一级毛片免费在线播放|中文字幕亚洲精品无码|伊人婷婷久久一区二区网|久热中文字在线视频观看|精品国产一区二区三区免费|久久99精品国产麻豆宅宅|免费看国产精品3A黄的视频|国产精品自产拍在线18禁青青

當(dāng)前位置:首頁 > 體育 > 電競

V社刀塔漫談:我們是如何在2015年解決被DDOS攻擊的問題的

發(fā)表時間:2024-04-05 15:01:32 瀏覽:0

4月5日訊 V?社官方近期發(fā)布一篇名為《刀塔漫談:如何拒絕拒絕服務(wù)》,闡述如何在2015年解決被DDOS攻擊的問題。歡迎回到“刀塔漫談”特色博文,我們開發(fā)團隊的成員會在文章中梳理

4月5日訊  V?社官方近期發(fā)布一篇名為《刀塔漫談:如何拒絕拒絕服務(wù)》,闡述如何在2015年解決被DDOS攻擊的問題。undefined歡迎回到“刀塔漫談”特色博文,我們開發(fā)團隊的成員會在文章中梳理自己遇到的一些挑戰(zhàn)、錯誤修復(fù)還有偶爾令人莞爾的意外,主要是在開發(fā)像Dota這樣獨特游戲的過程中。這是一個關(guān)于互聯(lián)網(wǎng)的故事,還有它如何不按應(yīng)有的方式工作,什么時候在正常工作,實際上又完全沒有。 這是一個關(guān)于互聯(lián)網(wǎng)如何停止服務(wù)我們的客戶,以及我們?nèi)绾涡迯?fù)它的故事?;ヂ?lián)網(wǎng)和我們心目中的相比是一片更為狂野的邊界。離開了雙因素身份驗證和可信cookie的安全范圍,外面可能會有點荒亂,充滿了身懷惡意的隨機壞蛋——而且他們越來越有能力讓你的生活變得非常悲慘,不為別的,就因為他們能做得到。當(dāng)時還是2014年,這些壞蛋使用的方法是分布式拒絕服務(wù)(DDoS)攻擊。“分布式”是指大量互聯(lián)網(wǎng)主機惡意向特定目標IP注入流量,企圖壓垮網(wǎng)絡(luò)堆棧。這被稱為飽和攻擊,而其目的并不是嘗試進入網(wǎng)絡(luò)。只是企圖拒絕服務(wù)。分布式拒絕服務(wù)意味著想要合法服務(wù)的合法人會被惡意流量擠出去。DDoS攻擊的問題是在于,截至2014年底,實施這些攻擊的并不是擁有高級計算機科學(xué)學(xué)位、專精于數(shù)據(jù)泄露的超級黑客。 實施的幾乎可以是任何人,他們只要付錢就能找到人或者機器人來為他們辦事。而且原因很明顯。盡管有些人純粹是為了破壞公物而樂意這樣做,但其他人是有動機的:DDoS攻擊肯定會導(dǎo)致你或你支持的人馬上要輸?shù)谋荣惐黄戎兄埂_@就不再只是偶然的煩惱了。這會演變?yōu)楣还粲型婕冶荣惖娜魏斡螒颉?/strong>到了2015年初,我們發(fā)現(xiàn)Dota和CS:GO遭遇的DDoS攻擊次數(shù)大幅增加,其他公司也有大幅增加的報告。突然之間,有人讓任何人都可以很容易地發(fā)動攻擊。2015年8月,國際邀請賽被DDoS攻擊擾亂比賽現(xiàn)場。盡管比賽中的職業(yè)選手沒有受到影響,但在兩個多小時的時間里,轉(zhuǎn)播方無法進入比賽進行實況的解說。直播流的外送成為了一個難題。選手們就像是在虛空里打的比賽。這是一場有數(shù)百萬人觀看、有數(shù)百萬美元獎金的職業(yè)競技賽事,但有人用了五美元的軟件就擾亂了整個比賽。這是Valve無法忽視的問題。undefined在找到了有效的解決方案之前,我們嘗試了多種應(yīng)對DDoS攻擊的解決方案。最初,我們嘗試使用功能強大的網(wǎng)絡(luò)交換機來過濾流量。不幸的是,這種類型的過濾本質(zhì)上很難去針對游戲流量。游戲服務(wù)器的本質(zhì)就是從任意IP地址接收未經(jīng)請求的UDP(用戶數(shù)據(jù)報協(xié)議)流量。想象一下,你有一家郵局,專門為你清理不需要的垃圾信件。但再想象一下,你的工作是給人建議的專欄作家,而且你一直收到大量來自隨機陌生人的合法信件。對你來說,郵局不知道什么是垃圾信件,什么不是。游戲服務(wù)器的流量往往就是這樣的情況。此外,UDP數(shù)據(jù)包中的源IP不安全,很容易被欺騙。我們的郵局甚至無法通過信封上的回郵地址來尋找線索,因為垃圾信件的發(fā)件人偽造了他們的地址。Steam提供了大量的游戲內(nèi)容,并為此建立了一個龐大的網(wǎng)絡(luò)。我們已經(jīng)利用該網(wǎng)絡(luò)通過專用鏈路來傳輸游戲流量、獲得良好的對等互連、確保使用網(wǎng)絡(luò)工程的最佳實踐等。 這能使玩家ping時間保持在較低水平,但無法阻止DDoS攻擊。問題是在于UDP協(xié)議不安全,因此雖然我們擁有自己的網(wǎng)絡(luò),但并不是私有的。為了防止攻擊者使用我們自己的網(wǎng)絡(luò)來攻擊我們的服務(wù)器,我們需要控制所有入口并保護它們。為了實現(xiàn)這個目標,我們?yōu)橛螒蛄髁縿?chuàng)建代理、通過中繼設(shè)備傳輸網(wǎng)絡(luò)上的每個數(shù)據(jù)包。現(xiàn)在,當(dāng)客戶端想要與游戲服務(wù)器通信時,它必須通過中繼設(shè)備來實現(xiàn),中繼設(shè)備既會對其進行身份驗證,又會將該流量代理到游戲服務(wù)器。這意味著服務(wù)器的IP地址始終都是隱藏的——攻擊者根本不會知道要攻擊哪里。重新使用上述的郵局比喻,我們的垃圾信件發(fā)送者再也沒有地址讓他們?nèi)ゼ乃屠偶K麄兛梢园牙偶l(fā)送到該地區(qū)的每個郵局并要求他們郵寄,但沒有授權(quán)的情況下,郵局并不會這樣做。(而且,郵局會發(fā)現(xiàn)有人企圖向一個人寄出100000封信是有點可疑。)undefined但不能直接攻擊中繼設(shè)備嗎?嚴格來說,可以的。但我們的數(shù)量基本上是無限的,而且我們構(gòu)建的目的就是為了被攻擊。“中繼設(shè)備”只是運行軟件的計算機的另一種說法??梢怨羲蚴蛊潆x線,但是設(shè)計協(xié)議時就考慮過這樣的情況。如果客戶端嘗試玩游戲并與中繼設(shè)備失去聯(lián)系,它只會再切換到下個設(shè)備。中繼設(shè)備就像散布在世界各地的數(shù)百個棋子,其唯一目的是守衛(wèi)游戲服務(wù)器。(順便說一句,干掉中繼設(shè)備比聽起來要難。它們的設(shè)計非常好,并且位于網(wǎng)絡(luò)的特定位置,所以盡管它們是為了離線而設(shè)計的,但我們還沒有失去過一個。)這個解決方案簡單但有效。之前如果有人想要破壞游戲,他們只需擊垮一臺游戲服務(wù)器(門檻非常低)?,F(xiàn)在他們必須擊垮整個數(shù)據(jù)中心——門檻非常非常高。那還有攻擊可以做到嗎?當(dāng)然有。那還有任何人在網(wǎng)上花五美元買到的攻擊可以做到嗎?沒有。這么復(fù)雜的攻擊背后需要的財力超出了大多數(shù)人的承受范圍。隨著這個新系統(tǒng)的啟動和運行,我們頓悟了:如果我們控制自己的私有網(wǎng)絡(luò),我們就不會受制于正常互聯(lián)網(wǎng)的工作原理。我們可以利用它來改善客戶體驗。在常規(guī)的互聯(lián)網(wǎng)中,當(dāng)你將數(shù)據(jù)包從一個IP地址發(fā)送到另一個IP地址,你使用的路由是由邊界網(wǎng)關(guān)協(xié)議(BGP)來決定。這是一種路由算法,會決定你的數(shù)據(jù)包在網(wǎng)絡(luò)中的傳輸方式,并且你無權(quán)決定它挑選的路由。但是,了由數(shù)百個全球中繼設(shè)備和數(shù)據(jù)中心組成的虛擬私有網(wǎng)絡(luò),我們基本上可以自行選擇從客戶端到游戲服務(wù)器的路由——通常是比默認路由更快的捷徑。如果你使用Steam數(shù)據(jù)報中繼(SDR),Steam Overlay會顯示你的ping時間以及我們?yōu)槟闾峁┑穆酚?,以便你可以親自了解是如何優(yōu)化的。undefined最初用于保護Dota游戲服務(wù)器的一個功能現(xiàn)在超出了所有人的預(yù)期。SDR網(wǎng)絡(luò)通常每秒傳輸多達140M數(shù)據(jù)包和550GBit。我們在31個數(shù)據(jù)中心設(shè)有中繼設(shè)備,容量超過5TBit?,F(xiàn)在我們所說的Steam數(shù)據(jù)報中繼不僅可以防止DDoS攻擊,還可以提升每個Dota玩家的連接穩(wěn)定性并且降低延遲。不僅適用于Dota,也適用于Steam上任何想要利用它的游戲。我們希望大家能再次從刀塔漫談中享受到樂趣。這次的文章技術(shù)性很強,感謝你能堅持讀完!也請隨時告訴我們,你希望下期介紹哪方面的內(nèi)容。

相關(guān)閱讀:解決攻擊漫談

推薦新聞

錄像/集錦

  • 足球錄像
  • 籃球錄像
  • 足球集錦
  • 籃球集錦

熱門標簽

  • 足球
  • 籃球