【文/觀察者網(wǎng) 呂棟 編輯/張廣凱】

“近年來極為罕見，攻擊指令一夜暴漲2萬多倍”、“發(fā)出攻擊指令的服務(wù)器，有8個在美國，3個在英國，剩下分布在全球多個國家”、“中國出了一款登頂全球的游戲，有人這么不開心嗎？”.....

近日，首款國產(chǎn)3A游戲大作《黑神話：悟空》上線引發(fā)全球關(guān)注，全平臺最高同時在線人數(shù)達300萬。但8月24日晚，Steam平臺遭到大規(guī)模DDoS網(wǎng)絡(luò)攻擊，突然崩潰，全球多國玩家紛紛反饋無法登錄游戲，也讓《黑神話：悟空》實時在線人數(shù)驟降到百萬以下。

對一款游戲來說，如果持續(xù)遭到網(wǎng)絡(luò)攻擊一天，玩家數(shù)量將流失80%。這對游戲而言，顯然是致命的。而根據(jù)奇安信XLab實驗室公布的數(shù)據(jù)，有近60個僵尸網(wǎng)絡(luò)主控發(fā)起了此次攻擊，攻擊指令一夜暴漲2萬多倍。除了Steam自身的服務(wù)器外，國內(nèi)完美世界代理的Steam服務(wù)器也被列為了攻擊目標，一共13個國家和地區(qū)的107個Steam服務(wù)器IP遭到襲擊。

這次網(wǎng)絡(luò)攻擊的幕后主使是誰、有何目的、如何防范？一些網(wǎng)絡(luò)安全行業(yè)專家向我們講述了細節(jié)。

“這次攻擊明顯很有針對性，前后一共發(fā)動了4次攻擊。周六（8月24日）中午發(fā)動過一次，晚上從6點攻擊到晚上11點，周日早上又開始打，這時恰好是北美地區(qū)的晚上，第四次是8月26日凌晨4點，正好是歐洲的晚上。攻擊者似乎有意選擇在各個時區(qū)的游戲玩家在線高峰時段發(fā)起攻擊，以實現(xiàn)最大的破壞效果?！逼姘残臱lab安全專家對觀察者網(wǎng)說道。

《黑神話：悟空》游戲圖片

從攻擊的時間選擇、地域分布，以及同時針對國內(nèi)外Steam服務(wù)器的策略來看，攻擊者的目的顯然是在重點擾亂中國市場的同時，在全球范圍內(nèi)對Steam平臺的正常運營造成全面干擾。這種有組織的攻擊行為，反映出攻擊者在策略上的計劃性和對目標的明確針對性。

“整體上看，這個事件有明顯的政治、意識形態(tài)和地緣利益背景，有可能是某個行為體，或多個行為體。出于上述原因，使用所掌握的或臨時租用大規(guī)模僵尸網(wǎng)絡(luò)進行DDoS攻擊，干擾游戲運行。”安天科技集團聯(lián)合創(chuàng)始人、技術(shù)委員會副主任李柏松向觀察者網(wǎng)分析稱。

在這次網(wǎng)絡(luò)攻擊中，僵尸網(wǎng)絡(luò)、DDoS攻擊等專業(yè)名詞頻繁出現(xiàn)，它們又有什么含義？

DDoS攻擊的全稱是分布式拒絕服務(wù)攻擊，是一種常見的網(wǎng)絡(luò)攻擊手段。簡單來說，就是攻擊者通過軟件或系統(tǒng)漏洞控制大量計算機（行業(yè)稱“肉雞”，bot），并安裝惡意軟件。隨后通過指令控制它們向目標服務(wù)器發(fā)送大量垃圾請求，占滿服務(wù)器或帶寬資源，讓對方無法提供服務(wù)。

“DDoS攻擊大多數(shù)是依靠大規(guī)模僵尸網(wǎng)絡(luò)節(jié)點發(fā)起的，而僵尸網(wǎng)絡(luò)則是通過長期的自動化入侵、擴散形成的。全球有不同黑產(chǎn)組織控制的眾多大小規(guī)模的僵尸網(wǎng)絡(luò)體系，從小規(guī)模的幾十、幾百個節(jié)點的，大到幾十萬、百萬規(guī)模節(jié)點的都有。這些僵尸網(wǎng)絡(luò)成為了一個攻擊基礎(chǔ)設(shè)施，可以被攻擊者進行租用?！崩畎厮杀硎?。

僵尸網(wǎng)絡(luò)大致示意圖

根據(jù)奇安信報告，此次對Steam平臺的攻擊中有多個僵尸網(wǎng)絡(luò)參與，其中的的主力是自稱AISURU僵尸網(wǎng)絡(luò)，在其telegram頻道中聲稱擁有超過30000個bot節(jié)點，攻擊能力在1.3-2T左右。

而DDoS攻擊常見的目的有幾個。首要是要讓目標服務(wù)器癱瘓，給被攻擊的目標造成一定經(jīng)濟損失；第二是為了制造混亂，干擾游戲玩家或者企業(yè)的正常運營，可能競爭對手之間使用的比較多；第三有可能被用來掩護更高級的攻擊；第四可能被用來表達政治動機或者抗議。

“此次攻擊事件一共觀察到28萬條針對Steam平臺的攻擊指令，”奇安信Xlab安全專家坦言，“Steam全球各地區(qū)機房服務(wù)器被輪著打，包括國內(nèi)完美世界代理的Steam服務(wù)器也一并被扒出來攻擊，《黑神話：悟空》上線之前，我們從未發(fā)現(xiàn)完美世界Steam服務(wù)器遭遇過DDoS攻擊。且攻擊時長多達幾個小時，專挑各地區(qū)玩家在線高峰期攻擊，這是極其少見的?！?

“廣大游戲玩家在線的高峰時期，Steam平臺遭遇如此大規(guī)模的DDoS攻擊，很難讓人不聯(lián)想此次攻擊事件不是針對國產(chǎn)3A游戲大作《黑神話：悟空》。我們團隊在大規(guī)模僵尸網(wǎng)絡(luò)發(fā)現(xiàn)&跟蹤領(lǐng)域已經(jīng)專注超過10年，但此次攻擊的組織度，烈度依然讓我們覺得很驚奇。中國出了一款登頂全球的游戲，有人這么不開心嗎？”這位安全專家對觀察者網(wǎng)直言。

既然是惡意攻擊，那能否揪出幕后真兇？目前來看比較困難。從DDoS攻擊流程來看，是由實際攻擊者或者僵尸網(wǎng)絡(luò)的運營者，操縱主控端向被控端（肉雞）發(fā)出攻擊指令，再由被控端執(zhí)行攻擊。但安全公司的現(xiàn)有技術(shù)手段，只能定位主控端服務(wù)器的位置，無法揪出真兇。

過去一年針對steam平臺的攻擊事件攻擊指令趨勢

“主控端服務(wù)器有8個在美國，3個在英國，剩下的分布在韓國、俄羅斯、新加坡、日本、印度尼西亞、荷蘭、瑞士等全球多地，IP有多個。但就算看出服務(wù)器在哪個國家，也并沒有用，因為中國人也可以將服務(wù)器放到美國，背后的攻擊者是誰很難定位。”前述安全專家稱。

李柏松也認為，僵尸網(wǎng)絡(luò)運行有不同的控制方式，有的采取多級中心控制方式，也有的采取P2P的控制方式，準確定位背后的攻擊肇事者，是有很大難度的。

“大規(guī)模DDoS攻擊中，發(fā)包機（主控端服務(wù)器）的物理位置意義不大。而且，僵尸網(wǎng)絡(luò)的運營者和實際攻擊者較大可能不是一伙人，雙方可能通過網(wǎng)絡(luò)連接，通過虛擬貨幣結(jié)算，彼此不知道誰是誰，租用價格成本也比較低廉。此外，對攻擊的捕獲、阻斷、環(huán)節(jié)、處置、統(tǒng)計等主要依靠Steam的安全運營，其他第三方難以獲得有效數(shù)據(jù)?！彼f道。

但李柏松也補充稱，安全企業(yè)和團隊依然可以通過在已經(jīng)監(jiān)測、關(guān)注的僵尸網(wǎng)絡(luò)體系中，尋找攻擊痕跡和線索，包括應(yīng)急部門可以鎖定部分分布在境內(nèi)的受控僵尸主機展開聯(lián)合分析工作。

找出幕后主使比較困難，那游戲平臺或企業(yè)有辦法防御DDoS攻擊嗎？

前述奇安信Xlab安全專家對觀察者網(wǎng)分析稱，企業(yè)可以在網(wǎng)絡(luò)容量方面做周密規(guī)劃，以防止這種大規(guī)模攻擊；其次像游戲產(chǎn)業(yè)，需要深入了解正常用戶的流量是多少，異常流量是多大，當網(wǎng)絡(luò)攻擊發(fā)生的時候，及時把不正常的流量給清出去；第三是部署內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN），可以一定程度上抵御DDoS攻擊；同時也可以跟運營商合作，在網(wǎng)絡(luò)層面進行流量過濾或限制，及時清除惡意流量。

耐人尋味的是，這次直指《黑神話：悟空》的大規(guī)模網(wǎng)絡(luò)攻擊，外媒卻鮮有報道。在李柏松看來，安全產(chǎn)業(yè)主體和組織的關(guān)注度已經(jīng)高度陣營化，西方安全企業(yè)也就不會去關(guān)注分析這次事件了。

事實上，遭受DDoS攻擊在游戲行業(yè)中也是極其普遍的現(xiàn)象。網(wǎng)絡(luò)安全公司Gcore發(fā)布的數(shù)據(jù)顯示，2024年上半年，全球DDoS攻擊事件顯著增加，數(shù)量達到44.5萬起，同比增加46%，環(huán)比增加34%。游戲和博彩業(yè)仍然是攻擊的重災(zāi)區(qū)，占上半年事件總數(shù)的49%，在線游戲的高風(fēng)險和競爭性使其特別容易受到此類破壞。