网络游戏该如何防护ddos/cc攻击

现在做网络游戏的企业都知道服务器的安全对于我们来说很重要！互联网上面的 DDoS 攻击和 CC 攻击等等无处不在，而游戏服务器对服务器的防御能力和处理能力要求更高，普通的服务器则是比较注重各方面能力的均衡。

随着游戏行业的壮大，网络游戏的结构框架也已经暴露在网络安全的威胁之下，而这里面拒绝服务 DoS 攻击和基于 DoS 的分布式拒绝服务 DDoS 攻击是最常见的两种攻击方式。尤其是 DDoS，随着高速网络的不断普及，更大规模 DDoS 攻击的威胁也越来越大。

面对 DDoS 攻击的威胁我们该怎么做呢？

一、确保服务器系统安全

1. 确保服务器的系统文件是最新的版本，并及时更新系统补丁。

2. 管理员需对所有主机进行检查，知道访问者的来源。

3. 过滤不必要的服务和端口，可以使用工具来过滤不必要的服务和端口，即在路由器上过滤假 IP. 只开放服务端口成为目前很多服务器的流行做法，例如 WWW 服务器那么只开放 80 而将其他所有端口关闭或在防火墙上做阻止策略。

4. 限制同时打开的 SYN 半连接数目，缩短 SYN 半连接的 time out 时间，限制 SYN/ICMP 流量。

5. 正确设置防火墙，在防火墙上运行端口映射程序或端口扫描程序。

6. 认真检查网络设备和主机 / 服务器系统的日志。只要日志出现漏洞或是时间变更，那这台机器就可能遭到了攻击。

7. 限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会，若黑客以特洛伊木马替换它，文件传输功能无疑会陷入瘫痪。

8. 充分利用网络设备保护网络资源。

9、在路由器上禁用 ICMP。仅在需要测试时开放 ICMP。在配置路由器时也考虑下面的策略：流控，包过滤，半连接超时，垃圾包丢弃，来源伪造的数据包丢弃，SYN 阀值，禁用 ICMP 和 UDP 广播。

10、使用高可扩展性的 DNS 设备来保护针对 DNS 的 DDOS 攻击。可以考虑购买 Cloudfair 的商业解决方案，它可以提供针对 DNS 或 TCP/IP3 到 7 层的 DDOS 攻击保护。

11、启用路由器或防火墙的反 IP 欺骗功能。在 CISCO 的 ASA 防火墙中配置该功能要比在路由器中更方便。在 ASDM（Cisco Adaptive Security Device Manager）中启用该功能只要点击 “配置” 中的 “防火墙”，找到 “anti-spoofing” 然后点击启用即可。也可以在路由器中使用 ACL（access control list）来防止 IP 欺骗，先针对内网创建 ACL，然后应用到互联网的接口上。

二、隐藏服务器的真实 IP 地址

服务器防御 DDOS 攻击最根本的措施就是隐藏服务器真实 IP 地址。当服务器对外传送信息时就可能会泄露 IP，例如，我们常见的使用服务器发送邮件功能就会泄露服务器的 IP，因而，我们在发送邮件时，需要通过第三方代理发送，这样子显示出来的 IP 是代理 IP，因而不会泄露真实 IP 地址。在资金充足的情况下，可以选择高防服务器，且在服务器前端加 CDN 中转，所有的域名和子域都使用 CDN 来解析。

三、选择带有 DDOS 硬件防火墙的机房

目前大部分的硬防机房对 100G 以内的 DDOS 流量攻击都能做到有效防护。选择硬防主要是针对 DDOS 流量攻击这一块的，如果你的企业网站一直遭受流量攻击的困扰，那你可以考虑将你的网站服务器放到 DDOS 防御机房。但是有的流量攻击超出了硬防的防护范围了，那就得考虑下面第二种了。

四、CDN 流量清洗防御

目前大部分的 CDN 节点都有 200G 的流量防护功能，在加上硬防的防护，可以说能应付目前绝大多数的 DDOS 流量攻击了。同时，CDN 技术不仅对企业网站流量攻击有防护功能，而且还能对企业网站进行加速 (前提要针对 CDN 节点位置)。解决部分地区打开网站缓慢的问题。

五、负载均衡技术

这一类主要针对 DDOS 攻击中的 CC 攻击进行防护，这种攻击手法使 web 服务器或其他类型的服务器由于大量的网络传输而过载，一般这些网络流量是针对某一个页面或一个链接而产生的。当然这种现象也会在访问量较大的网站上正常发生，但我们一定要把这些正常现象和分布式拒绝服务攻击区分开来。在企业网站加了负载均衡方案后，不仅有对网站起到 CC 攻击防护作用，也能将访问用户进行均衡分配到各个 web 服务器上，减少单个 web 服务器负担，加快网站访问速度。

六、云防护或者游戏盾

如果不想换机房可以考虑云防护之类的产品，价格相对高防机房高，但是比高防机房靠谱。24 小时自动防御，而且一般高防机房最多两三百 G 甚至上百 G 左右就打死了（注：打死了就真没了），而且是三线城市带宽，速度也比较慢，云防护或者游戏盾可以有效解决这类问题而且还可以就近 CDN 加速，想省心省事儿的公司可以考虑。

七、在骨干节点配置防火墙

防火墙本身能抵御 DDoS 攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是 linux 以及 unix 等漏洞少和天生防范攻击优秀的系统。