Microsoft Azure：為什么游戲行業(yè)一直是DDoS 攻擊的重災(zāi)區(qū)

中國的游戲市場已經(jīng)進(jìn)入繁榮發(fā)展期。不管是網(wǎng)游、頁游、端游，還是手游，尤其是手游得到爆發(fā)式增長。伴隨游戲行業(yè)的快速發(fā)展，隨之而來的難題就是DDoS攻擊也越來越頻繁。

游戲行業(yè)DDoS攻擊的主要原因是因為游戲產(chǎn)品生命周期偏短，而DDoS供給成本又不高，只要發(fā)起攻擊，企業(yè)為確保游戲穩(wěn)定運(yùn)營而不得不快速做出讓步，致使敲詐勒索的成功率相對更高。在遭受DDoS攻擊后，游戲公司的日損失甚至多達(dá)數(shù)百萬元。

我們知道，游戲廠商是這一輪中國互聯(lián)網(wǎng)內(nèi)容出海的主力部隊，而海外市場將面臨更復(fù)雜的競爭環(huán)境，遭受DDoS的幾率會更高。所以，選擇安全能力更強(qiáng)的云服務(wù)商，就成為了一個關(guān)鍵。

出海熱潮與安全困惑

2020年，是新冠疫情這只“黑天鵝”不斷產(chǎn)生蝴蝶效應(yīng)的一年，也讓不確定因素倍增。在這個由諸多不確定因素聚集而成的時代，卻有一個確定的增長因素，就是互聯(lián)網(wǎng)的成長。

全球性疫情蔓延之后，各國家和地區(qū)居家隔離的政策，推動了移動互聯(lián)網(wǎng)的用戶活躍度攀升，網(wǎng)絡(luò)游戲、電子商務(wù)、在線直播等應(yīng)用占領(lǐng)了流量山峰，不斷創(chuàng)造新的商業(yè)機(jī)會。作為全球互聯(lián)網(wǎng)應(yīng)用的熱點(diǎn)區(qū)域，中國有許多優(yōu)秀的互聯(lián)網(wǎng)企業(yè)，通過出海布局去尋找新的增長點(diǎn)。

客觀地說，出海也是現(xiàn)階段，中國互聯(lián)網(wǎng)逆勢增長的一個必然選擇，隨著國內(nèi)的互聯(lián)網(wǎng)用戶的飽和，流量紅利觸頂，海外市場成為了新的藍(lán)海。將國內(nèi)成功的模式向海外復(fù)制，這顯然是一條最為快捷的成功路線。

我們可以將中國互聯(lián)網(wǎng)出海劃分為不同階段，現(xiàn)階段是以內(nèi)容出海為代表，諸如網(wǎng)絡(luò)游戲和短視頻等泛娛樂出海，其中游戲出海已經(jīng)成為了互聯(lián)網(wǎng)企業(yè)出海的“領(lǐng)頭羊”，研究報告顯示2019年中國游戲海外市場收入111.9億美元，增長16.7%，中國自主研發(fā)的移動游戲在美、日、韓、英、德等國家的流水同比增長率均高于該國家移動市場的增速，國產(chǎn)移動游戲在海外市場已經(jīng)建立起一定優(yōu)勢。

市場規(guī)模的不斷擴(kuò)大，以游戲公司為代表的互聯(lián)網(wǎng)出海企業(yè)，也成為了黑客攻擊的首選目標(biāo)，而最為普遍的就是DDoS攻擊。

從近些年的趨勢看，DDoS攻擊的趨勢正變得越來越猛烈。微軟安全情報（Microsoft Security Intelligence）的報告顯示，DDoS攻擊不僅攻擊頻次逐年增加，攻擊手段和途徑越來越多樣化，攻擊流量也連年屢創(chuàng)新高。例如，Github曾遭受過最高1.8Tbps的流量攻擊，同樣微軟Azure也遭受到最高1.2Tbps的攻擊。目前常見DDoS攻擊的目的通常有兩種：一是行業(yè)惡意競爭；另外一個就是進(jìn)行財務(wù)勒索。比如最令游戲發(fā)行商厭惡的就是一個名為ACCN的DDoS攻擊組織。

實(shí)際上，游戲行業(yè)確實(shí)是DDoS攻擊的重災(zāi)區(qū)，一方面由于DDoS攻擊非常簡單粗暴，多以攻擊量取勝，另一方面則是防御成本遠(yuǎn)遠(yuǎn)高于攻擊成本，這讓很多出海的游戲企業(yè)很難抵御。微軟游戲出海深度技術(shù)架構(gòu)白皮中寫道：對于一個游戲來說，可能無需Tbps級別攻擊，幾十或者幾百Gbps的攻擊將會造成游戲服務(wù)器無法及時接收和處理客戶端數(shù)據(jù)，導(dǎo)致玩家的游戲出現(xiàn)畫面卡頓、高延遲甚至掉線。這些不僅嚴(yán)重影響玩家體驗和留存，也會給游戲發(fā)行商造成巨大的經(jīng)濟(jì)損失。

對抗DDoS攻擊Azure的技術(shù)和能力久經(jīng)考驗

事實(shí)上，游戲出海遭受到DDoS攻擊已經(jīng)是一種常態(tài)。

2019年，某國內(nèi)著名游戲產(chǎn)品登陸東南亞，上線僅三個小時就陸續(xù)有泰國和印度尼西亞等地用戶反映無法連接游戲，罪魁禍?zhǔn)妆闶呛诳统鲇谇迷p勒索目的的DDoS攻擊。廠商最后不得不通過發(fā)放游戲道具對玩家進(jìn)行補(bǔ)償，運(yùn)營成本驟增，損失慘重。

而基于Azure全球部署的另一款知名游戲同樣遭遇了類似的狀況，該游戲在2019年上線后連續(xù)受到15次大帶寬DDoS攻擊，攻擊流量達(dá)到PB級別。但因為其采用了Azure DDoS防護(hù)，并申請了DDoS快速響應(yīng)服務(wù)（DRR），不但在DDoS攻擊期間游戲正常運(yùn)行不受影響，同時運(yùn)維部門還能實(shí)時監(jiān)控攻擊和緩解情況，在攻擊結(jié)束后通過緩解報表對攻擊情況進(jìn)行溯源和分析，為后續(xù)安全策略的制訂提供了寶貴的參考依據(jù)。

我們看到這兩個同樣遭受DDoS攻擊的案例，之所以獲得了不用的結(jié)果，唯一差異點(diǎn)就在于是否才采用了Azure提供的DDoS防護(hù)和服務(wù)。

研究發(fā)現(xiàn)，DDoS攻擊通常分為三類，包括容量耗盡攻擊、協(xié)議攻擊和資源層攻擊。容量耗盡攻擊借助大量看似合法的流量涌入網(wǎng)絡(luò)層對目標(biāo)進(jìn)行攻擊，它包括UDP洪水、放大洪水以及其他欺騙性數(shù)據(jù)包洪水；協(xié)議攻擊是利用第3層和第4層協(xié)議堆棧中的漏洞，使目標(biāo)無法訪問，它包括SYN洪水攻擊、反射攻擊和其它協(xié)議攻擊；資源（應(yīng)用程序）層攻擊主要包括HTTP協(xié)議沖突、SQL注入、跨站點(diǎn)腳本等7層攻擊。

針對這些DDoS攻擊，Azure DDoS Protection有兩個選項：基本和標(biāo)準(zhǔn)服務(wù)。首先，基本服務(wù)默認(rèn)開啟、免費(fèi)，用于針對Azure基礎(chǔ)架構(gòu)發(fā)起的大規(guī)模DDoS攻擊防御，而不是用于保護(hù)具體某個客戶應(yīng)用。標(biāo)準(zhǔn)服務(wù)則用于保護(hù)客戶的具體應(yīng)用，例如游戲DDoS防護(hù)就需要通過標(biāo)準(zhǔn)服務(wù)來實(shí)現(xiàn)。

客觀地說，微軟Azure的DDoS防護(hù)絕對是全球公有云體系當(dāng)中的佼佼者。在各項Azure DDoS防護(hù)與業(yè)內(nèi)同類服務(wù)對比的測試中，Azure DDoS防護(hù)的黑洞策略、監(jiān)控和報告、產(chǎn)品架構(gòu)等技術(shù)特性均優(yōu)于同業(yè)的公有云廠商。

首先，是大規(guī)模和廣覆蓋優(yōu)勢。Azure在全球有60多個區(qū)域上百個數(shù)據(jù)中心，超過13萬英里的全球網(wǎng)絡(luò)。Azure DDoS Protection可以利用全球覆蓋的基礎(chǔ)設(shè)施分布式應(yīng)對大規(guī)模DDoS攻擊。例如，客戶的游戲部署在新加坡數(shù)據(jù)中心，Azure DDoS防護(hù)在新加坡數(shù)據(jù)中心內(nèi)直接進(jìn)行流量清洗，不會產(chǎn)生額外的網(wǎng)絡(luò)跳轉(zhuǎn)，游戲網(wǎng)絡(luò)延遲也不會有任何影響，DDoS防護(hù)的延遲幾乎達(dá)到0毫秒。

其次，Azure自身就有豐富的對抗DDoS攻擊的防御能力，目前Azure DDoS防護(hù)的全球防御帶寬容量超過45 Tbps。所有微軟的線上服務(wù)，包括：Azure、Microsoft 365和Xbox的多款全球知名游戲都通過Azure DDoS Protection進(jìn)行了防護(hù)。換言之，這是經(jīng)歷過眾多考驗，驗證過的能力。

第三，微軟有長期持續(xù)的研發(fā)投入，也一直致力于數(shù)字安全，每年在數(shù)據(jù)安全領(lǐng)域的研發(fā)投入超過10億美元和3500多名安全專家。微軟反數(shù)據(jù)犯罪部門（DCU）今年3月份通過和35個國家的合作伙伴一起努力，成功摧毀了全球最大、破壞最嚴(yán)重、最忙碌的僵尸網(wǎng)絡(luò)之一Necurs。所以，Azure的安全性是經(jīng)過不斷的更新和迭代的，更值得企業(yè)客戶信賴。

Azure正建立起全面的安全感

除了DDoS防護(hù)之外，出海企業(yè)面臨的安全困境其實(shí)還有很多。

第一，全球不斷發(fā)展變化的法律監(jiān)管環(huán)境，特別是關(guān)于個人數(shù)據(jù)保護(hù)的要求，為出海企業(yè)的產(chǎn)品和服務(wù)安全合規(guī)的在海外落地，提出了一個難題。以歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)為例，它對歐盟乃至全球的個人數(shù)據(jù)保護(hù)和數(shù)字經(jīng)濟(jì)的發(fā)展產(chǎn)生了深遠(yuǎn)的影響，各大互聯(lián)網(wǎng)公司也頻頻在GDPR上遭遇巨額罰單。

第二，將業(yè)務(wù)向海外拓展，也可能會觸碰到知識產(chǎn)權(quán)保護(hù)的“暗礁”，畢竟。稍有不慎，就有可能卷入訴訟，影響了業(yè)務(wù)在當(dāng)?shù)乜焖俾涞氐倪M(jìn)度。

針對這些潛在的安全風(fēng)險，Azure其實(shí)都可以幫助出海企業(yè)進(jìn)行規(guī)避。

首先，在合規(guī)安全方面，微軟擁有業(yè)內(nèi)最多的合規(guī)證書，包含全球的、美國的、其他地區(qū)的，還有針對各行業(yè)的，這是微軟獨(dú)有的優(yōu)勢。合規(guī)的區(qū)域越多，意味著快速安全落地的出海區(qū)域就越多，而Azure可以提供近90項安全合規(guī)認(rèn)證。

其次，微軟還有“Azure知識產(chǎn)權(quán)保護(hù)計劃（AIPA）”，提供1萬項微軟專利幫助客戶抵御專利訴訟，保護(hù)Azure用戶的創(chuàng)新之路更加平坦。這個巨大專利庫可以為Azure用戶提供一個“專利保護(hù)傘”，當(dāng)用戶在Azure中運(yùn)行的工作負(fù)載遭遇知識產(chǎn)權(quán)訴訟時，用戶可以向微軟請求轉(zhuǎn)讓相關(guān)專利權(quán)，以專利權(quán)人的身份進(jìn)行辯護(hù)或者反訴，從而有效地保護(hù)自身利益。

另外，對于這幾年興起的區(qū)塊鏈技術(shù)，其實(shí)也引發(fā)了企業(yè)對區(qū)塊鏈安全的擔(dān)憂。Azure所提供的區(qū)塊鏈服務(wù)是一項完全托管的服務(wù)，能夠簡化聯(lián)盟鏈區(qū)塊鏈網(wǎng)絡(luò)的形成、管理和治理，從而讓企業(yè)集中精力進(jìn)行工作流邏輯和應(yīng)用程序開發(fā)，完全不用擔(dān)心安全的問題。

總體而言，中國互聯(lián)網(wǎng)企業(yè)出海，必然是一條摸著石頭過河的探索之路，但過于謹(jǐn)慎又容易喪失轉(zhuǎn)瞬即逝的海外商機(jī)，所以選擇擁有全面安全感的微軟Azure，共同走向海外，這本是就是一條捷徑。