一個必然選擇，隨著國內的互聯網用戶的飽和，流量紅利觸頂，海外市場成為了新的藍海。將國內成功的模式向海外復制，這顯然是一條最為快捷的成功路線。

我們可以將中國互聯網出海劃分為不同階段，現階段是以內容出海為代表，諸如網絡游戲和短視頻等泛娛樂出海，其中游戲出海已經成為了互聯網企業(yè)出海的“領頭羊”，研究報告顯示2019年中國游戲海外市場收入111.9億美元，增長16.7%，中國自主研發(fā)的移動游戲在美、日、韓、英、德等國家的流水同比增長率均高于該國家移動市場的增速，國產移動游戲在海外市場已經建立起一定優(yōu)勢。

市場規(guī)模的不斷擴大，以游戲公司為代表的互聯網出海企業(yè)，也成為了黑客攻擊的首選目標，而最為普遍的就是DDoS攻擊。

從近些年的趨勢看，DDoS攻擊的趨勢正變得越來越猛烈。微軟安全情報（Microsoft Security Intelligence）的報告顯示，DDoS攻擊不僅攻擊頻次逐年增加，攻擊手段和途徑越來越多樣化，攻擊流量也連年屢創(chuàng)新高。例如，Github曾遭受過最高1.8Tbps的流量攻擊，同樣微軟Azure也遭受到最高1.2Tbps的攻擊。目前常見DDoS攻擊的目的通常有兩種：一是行業(yè)惡意競爭；另外一個就是進行財務勒索。比如最令游戲發(fā)行商厭惡的就是一個名為ACCN的DDoS攻擊組織。

實際上，游戲行業(yè)確實是DDoS攻擊的重災區(qū)，一方面由于DDoS攻擊非常簡單粗暴，多以攻擊量取勝，另一方面則是防御成本遠遠高于攻擊成本，這讓很多出海的游戲企業(yè)很難抵御。微軟游戲出海深度技術架構白皮中寫道：對于一個游戲來說，可能無需Tbps級別攻擊，幾十或者幾百Gbps的攻擊將會造成游戲服務器無法及時接收和處理客戶端數據，導致玩家的游戲出現畫面卡頓、高延遲甚至掉線。這些不僅嚴重影響玩家體驗和留存，也會給游戲發(fā)行商造成巨大的經濟損失。

對抗DDoS攻擊Azure的技術和能力久經考驗

事實上，游戲出海遭受到DDoS攻擊已經是一種常態(tài)。

2019年，某國內著名游戲產品登陸東南亞，上線僅三個小時就陸續(xù)有泰國和印度尼西亞等地用戶反映無法連接游戲，罪魁禍首便是黑客出于敲詐勒索目的的DDoS攻擊。廠商最后不得不通過發(fā)放游戲道具對玩家進行補償，運營成本驟增，損失慘重。

而基于Azure全球部署的另一款知名游戲同樣遭遇了類似的狀況，該游戲在2019年上線后連續(xù)受到15次大帶寬DDoS攻擊，攻擊流量達到PB級別。但因為其采用了Azure DDoS防護，并申請了DDoS快速響應服務（DRR），不但在DDoS攻擊期間游戲正常運行不受影響，同時運維部門還能實時監(jiān)控攻擊和緩解情況，在攻擊結束后通過緩解報表對攻擊情況進行溯源和分析，為后續(xù)安全策略的制訂提供了寶貴的參考依據。

我們看到這兩個同樣遭受DDoS攻擊的案例，之所以獲得了不用的結果，唯一差異點就在于是否才采用了Azure提供的DDoS防護和服務。

研究發(fā)現，DDoS攻擊通常分為三類，包括容量耗盡攻擊、協議攻擊和資源層攻擊。容量耗盡攻擊借助大量看似合法的流量涌入網絡層對目標進行攻擊，它包括UDP洪水、放大洪水以及其他欺騙性數據包洪水；協議攻擊是利用第3層和第4層協議堆棧中的漏洞，使目標無法訪問，它包括SYN洪水攻擊、反射攻擊和其它協議攻擊；資源（應用程序）層攻擊主要包括HTTP協議沖突、SQL注入、跨站點腳本等7層攻擊。

針對這些DDoS攻擊，Azure DDoS Protection有兩個選項：基本和標準服務。首先，基本服務默認開啟、免費，用于針對Azure基礎架構發(fā)起的大規(guī)模DDoS攻擊防御，而不是用于保護具體某個客戶應用。標準服務則用于保護客戶的具體應用，例如游戲DDoS防護就需要通過標準服務來實現。

客觀地說，微軟Azure的DDoS防護絕對是全球公有云體系當中的佼佼者。在各項Azure DDoS防護與業(yè)內同類服務對比的測試中，Azure DDoS防護的黑洞策略、監(jiān)控和報告、產品架構等技術特性均優(yōu)于同業(yè)的公有云廠商。

首先，是大規(guī)模和廣覆蓋優(yōu)勢。Azure在全球有60多個區(qū)域上百個數據中心，超過13萬英里的全球網絡。Azure DDoS Protection可以利用全球覆蓋的基礎設施分布式應對大規(guī)模DDoS攻擊。例如，客戶的游戲部署在新加坡數據中心，Azure DDoS防護在新加坡數據中心內直接進行流量清洗，不會產生額外的網絡跳轉，游戲網絡延遲也不會有任何影響，DDoS防護的延遲幾乎達到0毫秒。

其次，Azure自身就有豐富的對抗DDoS攻擊的防御能力，目前Azure DDoS防護的全球防御帶寬容量超過45 Tbps。所有微軟的線上服務，包括：Azure、Microsoft 365和Xbox的多款全球知名游戲都通過Azure DDoS Protection進行了防護。換言之，這是經歷過眾多考驗，驗證過的能力。

第三，微軟有長期持續(xù)的研發(fā)投入，也一直致力于數字安全，每年在數據安全領域的研發(fā)投入超過10億美元和3500多名安全專家。微軟反數據犯罪部門（DCU）今年3月份通過和35個國家的合作伙伴一起努力，成功摧毀了全球最大、破壞最嚴重、最忙碌的僵尸網絡之一Necurs。所以，Azure的安全性是經過不斷的更新和迭代的，更值得企業(yè)客戶信賴。

Azure正建立起全面的安全感

除了DDoS防護之外，出海企業(yè)面臨的安全困境其實還有很多。

第一，全球不斷發(fā)展變化的法律監(jiān)管環(huán)境，特別是關于個人數據保護的要求，為出海企業(yè)的產品和服務安全合規(guī)的在海外落地，提出了一個難題。以歐盟《通用數據保護條例》(GDPR)為例，它對歐盟乃至全球的個人數據保護和數字經濟的發(fā)展產生了深遠的影響，各大互聯網公司也頻頻在GDPR上遭遇巨額罰單。

第二，將業(yè)務向海外拓展，也可能會觸碰到知識產權保護的“暗礁”，畢竟。稍有不慎，就有可能卷入訴訟，影響了業(yè)務在當地快速落地的進度。

針對這些潛在的安全風險，Azure其實都可以幫助出海企業(yè)進行規(guī)避。

首先，在合規(guī)安全方面，微軟擁有業(yè)內最多的合規(guī)證書，包含全球的、美國的、其他地區(qū)的，還有針對各行業(yè)的，這是微軟獨有的優(yōu)勢。合規(guī)的區(qū)域越多，意味著快速安全落地的出海區(qū)域就越多，而Azure可以提供近90項安全合規(guī)認證。

其次，微軟還有“Azure知識產權保護計劃（AIPA）”，提供1萬項微軟專利幫助客戶抵御專利訴訟，保護Azure用戶的創(chuàng)新之路更加平坦。這個巨大專利庫可以為Azure用戶提供一個“專利保護傘”，當用戶在Azure中運行的工作負載遭遇知識產權訴訟時，用戶可以向微軟請求轉讓相關專利權，以專利權人的身份進行辯護或者反訴，從而有效地保護自身利益。

另外，對于這幾年興起的區(qū)塊鏈技術，其實也引發(fā)了企業(yè)對區(qū)塊鏈安全的擔憂。Azure所提供的區(qū)塊鏈服務是一項完全托管的服務，能夠簡化聯盟鏈區(qū)塊鏈網絡的形成、管理和治理，從而讓企業(yè)集中精力進行工作流邏輯和應用程序開發(fā)，完全不用擔心安全的問題。

總體而言，中國互聯網企業(yè)出海，必然是一條摸著石頭過河的探索之路，但過于謹慎又容易喪失轉瞬即逝的海外商機，所以選擇擁有全面安全感的微軟Azure，共同走向海外，這本是就是一條捷徑。