游戏行业高速发展,网络安全风险加剧。全球红利下,地下黑色产业链迅速扩张。DDoS 攻击这一游戏行业的头号敌人外,应用层的攻击种类、方式也日渐复杂,直追 DDoS 威胁程度。
如撞库攻击、账户接管、API login、爬虫等攻击,成本低廉、效果明显,正是黑色产业期望的攻击模式。基于行业风险,本篇案例分享中,我们将介绍 Akamai 如何利用 WAP BMP SDK 一体化服务,化解安全隐患,尤其是手游的应用层攻击问题。
应用层危机!攻击类别难辨!
案例主角是某知名游戏公司。该公司跨足游戏及新媒体产业,有着近10年的游戏行业经验。旗下代理的爆款游戏产品,先后荣膺头部游戏平台优选推荐,在玩家群体中享有盛誉。
正当该公司的业务蒸蒸日上时,网络攻击随之而来。临近游戏发布前期,登录响应慢,甚至久登不上、掉线等情况时有发生。出于技术限制,运维团队只能通过网络层的抓包进行分析,发现了异常的 API login 请求,但很难分辨出非法请求、攻击类型,并及时阻断。
基于此前的运维困境,该公司曾寻求过多家安全厂家协助防护,但效果甚微。Akamai 得知情况后,经专业技术分析,排除了 DDoS 攻击,认为需要从应用层安全出发,来分析是否为利用机器爬虫的进行的 API login 攻击,或撞库攻击。紧接着,我们为客户紧急上线了 WAP (Web应用安全类产品) 和 BMP (Bot管理产品),来实时洞见全链路攻击威胁,并及时阻截。
游戏应用层攻击全解析
谈及游戏应用层攻击,Bot 攻击和 API 滥用可谓是一对孪生兄弟。Bot 作为一种自动化的恶意软件,可经过互联网对目标站点远程攻击;而起到资源互联器作用、且已被捕获和监控的API,亦可助推黑客自动化批量获取数据,由于很少携带人类行为痕迹,隐蔽性极高。
这对孪生兄弟联手“使坏”,衍生出了通过 Web API login 凭证滥用对游戏网站登录服务器进行攻击的方式。这也正是该公司所面临的攻击威胁。通常,攻击者会去分析游戏客户端和 API 端点服务器间的流量和数据,从而获取 API 传递的数据内容的字段和数值,以备下一步攻击。攻击可以通过直接构造报文的方法,进行重放攻击,或修改部分数值进行欺诈。
在游戏业务中,普遍常见的 API 端点,即用于注册登录、验证等操作的 login 服务器。而攻击者往往通过进行游戏 ID 伪造,恶意注册大量小号、测试账号发起恶意活动,或撞库攻击,以实现账户接管。此外,黑客利用模拟器工具、Bot 脚本,还可以发动自动化程度更高的攻击。例如,NoxPlayer, BlueStacks 等安卓模拟器可在电脑端进行游戏操作,也为恶意程序和脚本提供了一条“捷径”。
防护策略三步走
● WAP BMP,守护浏览器登录
针对支持浏览器模式或基于 iOS 或安卓内核浏览器 Webview 访问请求,Akamai WAP & BMP 解决方案可进行有效防护。鉴于 Bot 攻击体量小,API 请求类型合法化,普通 WAF 模式难于防护,用 BMP 爬虫行为检测功能可以轻松识别。
浏览器登录模式防护
该公司此前使用过多家安全公司产品,防护效果欠佳。相比之下,Akamai WAP & BMP 配合使用,可实现高度自动的浏览器登录模式防护机制。防护原理表现为,通过 Akamai 智能边缘平台插码实现,客户端执行 JS 代码收集行为数据,并打分反馈给 BMP 平台,随后利用 AI 算法智能评估,甄别潜藏的异常请求。监测指标包含有 IP 地址分布,爬取速度、内容、时段等。锁定攻击后,Akamai 将及时阻断。
● BMP SDK,延伸防护至原生APP
为防范恶意模拟工具滥用,进一步防护移动端原生 APP (非浏览器架构)类型,该游戏公司解决自身原始安全问题后,继而采用了 Akamai 加持手机端安全的 SDK 功能,布局更立体的安全防护屏障。
原生 APP 防护
具体防护中,我们将爬虫检测传感器植入 APP 来实时收集手机端用户行为,判别爬虫攻击与正常用户访问。至此,基于对恶意攻击的行为检测,Akamai 帮助该建立了一整套从 PC 端到浏览器端,再到手机端的全方位防护体系。
● 关注威胁动态,升级防护体系
当下,针对爬虫、API安全的攻击方式持续演进。爬虫攻击从撞库和恶意登录,发展至恶意注册大量小账号、测试账号攫取利益(如薅羊毛、刷排名等),以及账户接管盗取用户信息等;而 API 攻击,更是从对登录服务器攻击,发展到操纵数值,攻击服务器,严重破坏游戏的公平性。
应对复杂难控的攻击威胁,我们持续升级 BMP 策略以及 Bot 检测和防护算法;而针对账户接管攻击,Akamai 可使用 Account Protector 技术服务,识别欺诈行为,避免信任受损。而在 Web 应用整体的防护体系中,我们将遵从 WAAP 防护体系架构,从 Web 应用 API、Bot 和 DDoS 层面有针对性地防护。
小贴士:Akamai 安全参考框架建议
守护玩家体验 布局多层防护
1 基于最佳实践,梳理服务器类别,如登录服务器、游戏服务器、统计服务器、交易服务器等;
2 查探数据流和协议,梳理游戏流程、相关协议,定位威胁来源和脆弱点。如隐藏 API 访问玩家多重资源,或反向 DNS 解析游戏服务器地址段等;
3 利用可视化工具,洞见异常流量,利用 BMP 及时预见潜在爬虫等威胁
4 使用 Akamai 多层安全解决方案,为不同游戏模块提供专项安全防护。
共构安全、公平的美好游戏环境,全方位守护全球玩家体验。Akamai 将充分发挥 WAP BMP SDK 的一体化防护服务优势,携手游戏行业客户与合作伙伴,体系化加固安全防护,让玩家尽享沉浸、美好的游戏体验。
,