游戏黑产阻击战:《半盏复古行》惊魂24小时
21世纪经济报道
2021-09-17

如果一款游戏,在上线第一天突然涌入远超预期的用户量,那有两种可能,一是游戏成为了爆款,第二则是遭遇了黑客攻击。

不幸的是,在现实当中,爆款产品并不常见,而黑客攻击却频频出现。就目的而言,黑客攻击游戏产品都是受利益驱动,有的是同行竞争,有的是敲诈勒索,还有的是偷游戏代码进而通过售卖外挂或倒刷游戏货币获利,除此之外,还有极少数是纯粹为了个人炫技。

但无论出于哪种目的,黑客行为都会对游戏产品带来一定的损失,轻则是投入更多的防护成本,重则游戏崩溃、用户流失。8月中旬,广州只玩科技有限公司独家代理的模拟经营类游戏《半盏复古行》在上线当天,便遇到黑客攻击,服务器一度崩溃。

后来,只玩科技不得不求助腾讯安全团队,双方合力与黑客展开了多回合的攻防博弈。最终,黑客虽然被击退,但只玩科技也损失惨重,期间的惊魂24小时,给只玩科技上了沉重的一课。

80万账号涌入

8月19日上午10时,是《半盏复古行》计划上线时间,但是8月18日晚上,一些异常现象便开始出现。

只玩科技联合创始人雨林(花名)告诉21世纪经济报道记者,8月18日《半盏复古行》虽然没有开放下载,但用户可以注册账号,就在这个阶段,注册账号的数量已经远远超出预期。

不过,由于服务器尚未开放,所以大量的注册账号并没有对产品造成实质性的影响,但是到了8月19日上午7时左右,只玩科技启动服务器,为三小时后的游戏上线做准备时,发现服务器资源占比极不正常,很多服务器的占用率甚至高达100%。

面对这样的情况,只玩科技的技术团队通过对前端架构以及服务器设置进行调整,抵御了一些攻击,但是,黑客总能找到服务器上的一些新漏洞,并用巨大的流量持续发起攻击。

雨林表示,随着开服时间的临近,整个团队的心态都极为复杂和紧张,技术团队一直在排查问题并进行封堵,“每一次封堵完我们都觉得是不是好了,但结果发现仍然不行”。

只玩科技技术合伙人苏打(花名)表示,这次面对的黑客攻击,最棘手的问题就是CC攻击较多。据悉,CC(Challenge Collapsar)攻击是DDoS攻击的一种类型,它会使用代理服务器向受害服务器发送大量貌似合法的请求。这意味着,黑客是模拟很多正常的用户去登录《半盏复古行》服务器,并且会有选择地去攻击一些平时很少访问的接口。

不仅如此,在防御过程中,只玩科技的技术团队还发现了非常多真实的身份证、真实的IP信息以及真实的电话号码,而对于这些拥有真实信息的账号,只玩科技很难进行识别。

《半盏复古行》在上线之前,收获了约15万的关注量,在游戏发行平台taptap上的热度也很高。为了保证开服顺利,只玩科技其实也多备了一些服务器资源,以应对突发状况。

但是在8月19日当天,涌入服务器的游客账号高达80万个,另外还有大几万个拥有真实身份证及手机号的账号。如此大的攻击流量,让只玩科技有些手足无措,到了开服时间,攻击依然持续。

“这个时候,我们也经历了心理的崩溃和重建。”雨林说,既然无法按时开服已成事实,那最重要的事情就是全力以赴解决攻击问题。可随着时间的推移,距离计划的开服时间已经过去五个小时,攻击行为仍然没有减弱的趋势。

联手腾讯安全阻击黑客

面对持续不断的攻击,只玩科技不得不去求助外部力量。因为和腾讯云有合作关系,所以只玩科技首先想到的求助对象就是腾讯。

据悉,腾讯安全在8月19日下午接到需求后,很快就组织了一个约20人的技术团队来进行支持。腾讯安全产品研发总监董文辉告诉21世纪经济报道,在处理只玩科技遇到的黑客攻击行为时,根据腾讯安全以往的经验,他们首先是把攻击流量放进来,看到攻击行为;然后是借助安全情报的能力,对这些IP进行摸底;最后则是对攻击行为进行分析,对症下药。

而针对CC攻击,董文辉进一步表示,腾讯安全本身就拥有很多CC防护规则,可以进行行为识别。所以在进行完上述攻击行为的分析后,腾讯安全和只玩科技的技术团队一起建立起一套CC防护规则,以此来抵御攻击。

在taptap上,为了让更多玩家了解到《半盏复古行》在发生什么,只玩科技也把与黑客较量的过程做了全程记录。记者翻看这份记录了解到,在腾讯安全团队加入之前,《半盏复古行》已经经受了8轮攻击,其中第8轮攻击中,有5万个实名身份证请求实名制接口。

而在腾讯团队加入后,防御效果也很快显现,比如记录中提到的“我们已经定位到黑客,正在进行相关处理和测试,目前黑客攻击频率已经有所降低!”“经过我们技术人员的努力,我们已经暂时防住了黑客”等,都是在腾讯安全团队加入之后更新的信息。

雨林也向记者表示,在与腾讯安全的合作过程中,他们也开始重拾信心,“因为我们可以明显看到,在经过一个规则的部署或者一个产品的使用之后,某一项攻击马上就降低”。

不过,黑客的攻击也在“与时俱进”,在遇到抵抗之后,他们也加入了新的攻击方式。比如在原先WEB攻击和CC攻击的基础上,也发起了大量BOT请求。

8月19日21时30分,《半盏复古行》尝试进行开服,但仍然持续受到攻击,导致服务器崩溃。而到了8月20日凌晨1时55分,只玩科技在腾讯安全的帮助下升级了安全策略之后,已有几千名玩家进入游戏开始体验。

至此,《半盏复古行》算是真正扛住了黑客的攻击。虽然后面黑客还尝试进行过一些攻击,包括更换成国外的IP,但这些对游戏服务器已经无法造成太大的威胁。

服务器守住了,可受黑客攻击的影响,《半盏复古行》也出现了很多BUG,如数据异常、回档等。为此,只玩科技只能通过发放游戏奖励以及支持部分充值用户退款等举措来弥补。

雨林表示,黑客攻击对《半盏复古行》的很多渠道推广资源造成了浪费,也让很多想要第一时间体验游戏的玩家感到失落。但是,通过在社区等平台对整个抗击黑产的过程进行实时披露,只玩科技也获得大多数玩家的理解。

从8月19日凌晨到8月20日凌晨,《半盏复古行》共经历十几轮攻击。在雨林看来,这些攻击能够使用大量的真实身份证等信息,说明它不是简单的恶作剧,而是一个有组织有预谋的攻击行为。目前,只玩科技已经把所有的非法侵入的各项信息以及各种攻击日志都提交给了有关部门。

事实上,不光是游戏行业,所有行业的发展,只要有利益驱使,黑产就一定会存在,所以,想完全扼杀黑产并不现实,这就要求各个企业要做好安全防护。对于一些大企业来说,因为投入较多,安全能力也更强,反倒是像只玩科技这样的中小型公司,考虑到成本问题,对安全也没有足够重视。

而在经历这次黑客攻击事件后,雨林认为,安全防护工作必须要尽早实施,不能等到事后再弥补,因为当真正遇到恶意攻击之后,遭受的损失可能是无法估量的。

(作者:白杨 编辑:李清宇)