【文/觀察者網(wǎng) 呂棟 編輯/張廣凱】

“近年來(lái)極為罕見(jiàn)，攻擊指令一夜暴漲2萬(wàn)多倍”、“發(fā)出攻擊指令的服務(wù)器，有8個(gè)在美國(guó)，3個(gè)在英國(guó)，剩下分布在全球多個(gè)國(guó)家”、“中國(guó)出了一款登頂全球的游戲，有人這么不開(kāi)心嗎？”.....

近日，首款國(guó)產(chǎn)3A游戲大作《黑神話：悟空》上線引發(fā)全球關(guān)注，全平臺(tái)最高同時(shí)在線人數(shù)達(dá)300萬(wàn)。但8月24日晚，Steam平臺(tái)遭到大規(guī)模DDoS網(wǎng)絡(luò)攻擊，突然崩潰，全球多國(guó)玩家紛紛反饋無(wú)法登錄游戲，也讓《黑神話：悟空》實(shí)時(shí)在線人數(shù)驟降到百萬(wàn)以下。

對(duì)一款游戲來(lái)說(shuō)，如果持續(xù)遭到網(wǎng)絡(luò)攻擊一天，玩家數(shù)量將流失80%。這對(duì)游戲而言，顯然是致命的。而根據(jù)奇安信XLab實(shí)驗(yàn)室公布的數(shù)據(jù)，有近60個(gè)僵尸網(wǎng)絡(luò)主控發(fā)起了此次攻擊，攻擊指令一夜暴漲2萬(wàn)多倍。除了Steam自身的服務(wù)器外，國(guó)內(nèi)完美世界代理的Steam服務(wù)器也被列為了攻擊目標(biāo)，一共13個(gè)國(guó)家和地區(qū)的107個(gè)Steam服務(wù)器IP遭到襲擊。

這次網(wǎng)絡(luò)攻擊的幕后主使是誰(shuí)、有何目的、如何防范？一些網(wǎng)絡(luò)安全行業(yè)專(zhuān)家向我們講述了細(xì)節(jié)。

“這次攻擊明顯很有針對(duì)性，前后一共發(fā)動(dòng)了4次攻擊。周六（8月24日）中午發(fā)動(dòng)過(guò)一次，晚上從6點(diǎn)攻擊到晚上11點(diǎn)，周日早上又開(kāi)始打，這時(shí)恰好是北美地區(qū)的晚上，第四次是8月26日凌晨4點(diǎn)，正好是歐洲的晚上。攻擊者似乎有意選擇在各個(gè)時(shí)區(qū)的游戲玩家在線高峰時(shí)段發(fā)起攻擊，以實(shí)現(xiàn)最大的破壞效果?！逼姘残臱lab安全專(zhuān)家對(duì)觀察者網(wǎng)說(shuō)道。

《黑神話：悟空》游戲圖片

從攻擊的時(shí)間選擇、地域分布，以及同時(shí)針對(duì)國(guó)內(nèi)外Steam服務(wù)器的策略來(lái)看，攻擊者的目的顯然是在重點(diǎn)擾亂中國(guó)市場(chǎng)的同時(shí)，在全球范圍內(nèi)對(duì)Steam平臺(tái)的正常運(yùn)營(yíng)造成全面干擾。這種有組織的攻擊行為，反映出攻擊者在策略上的計(jì)劃性和對(duì)目標(biāo)的明確針對(duì)性。

“整體上看，這個(gè)事件有明顯的政治、意識(shí)形態(tài)和地緣利益背景，有可能是某個(gè)行為體，或多個(gè)行為體。出于上述原因，使用所掌握的或臨時(shí)租用大規(guī)模僵尸網(wǎng)絡(luò)進(jìn)行DDoS攻擊，干擾游戲運(yùn)行。”安天科技集團(tuán)聯(lián)合創(chuàng)始人、技術(shù)委員會(huì)副主任李柏松向觀察者網(wǎng)分析稱(chēng)。

在這次網(wǎng)絡(luò)攻擊中，僵尸網(wǎng)絡(luò)、DDoS攻擊等專(zhuān)業(yè)名詞頻繁出現(xiàn)，它們又有什么含義？

DDoS攻擊的全稱(chēng)是分布式拒絕服務(wù)攻擊，是一種常見(jiàn)的網(wǎng)絡(luò)攻擊手段。簡(jiǎn)單來(lái)說(shuō)，就是攻擊者通過(guò)軟件或系統(tǒng)漏洞控制大量計(jì)算機(jī)（行業(yè)稱(chēng)“肉雞”，bot），并安裝惡意軟件。隨后通過(guò)指令控制它們向目標(biāo)服務(wù)器發(fā)送大量垃圾請(qǐng)求，占滿(mǎn)服務(wù)器或帶寬資源，讓對(duì)方無(wú)法提供服務(wù)。

“DDoS攻擊大多數(shù)是依靠大規(guī)模僵尸網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)起的，而僵尸網(wǎng)絡(luò)則是通過(guò)長(zhǎng)期的自動(dòng)化入侵、擴(kuò)散形成的。全球有不同黑產(chǎn)組織控制的眾多大小規(guī)模的僵尸網(wǎng)絡(luò)體系，從小規(guī)模的幾十、幾百個(gè)節(jié)點(diǎn)的，大到幾十萬(wàn)、百萬(wàn)規(guī)模節(jié)點(diǎn)的都有。這些僵尸網(wǎng)絡(luò)成為了一個(gè)攻擊基礎(chǔ)設(shè)施，可以被攻擊者進(jìn)行租用?！崩畎厮杀硎尽?

僵尸網(wǎng)絡(luò)大致示意圖

根據(jù)奇安信報(bào)告，此次對(duì)Steam平臺(tái)的攻擊中有多個(gè)僵尸網(wǎng)絡(luò)參與，其中的的主力是自稱(chēng)AISURU僵尸網(wǎng)絡(luò)，在其telegram頻道中聲稱(chēng)擁有超過(guò)30000個(gè)bot節(jié)點(diǎn)，攻擊能力在1.3-2T左右。

而DDoS攻擊常見(jiàn)的目的有幾個(gè)。首要是要讓目標(biāo)服務(wù)器癱瘓，給被攻擊的目標(biāo)造成一定經(jīng)濟(jì)損失；第二是為了制造混亂，干擾游戲玩家或者企業(yè)的正常運(yùn)營(yíng)，可能競(jìng)爭(zhēng)對(duì)手之間使用的比較多；第三有可能被用來(lái)掩護(hù)更高級(jí)的攻擊；第四可能被用來(lái)表達(dá)政治動(dòng)機(jī)或者抗議。

“此次攻擊事件一共觀察到28萬(wàn)條針對(duì)Steam平臺(tái)的攻擊指令，”奇安信Xlab安全專(zhuān)家坦言，“Steam全球各地區(qū)機(jī)房服務(wù)器被輪著打，包括國(guó)內(nèi)完美世界代理的Steam服務(wù)器也一并被扒出來(lái)攻擊，《黑神話：悟空》上線之前，我們從未發(fā)現(xiàn)完美世界Steam服務(wù)器遭遇過(guò)DDoS攻擊。且攻擊時(shí)長(zhǎng)多達(dá)幾個(gè)小時(shí)，專(zhuān)挑各地區(qū)玩家在線高峰期攻擊，這是極其少見(jiàn)的?！?

“廣大游戲玩家在線的高峰時(shí)期，Steam平臺(tái)遭遇如此大規(guī)模的DDoS攻擊，很難讓人不聯(lián)想此次攻擊事件不是針對(duì)國(guó)產(chǎn)3A游戲大作《黑神話：悟空》。我們團(tuán)隊(duì)在大規(guī)模僵尸網(wǎng)絡(luò)發(fā)現(xiàn)&跟蹤領(lǐng)域已經(jīng)專(zhuān)注超過(guò)10年，但此次攻擊的組織度，烈度依然讓我們覺(jué)得很驚奇。中國(guó)出了一款登頂全球的游戲，有人這么不開(kāi)心嗎？”這位安全專(zhuān)家對(duì)觀察者網(wǎng)直言。

既然是惡意攻擊，那能否揪出幕后真兇？目前來(lái)看比較困難。從DDoS攻擊流程來(lái)看，是由實(shí)際攻擊者或者僵尸網(wǎng)絡(luò)的運(yùn)營(yíng)者，操縱主控端向被控端（肉雞）發(fā)出攻擊指令，再由被控端執(zhí)行攻擊。但安全公司的現(xiàn)有技術(shù)手段，只能定位主控端服務(wù)器的位置，無(wú)法揪出真兇。

過(guò)去一年針對(duì)steam平臺(tái)的攻擊事件攻擊指令趨勢(shì)

“主控端服務(wù)器有8個(gè)在美國(guó)，3個(gè)在英國(guó)，剩下的分布在韓國(guó)、俄羅斯、新加坡、日本、印度尼西亞、荷蘭、瑞士等全球多地，IP有多個(gè)。但就算看出服務(wù)器在哪個(gè)國(guó)家，也并沒(méi)有用，因?yàn)橹袊?guó)人也可以將服務(wù)器放到美國(guó)，背后的攻擊者是誰(shuí)很難定位?！鼻笆霭踩珜?zhuān)家稱(chēng)。

李柏松也認(rèn)為，僵尸網(wǎng)絡(luò)運(yùn)行有不同的控制方式，有的采取多級(jí)中心控制方式，也有的采取P2P的控制方式，準(zhǔn)確定位背后的攻擊肇事者，是有很大難度的。

“大規(guī)模DDoS攻擊中，發(fā)包機(jī)（主控端服務(wù)器）的物理位置意義不大。而且，僵尸網(wǎng)絡(luò)的運(yùn)營(yíng)者和實(shí)際攻擊者較大可能不是一伙人，雙方可能通過(guò)網(wǎng)絡(luò)連接，通過(guò)虛擬貨幣結(jié)算，彼此不知道誰(shuí)是誰(shuí)，租用價(jià)格成本也比較低廉。此外，對(duì)攻擊的捕獲、阻斷、環(huán)節(jié)、處置、統(tǒng)計(jì)等主要依靠Steam的安全運(yùn)營(yíng)，其他第三方難以獲得有效數(shù)據(jù)?！彼f(shuō)道。

但李柏松也補(bǔ)充稱(chēng)，安全企業(yè)和團(tuán)隊(duì)依然可以通過(guò)在已經(jīng)監(jiān)測(cè)、關(guān)注的僵尸網(wǎng)絡(luò)體系中，尋找攻擊痕跡和線索，包括應(yīng)急部門(mén)可以鎖定部分分布在境內(nèi)的受控僵尸主機(jī)展開(kāi)聯(lián)合分析工作。

找出幕后主使比較困難，那游戲平臺(tái)或企業(yè)有辦法防御DDoS攻擊嗎？

前述奇安信Xlab安全專(zhuān)家對(duì)觀察者網(wǎng)分析稱(chēng)，企業(yè)可以在網(wǎng)絡(luò)容量方面做周密規(guī)劃，以防止這種大規(guī)模攻擊；其次像游戲產(chǎn)業(yè)，需要深入了解正常用戶(hù)的流量是多少，異常流量是多大，當(dāng)網(wǎng)絡(luò)攻擊發(fā)生的時(shí)候，及時(shí)把不正常的流量給清出去；第三是部署內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN），可以一定程度上抵御DDoS攻擊；同時(shí)也可以跟運(yùn)營(yíng)商合作，在網(wǎng)絡(luò)層面進(jìn)行流量過(guò)濾或限制，及時(shí)清除惡意流量。

耐人尋味的是，這次直指《黑神話：悟空》的大規(guī)模網(wǎng)絡(luò)攻擊，外媒卻鮮有報(bào)道。在李柏松看來(lái)，安全產(chǎn)業(yè)主體和組織的關(guān)注度已經(jīng)高度陣營(yíng)化，西方安全企業(yè)也就不會(huì)去關(guān)注分析這次事件了。

事實(shí)上，遭受DDoS攻擊在游戲行業(yè)中也是極其普遍的現(xiàn)象。網(wǎng)絡(luò)安全公司Gcore發(fā)布的數(shù)據(jù)顯示，2024年上半年，全球DDoS攻擊事件顯著增加，數(shù)量達(dá)到44.5萬(wàn)起，同比增加46%，環(huán)比增加34%。游戲和博彩業(yè)仍然是攻擊的重災(zāi)區(qū)，占上半年事件總數(shù)的49%，在線游戲的高風(fēng)險(xiǎn)和競(jìng)爭(zhēng)性使其特別容易受到此類(lèi)破壞。