Как мы защитили Albion Online от сложных и масштабных DDoS-атак

Об Albion Online

Albion Online — это MMORPG-песочница с открытым миром в средневековом стиле.

Игра позволяет геймерам комбинировать доспехи и оружие для реализации различных игровых стилей, исследовать мир, сражаться с другими искателями приключений в захватывающих битвах, завоёвывать территории, изготавливать изделия и строить собственные дома.

Официальный релиз игры состоялся в 2017 году, а в апреле 2019-го она стала бесплатной по модели free-to-play.

Сегодня Albion Online — это настоящая кросс-платформенная MMO, доступная для Windows, macOS, Linux, iOS и Android.

Почему Sandbox Interactive выбрали наш хостинг?

Запуск free-to-play-версии привлек в игру огромное количество геймеров со всего мира. Стабильность серверов, масштабируемость и эффективная защита от DDoS-атак имеют первостепенное значение для онлайн-игр такого масштаба.

Благодаря нашему успешному опыту проектирования и поддержки инфраструктуры для крупных гейм-девелоперов вроде Wargaming и RedFox Games разработчики Albion Online доверили хостинг новой игры G‑Core Labs. Ведь мы единственная хостинговая компания, имеющая инфраструктуру, отмеченную мировым рекордом Гиннесса!

DDoS-атаки после релиза free-to-play-версии

DDoS-атаки — довольно распространённый метод ведения конкурентной войны в игровой индустрии, особенно в отношении успешных издателей. Sandbox Interactive не стала исключением: сразу после релиза free-to-play-версии игра подверглась серии скоординированных атак, более интенсивных, чем обычно.

Решения, которые мы применяли для отражения DDoS-атак на серверы клиентов ранее, не подходили для Sandbox Interactive, поскольку Albion Online была атакована с помощью UDP Flood.

Что такое Generated UDP Flood?

Generated UDP Flood — это распределённый, искусственно сгенерированный трафик. Атакующий, как правило, предварительно изучает все тонкости игрового приложения, а затем генерирует UDP-пакеты с поддельных IP-адресов (в одной атаке в среднем может быть задействовано более 100 тысяч уникальных IP-адресов).

В чём сложность защиты от подобных атак?

Атака направлена на IP-адрес и порт сервера (в данном случае — адрес игрового сервера и порт приложения). В особо сложных случаях атакующий может угадать размер (окно) легитимного пакета, а также сгенерировать нужный битрейт для пары SRC_IP и DST_IP (в одном потоке). Это серьёзно затрудняет фильтрацию. Например, нельзя использовать контрмеры, фильтрация которых основана на базе rate-limiting. При хорошо сгенерированной атаке отличить легитимный (игровой) трафик от нелегитимного с помощью анализа практически невозможно.

В реальном мире игровое приложение может шифровать UDP payload (например, DTLS), что делает использование таких контрмер, как regex_based_filtering, бесполезным. Подобрать regexp, близкий к тому, который использует приложение, — задача непростая, но решаемая. Всё зависит от упорства атакующего.

Для фильтрации подобных атак существует не так много контрмер.

Какие методы фильтрации потребовались

Для эффективного отражения DDoS-атак на Sandbox Interactive / Albion Online потребовалась поддержка всех существующих методов фильтрации:

• Rate-limiting

  В данной контрмере применяются различные техники ограничения трафика, например по паре SRC_IP и DST_IP. Однако в этом случае часть трафика всё равно будет доходить до сервера, и атакующий может подгадать примерный битрейт легитимного приложения. Для динамичных приложений эта мера неэффективна.

• Regexp-filtering

  Можно либо пропускать, либо отбрасывать пакеты, которые совпадают с regexp в payload. Это довольно эффективно, но для некоторых типов приложений не всегда можно написать regexp для whitelisting, а значит, мы можем отбрасывать только «плохие» пакеты. В таких случаях применение данного метода становится крайне неэффективным.

• Whitelisting

  Подразумевает наличие логина сервера, где игрок предварительно проходит авторизацию, а IP игрока добавляется в белый список (например, через API). Всё, что внесено в белый список, пропускается на игровой порт, остальное отбрасывается. У метода есть свои недостатки: он не всегда может подойти архитектурно, и достаточно сложно поддерживать актуальное состояние белых списков (пользователь может закрыть браузер, при этом он будет залогинен в системе), а использование Idle Timeout может привести к тому, что система заблокирует сессию игрока по истечении определённого времени, что повлечёт необходимость заново проходить авторизацию. К тому же некоторые операторы могут делать NAT из пула адресов. Это может привести к ситуации, когда у пользователя во время игры может измениться IP-адрес.

• Blacklisting

  Этот метод работает так же, как whitelisting, только наоборот: в список вносятся «плохие» адреса. (На самом деле существует не так много кейсов, где эта контрмера будет эффективна.)

• IP Geolacation Filter

  Этот метод предполагает блокировку IP-адресов по геопризнаку, например из стран, представляющих повышенный риск. Но данная контрмера также обходится достаточно легко.

В итоге основная проблема заключалась в том, что на рынке не так много решений, которые поддерживали бы все вышеперечисленные методы фильтрации. А наше — поддерживает!

Какое решение мы предложили

Для защиты Albion Online от DDoS-атак мы предложили использовать программный комплекс G‑Core Labs.

Это одно из тех решений, которые поддерживают не только все перечисленные выше контрмеры, но и являются совершенно новыми, не имеющими аналогов технологии отражения атак.

G‑Core Labs' Challenge Response (CR) — один из таких уникальных методов. Это отдельно написанный протокол, интеграция которого на стороне клиента позволяет пройти проверку (challenge) для приложения, тем самым валидируя IP-адрес клиента.

технический директор
Sandbox Interactive

Дэвид Зальц

Наличие надёжного и оперативно реагирующего партнёра по хостингу играет решающую роль в успехе MMO-игр, таких как Albion Online. И G‑Core Labs даёт именно это. Будь то внедрение передового решения по защите от DDoS-атак для нашей игры или устранение проблем отдельных игроков с подключением, технические специалисты G‑Core Labs остаются на связи 24 часа в сутки 7 дней в неделю — профессионалы, всегда готовые помочь и преданные своему делу

технический директор
Sandbox Interactive

Дэвид Зальц

Как показывает опыт наших клиентов, чтобы добиться успеха в индустрии гейминга и закрепить его, важно не только создавать увлекательные игровые миры, но и обладать мощной и неуязвимой инфраструктурой…

…И это именно то, что мы в G‑Core Labs можем предоставить.