一级毛片免费在线播放|中文字幕亚洲精品无码|伊人婷婷久久一区二区网|久热中文字在线视频观看|精品国产一区二区三区免费|久久99精品国产麻豆宅宅|免费看国产精品3A黄的视频|国产精品自产拍在线18禁青青

當前位置:首頁 > 體育 > 電競

V社刀塔漫談:我們是如何在2015年解決被DDOS攻擊的問題的

發(fā)表時間:2024-04-05 15:01:32 瀏覽:0

4月5日訊 V?社官方近期發(fā)布一篇名為《刀塔漫談:如何拒絕拒絕服務》,闡述如何在2015年解決被DDOS攻擊的問題。歡迎回到“刀塔漫談”特色博文,我們開發(fā)團隊的成員會在文章中梳理

4月5日訊  V?社官方近期發(fā)布一篇名為《刀塔漫談:如何拒絕拒絕服務》,闡述如何在2015年解決被DDOS攻擊的問題。undefined歡迎回到“刀塔漫談”特色博文,我們開發(fā)團隊的成員會在文章中梳理自己遇到的一些挑戰(zhàn)、錯誤修復還有偶爾令人莞爾的意外,主要是在開發(fā)像Dota這樣獨特游戲的過程中。這是一個關于互聯(lián)網(wǎng)的故事,還有它如何不按應有的方式工作,什么時候在正常工作,實際上又完全沒有。 這是一個關于互聯(lián)網(wǎng)如何停止服務我們的客戶,以及我們如何修復它的故事?;ヂ?lián)網(wǎng)和我們心目中的相比是一片更為狂野的邊界。離開了雙因素身份驗證和可信cookie的安全范圍,外面可能會有點荒亂,充滿了身懷惡意的隨機壞蛋——而且他們越來越有能力讓你的生活變得非常悲慘,不為別的,就因為他們能做得到。當時還是2014年,這些壞蛋使用的方法是分布式拒絕服務(DDoS)攻擊?!胺植际健笔侵复罅炕ヂ?lián)網(wǎng)主機惡意向特定目標IP注入流量,企圖壓垮網(wǎng)絡堆棧。這被稱為飽和攻擊,而其目的并不是嘗試進入網(wǎng)絡。只是企圖拒絕服務。分布式拒絕服務意味著想要合法服務的合法人會被惡意流量擠出去。DDoS攻擊的問題是在于,截至2014年底,實施這些攻擊的并不是擁有高級計算機科學學位、專精于數(shù)據(jù)泄露的超級黑客。 實施的幾乎可以是任何人,他們只要付錢就能找到人或者機器人來為他們辦事。而且原因很明顯。盡管有些人純粹是為了破壞公物而樂意這樣做,但其他人是有動機的:DDoS攻擊肯定會導致你或你支持的人馬上要輸?shù)谋荣惐黄戎兄?。這就不再只是偶然的煩惱了。這會演變?yōu)楣还粲型婕冶荣惖娜魏斡螒颉?/strong>到了2015年初,我們發(fā)現(xiàn)Dota和CS:GO遭遇的DDoS攻擊次數(shù)大幅增加,其他公司也有大幅增加的報告。突然之間,有人讓任何人都可以很容易地發(fā)動攻擊。2015年8月,國際邀請賽被DDoS攻擊擾亂比賽現(xiàn)場。盡管比賽中的職業(yè)選手沒有受到影響,但在兩個多小時的時間里,轉播方無法進入比賽進行實況的解說。直播流的外送成為了一個難題。選手們就像是在虛空里打的比賽。這是一場有數(shù)百萬人觀看、有數(shù)百萬美元獎金的職業(yè)競技賽事,但有人用了五美元的軟件就擾亂了整個比賽。這是Valve無法忽視的問題。undefined在找到了有效的解決方案之前,我們嘗試了多種應對DDoS攻擊的解決方案。最初,我們嘗試使用功能強大的網(wǎng)絡交換機來過濾流量。不幸的是,這種類型的過濾本質上很難去針對游戲流量。游戲服務器的本質就是從任意IP地址接收未經(jīng)請求的UDP(用戶數(shù)據(jù)報協(xié)議)流量。想象一下,你有一家郵局,專門為你清理不需要的垃圾信件。但再想象一下,你的工作是給人建議的專欄作家,而且你一直收到大量來自隨機陌生人的合法信件。對你來說,郵局不知道什么是垃圾信件,什么不是。游戲服務器的流量往往就是這樣的情況。此外,UDP數(shù)據(jù)包中的源IP不安全,很容易被欺騙。我們的郵局甚至無法通過信封上的回郵地址來尋找線索,因為垃圾信件的發(fā)件人偽造了他們的地址。Steam提供了大量的游戲內容,并為此建立了一個龐大的網(wǎng)絡。我們已經(jīng)利用該網(wǎng)絡通過專用鏈路來傳輸游戲流量、獲得良好的對等互連、確保使用網(wǎng)絡工程的最佳實踐等。 這能使玩家ping時間保持在較低水平,但無法阻止DDoS攻擊。問題是在于UDP協(xié)議不安全,因此雖然我們擁有自己的網(wǎng)絡,但并不是私有的。為了防止攻擊者使用我們自己的網(wǎng)絡來攻擊我們的服務器,我們需要控制所有入口并保護它們。為了實現(xiàn)這個目標,我們?yōu)橛螒蛄髁縿?chuàng)建代理、通過中繼設備傳輸網(wǎng)絡上的每個數(shù)據(jù)包?,F(xiàn)在,當客戶端想要與游戲服務器通信時,它必須通過中繼設備來實現(xiàn),中繼設備既會對其進行身份驗證,又會將該流量代理到游戲服務器。這意味著服務器的IP地址始終都是隱藏的——攻擊者根本不會知道要攻擊哪里。重新使用上述的郵局比喻,我們的垃圾信件發(fā)送者再也沒有地址讓他們去寄送垃圾信件。他們可以把垃圾信件發(fā)送到該地區(qū)的每個郵局并要求他們郵寄,但沒有授權的情況下,郵局并不會這樣做。(而且,郵局會發(fā)現(xiàn)有人企圖向一個人寄出100000封信是有點可疑。)undefined但不能直接攻擊中繼設備嗎?嚴格來說,可以的。但我們的數(shù)量基本上是無限的,而且我們構建的目的就是為了被攻擊。“中繼設備”只是運行軟件的計算機的另一種說法??梢怨羲蚴蛊潆x線,但是設計協(xié)議時就考慮過這樣的情況。如果客戶端嘗試玩游戲并與中繼設備失去聯(lián)系,它只會再切換到下個設備。中繼設備就像散布在世界各地的數(shù)百個棋子,其唯一目的是守衛(wèi)游戲服務器。(順便說一句,干掉中繼設備比聽起來要難。它們的設計非常好,并且位于網(wǎng)絡的特定位置,所以盡管它們是為了離線而設計的,但我們還沒有失去過一個。)這個解決方案簡單但有效。之前如果有人想要破壞游戲,他們只需擊垮一臺游戲服務器(門檻非常低)?,F(xiàn)在他們必須擊垮整個數(shù)據(jù)中心——門檻非常非常高。那還有攻擊可以做到嗎?當然有。那還有任何人在網(wǎng)上花五美元買到的攻擊可以做到嗎?沒有。這么復雜的攻擊背后需要的財力超出了大多數(shù)人的承受范圍。隨著這個新系統(tǒng)的啟動和運行,我們頓悟了:如果我們控制自己的私有網(wǎng)絡,我們就不會受制于正?;ヂ?lián)網(wǎng)的工作原理。我們可以利用它來改善客戶體驗。在常規(guī)的互聯(lián)網(wǎng)中,當你將數(shù)據(jù)包從一個IP地址發(fā)送到另一個IP地址,你使用的路由是由邊界網(wǎng)關協(xié)議(BGP)來決定。這是一種路由算法,會決定你的數(shù)據(jù)包在網(wǎng)絡中的傳輸方式,并且你無權決定它挑選的路由。但是,了由數(shù)百個全球中繼設備和數(shù)據(jù)中心組成的虛擬私有網(wǎng)絡,我們基本上可以自行選擇從客戶端到游戲服務器的路由——通常是比默認路由更快的捷徑。如果你使用Steam數(shù)據(jù)報中繼(SDR),Steam Overlay會顯示你的ping時間以及我們?yōu)槟闾峁┑穆酚?,以便你可以親自了解是如何優(yōu)化的。undefined最初用于保護Dota游戲服務器的一個功能現(xiàn)在超出了所有人的預期。SDR網(wǎng)絡通常每秒傳輸多達140M數(shù)據(jù)包和550GBit。我們在31個數(shù)據(jù)中心設有中繼設備,容量超過5TBit?,F(xiàn)在我們所說的Steam數(shù)據(jù)報中繼不僅可以防止DDoS攻擊,還可以提升每個Dota玩家的連接穩(wěn)定性并且降低延遲。不僅適用于Dota,也適用于Steam上任何想要利用它的游戲。我們希望大家能再次從刀塔漫談中享受到樂趣。這次的文章技術性很強,感謝你能堅持讀完!也請隨時告訴我們,你希望下期介紹哪方面的內容。

相關閱讀:解決攻擊漫談

推薦新聞

錄像/集錦

  • 足球錄像
  • 籃球錄像
  • 足球集錦
  • 籃球集錦

熱門標簽

  • 足球
  • 籃球