【文/觀察者網 呂棟 編輯/張廣凱】
「近年來極為罕見,攻擊指令一夜暴漲2萬多倍」、「發出攻擊指令的伺服器,有8個在美國,3個在英國,剩下分布在全球多個國家」、「中國出了一款登頂全球的遊戲,有人這麽不開心嗎?」.....
近日,首款國產3A遊戲大作【黑神話:悟空】上線引發全球關註,全平台最高同時線上人數達300萬。但8月24日晚,Steam平台遭到大規模DDoS網絡攻擊,突然崩潰,全球多國玩家紛紛反饋無法登入遊戲,也讓【黑神話:悟空】即時線上人數驟降到百萬以下。
對一款遊戲來說,如果持續遭到網絡攻擊一天,玩家數量將流失80%。這對遊戲而言,顯然是致命的。而根據奇安信XLab實驗室公布的數據,有近60個僵屍網絡主控發起了此次攻擊,攻擊指令一夜暴漲2萬多倍。除了Steam自身的伺服器外,國內完美世界代理的Steam伺服器也被列為了攻擊目標,一共13個國家和地區的107個Steam伺服器IP遭到襲擊。
這次網絡攻擊的幕後主使是誰、有何目的、如何防範?一些網絡安全行業專家向我們講述了細節。
「這次攻擊明顯很有針對性,前後一共發動了4次攻擊。周六(8月24日)中午發動過一次,晚上從6點攻擊到晚上11點,周日早上又開始打,這時恰好是北美地區的晚上,第四次是8月26日淩晨4點,正好是歐洲的晚上。攻擊者似乎有意選擇在各個時區的遊戲玩家線上高峰時段發起攻擊,以實作最大的破壞效果。」奇安信Xlab安全專家對觀察者網說道。
【黑神話:悟空】遊戲圖片
從攻擊的時間選擇、地域分布,以及同時針對國內外Steam伺服器的策略來看,攻擊者的目的顯然是在重點擾亂中國市場的同時,在全球範圍內對Steam平台的正常營運造成全面幹擾。這種有組織的攻擊行為,反映出攻擊者在策略上的計劃性和對目標的明確針對性。
「整體上看,這個事件有明顯的政治、意識形態和地緣利益背景,有可能是某個行為體,或多個行為體。出於上述原因,使用所掌握的或臨時租用大規模僵屍網絡進行DDoS攻擊,幹擾遊戲執行。」安天科技集團聯合創始人、技術委員會副主任李柏松向觀察者網分析稱。
在這次網絡攻擊中,僵屍網絡、DDoS攻擊等專業名詞頻繁出現,它們又有什麽含義?
DDoS攻擊的全稱是分散式阻斷服務攻擊,是一種常見的網絡攻擊手段。簡單來說,就是攻擊者透過軟件或系統漏洞控制大量電腦(行業稱「肉雞」,bot),並安裝惡意軟件。隨後透過指令控制它們向目標伺服器發送大量垃圾請求,占滿伺服器或頻寬資源,讓對方無法提供服務。
「DDoS攻擊大多數是依靠大規模僵屍網絡節點發起的,而僵屍網絡則是透過長期的自動化入侵、擴散形成的。全球有不同黑產組織控制的眾多大小規模的僵屍網絡體系,從小規模的幾十、幾百個節點的,大到幾十萬、百萬規模節點的都有。這些僵屍網絡成為了一個攻擊基礎設施,可以被攻擊者進行租用。」李柏松表示。
僵屍網絡大致示意圖
根據奇安信報告,此次對Steam平台的攻擊中有多個僵屍網絡參與,其中的的主力是自稱AISURU僵屍網絡,在其telegram頻道中聲稱擁有超過30000個bot節點,攻擊能力在1.3-2T左右。
而DDoS攻擊常見的目的有幾個。首要是要讓目標伺服器癱瘓,給被攻擊的目標造成一定經濟損失;第二是為了制造混亂,幹擾遊戲玩家或者企業的正常營運,可能競爭對手之間使用的比較多;第三有可能被用來掩護更高級的攻擊;第四可能被用來表達政治動機或者抗議。
「此次攻擊事件一共觀察到28萬條針對Steam平台的攻擊指令,」奇安信Xlab安全專家坦言,「Steam全球各地區機房伺服器被輪著打,包括國內完美世界代理的Steam伺服器也一並被扒出來攻擊,【黑神話:悟空】上線之前,我們從未發現完美世界Steam伺服器遭遇過DDoS攻擊。且攻擊時長多達幾個小時,專挑各地區玩家線上高峰期攻擊,這是極其少見的。」
「廣大遊戲玩家線上的高峰時期,Steam平台遭遇如此大規模的DDoS攻擊,很難讓人不聯想此次攻擊事件不是針對國產3A遊戲大作【黑神話:悟空】。我們團隊在大規模僵屍網絡發現&跟蹤領域已經專註超過10年,但此次攻擊的組織度,烈度依然讓我們覺得很驚奇。中國出了一款登頂全球的遊戲,有人這麽不開心嗎?」這位安全專家對觀察者網直言。
既然是惡意攻擊,那能否揪出幕後真兇?目前來看比較困難。從DDoS攻擊流程來看,是由實際攻擊者或者僵屍網絡的營運者,操縱主控端向被控端(肉雞)發出攻擊指令,再由被控端執行攻擊。但安全公司的現有技術手段,只能定位主控端伺服器的位置,無法揪出真兇。
過去一年針對steam平台的攻擊事件攻擊指令趨勢
「主控端伺服器有8個在美國,3個在英國,剩下的分布在南韓、俄羅斯、新加坡、日本、印度尼西亞、荷蘭、瑞士等全球多地,IP有多個。但就算看出伺服器在哪個國家,也並沒有用,因為中國人也可以將伺服器放到美國,背後的攻擊者是誰很難定位。」前述安全專家稱。
李柏松也認為,僵屍網絡執行有不同的控制方式,有的采取多級中心控制方式,也有的采取P2P的控制方式,準確定位背後的攻擊肇事者,是有很大難度的。
「大規模DDoS攻擊中,發包機(主控端伺服器)的物理位置意義不大。而且,僵屍網絡的營運者和實際攻擊者較大可能不是一夥人,雙方可能透過網絡連線,透過虛擬貨幣結算,彼此不知道誰是誰,租用價格成本也比較低廉。此外,對攻擊的捕獲、阻斷、環節、處置、統計等主要依靠Steam的安全營運,其他第三方難以獲得有效數據。」他說道。
但李柏松也補充稱,安全企業和團隊依然可以透過在已經監測、關註的僵屍網絡體系中,尋找攻擊痕跡和線索,包括應急部門可以釘選部份分布在境內的受控僵屍主機展開聯合分析工作。
找出幕後主使比較困難,那遊戲平台或企業有辦法防禦DDoS攻擊嗎?
前述奇安信Xlab安全專家對觀察者網分析稱,企業可以在網絡容量方面做周密規劃,以防止這種大規模攻擊;其次像遊戲產業,需要深入了解正常使用者的流量是多少,異常流量是多大,當網絡攻擊發生的時候,及時把不正常的流量給清出去;第三是部署內容分發網絡(CND),可以一定程度上抵禦DDoS攻擊;同時也可以跟營運商合作,在網絡層面進行流量過濾或限制,及時清除惡意流量。
耐人尋味的是,這次直指【黑神話:悟空】的大規模網絡攻擊,外媒卻鮮有報道。在李柏松看來,安全產業主體和組織的關註度已經高度陣營化,西方安全企業也就不會去關註分析這次事件了。
事實上,遭受DDoS攻擊在遊戲行業中也是極其普遍的現象。網絡安全公司Gcore釋出的數據顯示,2024年上半年,全球DDoS攻擊事件顯著增加,數量達到44.5萬起,同比增加46%,環比增加34%。遊戲和博彩業仍然是攻擊的重災區,占上半年事件總數的49%,線上遊戲的高風險和競爭性使其特別容易受到此類破壞。
