如何助力游戏应用抵御 DDoS 攻击威胁

Original URL：https://aws.amazon.com/cn/blogs/gametech/ddos/

在新游戏上线时，游戏厂商必须确保玩家顺畅访问并享受游戏体验，不受任何意外因素的干扰。因此，厂商首先需要思考如何保护游戏免受分布式拒绝服务（DDoS）攻击的影响。幸运的是，如果您在AWS上构建游戏，可以直接享受多种针对常见DDoS攻击的保护措施。本文将探讨AWS提供的架构保护选项，帮助大家充分利用各项安全功能。

本文为在AWS上实现游戏应用分发与保护系列文章中的第二篇（共两篇）。建议您首先阅读本系列文章的第一部分，了解如何使用Amazon CloudFront提升游戏性能。

首先明确一点，DDoS攻击究竟是什么？DDoS攻击会以无法有效处理的流量为载体，严重影响游戏的可用性或性能表现（无数由联网设备组成的僵尸网络，将不断向您的服务器发送流量，最终令正常服务被彻底淹没）。例如，攻击者可以向应用程序发送大量无效流量，尽可能占用甚至耗尽网络或服务资源容量。攻击者还会发送看似合法，但并非由实际玩家生成的流量。当游戏应用性能下降时，真实玩家的实际体验将受到严重影响。换言之，只有成功抵御住DDoS攻击，才能保护玩家体验、提升用户对游戏品牌的信任度。

在选择AWS作为应用运营平台时，会自动保护您的应用程序免受DDoS攻击影响。这项服务免费面向各个AWS区域中使用不同服务的所有AWS客户开放。借助AWS Shield Standard，AWS构建的专有系统能够自动缓解UDP反射或SYN泛滥等常见DDoS攻击手段，保证在各个入口点上提供高容量防御机制。与传统的“清洗中心”模式相比，AWS安全方案能够带来显著的延迟优势。为了让您的游戏应用实现最佳覆盖范围，大家应该考虑使用AWS DDoS弹性最佳实践中提出的相关建议。遵循这些设计最佳实践的应用程序能够承受更严重的DDoS攻击，并充分利用AWS提供的各项DDoS缓解功能。

游戏应用中的一种常见技术，将使用匹配服务通过多个Amazon EC2实例对玩家进行分片。通过这种方式，我们可以将任何潜在影响控制在少部分玩家群体之内。另外，大家还可以使用规模更大的实例类型（例如具有增强网络功能的计算优化型实例）提升单一实例的弹性水平。在使用这类实例时，AWS DDoS缓解系统能够使用多项不同阈值，保证实例能够吸纳更多流量，从而避免误报并保证玩家始终享有连续的体验。在实例内部，大家可以使用防火墙软件（例如iptables）控制对端口及协议的访问，通过源IP等密钥限制流量速率，或者仅允许与已知可靠模式相符的数据包通过。要了解与此相关的最佳实践详细信息，请参阅计算优化型实例。

如果您订阅了商业支持或企业支持服务，并希望在AWS的帮助下缓解DDoS攻击，则可以选择订阅AWS Shield Advanced。如此一来，您除了能够享受AWS Shield Standard提供的DDoS缓解功能之外，还可以在严重攻击事件期间联系AWS DDoS响应团队（DRT），通过Amazon CloudWatch指标及AWS管理控制台/API查看针对当前应用程序的DDOS攻击，并使用Cost Protection成功保护功能在限额之内退还由DDoS攻击带来的资源扩展或流量吸纳所产生的额外AWS费用。要了解关于AWS Shield Advanced及其随附功能的更多详细信息，请参阅AWS Shield功能。

除了高严重性事件响应之外，AWS DDoS响应团队（DRT）还提供自定义缓解措施以帮助用户保护游戏应用的可用性。大部分游戏应用需要配合客户端软件以生成具有可预测模式的业务流量。DRT则可以根据您的游戏逻辑量身定制缓解策略，同时尽可能保护来自真实玩家的合法流量。

在订阅AWS Shield Advanced之后，大家还可以免费获取 AWS WAF 与 AWS Firewall Manager 。使用AWS WAF，您可以保护游戏中的各Web应用组件（例如登录页面、应用内购功能或者API）免受应用层威胁或Web请求泛滥的冲击。AWS WAF还允许您定义匹配条件，将相关条件整合至统一的AWS WAF规则当中，同时提供允许、阻止或计数等选项。大家也可以使用基于速率的规则对符合指定条件、且以过高速率访问应用程序的IP地址执行临时阻断。可行的匹配条件包括字符串匹配、正则表达式匹配、地理位置匹配、大小约束匹配、跨站点脚本匹配以及SQL注入匹配等等。您可以使用AWS Firewall Manager同时管理您的AWS WAF规则以及AWS Shield Advanced协议资源。以此为基础，您将轻松保证应用程序整体以及各新增资源皆处于标准策略集的保护之下。

关于更多详细信息，请参阅 AWS Shield。

关于Amazon游戏技术解决方案的更多详细信息，请参阅 我们的主页。