Основание:
2012 год, Берлин
Индустрия:
Разработка и издание игр
Сайт:
albiononline.com
Albion Online — это MMORPG-песочница с открытым миром в средневековом стиле.
Игра позволяет геймерам комбинировать доспехи и оружие для реализации различных игровых стилей, исследовать мир, сражаться с другими искателями приключений в захватывающих битвах, завоёвывать территории, изготавливать изделия и строить собственные дома.
Официальный релиз игры состоялся в 2017 году, а в апреле 2019-го она стала бесплатной по модели free-to-play.
Сегодня Albion Online — это настоящая кросс-платформенная MMO, доступная для Windows, macOS, Linux, iOS и Android.
Запуск free-to-play-версии привлек в игру огромное количество геймеров со всего мира. Стабильность серверов, масштабируемость и эффективная защита от DDoS-атак имеют первостепенное значение для онлайн-игр такого масштаба.
Благодаря нашему успешному опыту проектирования и поддержки инфраструктуры для крупных гейм-девелоперов вроде Wargaming и RedFox Games разработчики Albion Online доверили хостинг новой игры G‑Core Labs. Ведь мы единственная хостинговая компания, имеющая инфраструктуру, отмеченную мировым рекордом Гиннесса!
DDoS-атаки — довольно распространённый метод ведения конкурентной войны в игровой индустрии, особенно в отношении успешных издателей. Sandbox Interactive не стала исключением: сразу после релиза free-to-play-версии игра подверглась серии скоординированных атак, более интенсивных, чем обычно.
Решения, которые мы применяли для отражения DDoS-атак на серверы клиентов ранее, не подходили для Sandbox Interactive, поскольку Albion Online была атакована с помощью UDP Flood.
Generated UDP Flood — это распределённый, искусственно сгенерированный трафик. Атакующий, как правило, предварительно изучает все тонкости игрового приложения, а затем генерирует UDP-пакеты с поддельных IP-адресов (в одной атаке в среднем может быть задействовано более 100 тысяч уникальных IP-адресов).
Атака направлена на IP-адрес и порт сервера (в данном случае — адрес игрового сервера и порт приложения). В особо сложных случаях атакующий может угадать размер (окно) легитимного пакета, а также сгенерировать нужный битрейт для пары SRC_IP и DST_IP (в одном потоке). Это серьёзно затрудняет фильтрацию. Например, нельзя использовать контрмеры, фильтрация которых основана на базе rate-limiting. При хорошо сгенерированной атаке отличить легитимный (игровой) трафик от нелегитимного с помощью анализа практически невозможно.
В реальном мире игровое приложение может шифровать UDP payload (например, DTLS), что делает использование таких контрмер, как regex_based_filtering, бесполезным. Подобрать regexp, близкий к тому, который использует приложение, — задача непростая, но решаемая. Всё зависит от упорства атакующего.
Для фильтрации подобных атак существует не так много контрмер.
Для эффективного отражения DDoS-атак на Sandbox Interactive / Albion Online потребовалась поддержка всех существующих методов фильтрации:
Rate-limiting
Regexp-filtering
Whitelisting
Blacklisting
IP Geolocation Filter
В данной контрмере применяются различные техники ограничения трафика, например по паре SRC_IP и DST_IP. Однако в этом случае часть трафика всё равно будет доходить до сервера, и атакующий может подгадать примерный битрейт легитимного приложения. Для динамичных приложений эта мера неэффективна.
Можно либо пропускать, либо отбрасывать пакеты, которые совпадают с regexp в payload. Это довольно эффективно, но для некоторых типов приложений не всегда можно написать regexp для whitelisting, а значит, мы можем отбрасывать только «плохие» пакеты. В таких случаях применение данного метода становится крайне неэффективным.
Подразумевает наличие логина сервера, где игрок предварительно проходит авторизацию, а IP игрока добавляется в белый список (например, через API). Всё, что внесено в белый список, пропускается на игровой порт, остальное отбрасывается. У метода есть свои недостатки: он не всегда может подойти архитектурно, и достаточно сложно поддерживать актуальное состояние белых списков (пользователь может закрыть браузер, при этом он будет залогинен в системе), а использование Idle Timeout может привести к тому, что система заблокирует сессию игрока по истечении определённого времени, что повлечёт необходимость заново проходить авторизацию. К тому же некоторые операторы могут делать NAT из пула адресов. Это может привести к ситуации, когда у пользователя во время игры может измениться IP-адрес.
Этот метод работает так же, как whitelisting, только наоборот: в список вносятся «плохие» адреса. (На самом деле существует не так много кейсов, где эта контрмера будет эффективна.)
Этот метод предполагает блокировку IP-адресов по геопризнаку, например из стран, представляющих повышенный риск. Но данная контрмера также обходится достаточно легко.
В итоге основная проблема заключалась в том, что на рынке не так много решений, которые поддерживали бы все вышеперечисленные методы фильтрации. А наше — поддерживает!
Для защиты Albion Online от DDoS-атак мы предложили использовать программный комплекс G‑Core Labs.
Это одно из тех решений, которые поддерживают не только все перечисленные выше контрмеры, но и являются совершенно новыми, не имеющими аналогов технологии отражения атак.
G‑Core Labs' Challenge Response (CR) — один из таких уникальных методов. Это отдельно написанный протокол, интеграция которого на стороне клиента позволяет пройти проверку (challenge) для приложения, тем самым валидируя IP-адрес клиента.
Олег Юдин
Данное решение хорошо подходит в тех случаях, когда валидировать трафик не представляется возможным. Мы рекомендуем использовать его для всех игровых приложений
Олег Юдин
Благодаря CR (G‑Core Labs' Challenge Response) мы надёжно защитили Albion Online. Игра остаётся доступной пользователям по всему миру.
Олег Юдин
Да, атаки на Albion Online по-прежнему продолжаются. Более того, появились атаки более сложные и с новым вектором. Но благодаря нашему сервису на бизнес клиента и на геймеров действия злоумышленников уже никак не влияют
Олег Юдин
Дэвид Зальц
Наличие надёжного и оперативно реагирующего партнёра по хостингу играет решающую роль в успехе MMO-игр, таких как Albion Online. И G‑Core Labs даёт именно это. Будь то внедрение передового решения по защите от DDoS-атак для нашей игры или устранение проблем отдельных игроков с подключением, технические специалисты G‑Core Labs остаются на связи 24 часа в сутки 7 дней в неделю — профессионалы, всегда готовые помочь и преданные своему делу
Дэвид Зальц
Как показывает опыт наших клиентов, чтобы добиться успеха в индустрии гейминга и закрепить его, важно не только создавать увлекательные игровые миры, но и обладать мощной и неуязвимой инфраструктурой…
…И это именно то, что мы в G‑Core Labs можем предоставить.