Внимание
У Вас отключена поддержка Cookie в браузере. Возможно некорректное отображение сайта!

Как мы защищаем Wargaming от DDoS-атак

Дата: 14.05.2021
Wargaming — один из крупнейших мировых издателей и разработчиков на рынке free-to-play MMO. Аудитория игр Wargaming, включая флагманские проекты World of Tanks и World of Warships, охватывает более 200 миллионов пользователей на всех крупных игровых платформах.

Ситуация

В 2020 году структура мирового трафика значительно изменилась. Наши исследования показывают резкий рост потребления контента в сфере онлайн-игр и развлечений. Одновременно с увеличением интереса к этим отраслям выросло и количество DDoS-атак, направленных на инфраструктуру и игровые серверы.

Инфографика, показывающая скачок трафика в играх (+41 %) и в индустрии развлечений (+48 %) — сравнение 2019 и 2020 годов

Одной из мишеней злоумышленников стал наш клиент — компания Wargaming.

Как дидосят геймдев в 2021 году

В последние годы атаки стали более интеллектуальными и изощрёнными.

Всё чаще они направлены на само веб-приложение, а не на конкретный сервер (L7 сетевой модели OSI). При этом очень часто злоумышленники пытаются имитировать легитимный игровой трафик, что затрудняет обнаружение и отражение подобных атак.

Чтобы предотвратить атаку и отделить вредоносный трафик от легитимного, его необходимо принять и обработать. Поэтому наличие большого количества высокоскоростных каналов и высокая ёмкость сети — основные требования в борьбе с DDoS-атаками: если каналы будут перегружены, трафик просто не сможет попасть на систему защиты от DDoS для последующей очистки. При этом будут страдать не только защищаемые клиенты, но и вся локация в целом.

Какая атака обрушилась на Wargaming

18 февраля 2021 года системы защиты G‑Core Labs обнаружили атаку, направленную на серверы Wargaming.

Общий объём атаки составил 253 Гбит/с, а длилась она около 15 минут. Злоумышленники использовали метод UDP Flood.

Что такое UDP Flood

UDP Flood — это распределённый искусственно сгенерированный трафик. Атакующий, как правило, предварительно изучает все тонкости игрового приложения, а затем генерирует UDP-пакеты с поддельных IP-адресов (в одной атаке в среднем может быть задействовано более 100 тыс. уникальных IP-адресов).

Как мы отразили эту атаку

С помощью правил фильтрации, позволяющих защищать от хорошо изученных амплификационных атак, мы отразили часть вредоносного трафика на уровне наших пограничных маршрутизаторов. Другую часть мы перенаправили на нашу систему очистки, чтобы глубже проанализировать трафик и принять более взвешенное решение о блокировке.

владелец продукта DDoS Protection компании G‑Core Labs

Андрей Сластёнов

«Сегодня атаки ёмкостью 200–300 Гбит/с перестали быть редкостью. Важно, чтобы центр очистки вендора, обеспечивающего защиту клиента, мог обрабатывать большое количество трафика с минимальными задержками. Мы в G‑Core Labs делаем это с помощью распределённой системы серверов и балансировки трафика между этими системами»

владелец продукта DDoS Protection компании G‑Core Labs

Андрей Сластёнов

В основе нашего метода — передача секретного ключа между клиентским приложением и центром очистки, которая гарантированно позволяет отделить вредоносный трафик от легитимного, обеспечив неприкосновенность инфраструктуры клиента и качество очистки от вредоносного трафика. В случае обнаружения мощной атаки в несколько сотен гигабит в секунду трафик распределяется по нескольким серверам и нескольким центрам очистки, позволяя избежать перегрузки сервера или даже целого серверного кластера.

владелец продукта DDoS Protection компании G‑Core Labs

Андрей Сластёнов

«В результате атака на ресурсы Wargaming была успешно отражена, пользователи игровых серверов продолжили бесперебойно получать свой сервис, сам сервер всё это время был доступен пользователям по всему миру»

владелец продукта DDoS Protection компании G‑Core Labs

Андрей Сластёнов

Как мы сохраняем доступность игрового сервера при DDoS-атаке

Обнаружение атак и очистка происходят в режиме валидации трафика автоматически.

1. Подключение защиты происходит через заявку.

2. Защита настраивается персонально под вашу инфраструктуру. Для максимальной эффективности мы анализируем профиль вашего трафика и формируем набор действенных контрмер.

3. О любых аномалиях в трафике мы сразу сообщаем в техподдержку. Как правило, мы обнаруживаем атаки в пределах 1 минуты.

4. Если принимается решение об очистке, весь входящий трафик начинает идти через платформу фильтрации. Таким образом, по выделенному каналу на ваши серверы попадает только очищенный трафик.

Карта

Почему мы успешно отражаем любые DDoS-атаки

1. Огромная пропускная способность сети G‑Core Labs, позволяющая обработать десятки терабит трафика.

2. Продвинутая система очистки, способная принять, вычислить и обезвредить атаки объёмом сотни гигабит в секунду.

3. Комплексные алгоритмы защиты исключают возможность обхода нашей системы очистки, даже если злоумышленники используют для атаки трафик, аналогичный легитимному игровому трафику.

Подпишитесь на полезную рассылку

Выгодные предложения и важные новости раз в месяц. Без спама

Wargaming
Lamoda
Tinkoff
МегаФон
BANDAI NAMCO Entertainment America
Rutube
RedFox Games
Avast
Joom
DNS – интернет магазин цифровой и бытовой техники
Букмекерская контора «Фонбет»
Sandbox
SIBUR Holding
GetCourse
RenTV
Yandex Cloud
101xp
Расскажите о задачах вашего бизнеса, и мы поможем ему расти в любой стране мира