Wie wir das Albion Online gegen umfangreiche und massive DDoS-Angriffe geschĂŒtzt haben

Wie wir das Albion Online gegen umfangreiche und massive DDoS-Angriffe geschĂŒtzt haben

Über Albion Online

Albion Online ist ein Sandbox-MMORPG, das in einer offenen mittelalterlichen Welt gespielt wird.

Das Spiel ermöglicht es, RĂŒstungen und Waffen fĂŒr zahlreiche verschiedene Spielstile zu kombinieren, die Welt zu erforschen, andere Abenteuerlustige in aufregenden Schlachten herauszufordern, Gebiete zu erobern, GegenstĂ€nde herzustellen und eigene HĂ€user zu bauen.

Der offizielle Start des Spiels war im Jahr 2017, und im April 2019 wurde das Spiel kostenlos spielbar.

Today, Albion Online is a true cross-platform MMO available on Windows, MacOS, Linux, iOS, and Android.

Heute ist Albion Online ein echtes, plattformĂŒbergreifendes MMO, das unter Windows, MacOS, Linux, iOS und Android erhĂ€ltlich ist.

Warum sich Sandbox Interactive fĂŒr unser Hosting entschieden hat?

Der Free-to-Play-Start brachte riesige Mengen neuer Nutzer aus der ganzen Welt ins Spiel. ServerstabilitĂ€t, Skalierbarkeit und ein effektiver DDoS-Schutz sind fĂŒr ein Online-Spiel dieser GrĂ¶ĂŸenordnung von grĂ¶ĂŸter Bedeutung.

Dank unserer Erfolgsbilanz im Design und Support von Infrastrukturen fĂŒr große Videospielentwickler wie Wargaming und RedFox Games haben die Albion Online Entwickler mit dem Hosting des Spiels Gcore beauftragt. Schließlich sind wir die einzige Hosting-Firma mit einer Infrastruktur, die mit dem Guinness-Weltrekord ausgezeichnet wurde!

DDoS-Angriffe nach Free-to-Play

DDoS-Attacken sind eine hĂ€ufige Geißel in der Spieleindustrie, insbesondere fĂŒr erfolgreiche Publisher. Sandbox Interactive war keine Ausnahme: Unmittelbar nach der Free-to-Play-Veröffentlichung wurde das Spiel in einer Reihe von koordinierten Angriffen, intensiver als ĂŒblich, ins Visier genommen.

Die Lösungen, mit denen wir bisher DDoS-Angriffe auf Client-Server abgebildet haben, passten nicht in den Fall Sandbox Interactive, da Albion Online ĂŒber UDP-Flood angegriffen wurde.

Was ist ein sog. Generated UDP-Flood?

Generated UDP-Flood ist verteilter, kĂŒnstlich erzeugter Datenverkehr. Ein Angreifer untersucht in der Regel vorab die Feinheiten der Spielanwendung und generiert dann UDP-Pakete aus manipulierten IP-Adressen (im Durchschnitt können mehr als 100.000 eindeutige IP-Adressen an einem einzigen Angriff beteiligt sein).

Was macht den Schutz vor solchen Angriffen schwierig?

Als Opfer werden IP-Adresse und Port des Servers (in unserem Fall die Adresse des Spielservers und der Anwendungs-Port) verwendet. In besonders schwierigen FĂ€llen kann ein Angreifer die GrĂ¶ĂŸe (Fenster) eines legitimen Pakets erraten und die notwendige Bitrate fĂŒr das SRC_IP- und DST_IP-Paar (one flow) erzeugen. Dadurch wird die Filterung effektiv unterbunden. Beispielsweise können Sie keine Gegenmaßnahmen verwenden, die auf der Grundlage der Ratenbegrenzung gefiltert werden. Wenn ein Angriff gut erzeugt wird, ist es fast unmöglich, legitimen (Spiel-)Verkehr vom illegitimen Verkehr anhand einer einfachen Analyse zu unterscheiden.

In der realen Welt kann die Spielanwendung UDP-Nutzlast verschlĂŒsseln (z.B. DTLS), was Gegenmaßnahmen wie regex_based_filtering unbrauchbar macht. Eine regexp in der NĂ€he der von der Anwendung verwendeten zu finden, ist eine schwierige, aber mögliche Aufgabe. Es hĂ€ngt alles von der HartnĂ€ckigkeit des Angreifers ab.

Es gibt nicht allzu viele Gegenmaßnahmen, um solche Angriffe heraus zu filtern.

Welche Filtermethoden wurden benötigt?

Um DDoS-Angriffe auf Sandbox Interactive/Albion Online effektiv zu reflektieren, war die UnterstĂŒtzung aller vorhandenen Filtermethoden erforderlich:

  • Geschwindigkeitsbegrenzung: Diese Gegenmaßnahme nutzt verschiedene Techniken zur Verkehrsbegrenzung, zum Beispiel ĂŒber die Paare SRC_IP und DST_IP. Aber in diesem Fall erreicht ein Teil des Datenverkehrs immer noch den Server, und ein Angreifer kann eine ungefĂ€hre Bitrate der legitimen Anwendung erraten. Bei dynamischen Anwendungen ist diese Maßnahme nicht effizient.
  • Regexp-filtering: Man kann Pakete, die mit regexp im Payload ĂŒbereinstimmen, entweder ĂŒberspringen oder verwerfen. Das ist zwar recht effizient, aber fĂŒr einige Arten von Anwendungen ist es nicht immer möglich, eine regexp fĂŒr das Whitelisting zu schreiben, was bedeutet, dass wir nur „schlechte“ Pakete verwerfen können. In diesen FĂ€llen wird diese Methode extrem ineffizient.
  • Whitelisting: Dies setzt eine Serveranmeldung voraus, bei der der Nutzer vorab authentifiziert wird und seine IP-Adresse der Whitelist hinzugefĂŒgt wird (z.B. ĂŒber die API). Alles, was in der Whitelist enthalten ist, ist am Spielport erlaubt, der Rest wird verworfen. Die Methode hat Nachteile: Sie kann nicht immer architektonisch angemessen sein, und es ist schwierig, den aktuellen Stand der Whitelist beizubehalten (der Benutzer kann den Browser schließen, wĂ€hrend er noch im System angemeldet ist), und die Verwendung von Idle-Timeout kann dazu fĂŒhren, dass das System die Sitzung des Spielers nach einer bestimmten Zeitspanne blockiert, und er muss sich erneut authentifizieren. DarĂŒber hinaus können einige Betreiber NAT aus dem Adresspool erstellen. Dies kann dazu fĂŒhren, dass sich die IP-Adresse des Benutzers wĂ€hrend des Spiels Ă€ndert.
  • Blacklisting: Funktioniert wie White-Listing, aber umgekehrt, d.h. bösartige Adressen werden der Liste hinzugefĂŒgt. (TatsĂ€chlich gibt es nicht viele FĂ€lle, in denen diese Gegenmaßnahme wirksam ist.)
  • IP-Geolokalisierungs filter: Dazu gehört die Sperrung von IP-Adressen aufgrund der geografischen Lage, z.B. aus besonders risikoreichen LĂ€ndern. Aber diese Gegenmaßnahme ist auch recht einfach zu umgehen.

Das Hauptproblem war daher, dass es nicht viele Lösungen auf dem Markt gab, die alle oben genannten Filtermethoden unterstĂŒtzten. Unsere jedoch schon!

Die von uns vorgeschlagene Lösung

Um Albion Online vor DDoS-Angriffen zu schĂŒtzen, empfahlen wir die Verwendung der Gcore Software-Suite.

Dies ist eine dieser Lösungen, die nicht nur alle oben genannten Gegenmaßnahmen unterstĂŒtzen, sondern auch brandneu und beispiellos in der Angriffsminderungstechnologie sind.

Gcore Challenge Response (CR) ist eine dieser einzigartigen Methoden. Dies ist ein eigenstÀndiges Protokoll, das die Integration in den Clientteil ermöglicht, die Herausforderung der Anwendung besteht und damit die IP-Adresse des Clients zu validiert.

Diese Lösung ist gut geeignet, wenn es nicht möglich ist, den Datenverkehr zu validieren. Wir empfehlen die Lösung bei allen Gaming-Anwendungen zu verwenden.

Oleg Yudin

Leiter der Abteilung fĂŒr globales Netzwerk und Sicherheitbei Gcore

Ergebnis: Albion Online ist jetzt sicher geschĂŒtzt

Dank Gcore‘ Challenge Response (CR) haben wir Albion Online zuverlĂ€ssig geschĂŒtzt. Das Spiel bleibt fĂŒr Nutzer auf der ganzen Welt zugĂ€nglich.

TatsĂ€chlich dauern die Angriffe auf Albion Online immer noch an. Außerdem gibt es nun komplexere Angriffe mit einem neuen Vektor. Aber dank unserer Dienstleistung hat das Verhalten von Cyberkriminellen keine Auswirkungen auf das GeschĂ€ft des Kunden und die Spieler.

Oleg Yudin

Leiter der Abteilung fĂŒr globales Netzwerk und Sicherheitbei Gcore

Einen zuverlĂ€ssigen und reaktionsschnellen Hosting-Partner zu haben, ist entscheidend fĂŒr den Erfolg eines MMO-Spiels wie Albion Online. G‑Gcore liefert genau das. Ob es nun um die Implementierung einer fortschrittlichen DDoS-Schutzlösung fĂŒr unser Spiel ging oder um die Lösung der Verbindungsprobleme einzelner Spieler, die Techniker der Gcore waren rund um die Uhr fĂŒr uns da. Immer hilfsbereit, professionell und engagiert.

David Salz

CTO bei Sandbox Interactive

Wie die Erfahrung unserer Kunden zeigt, ist es fĂŒr den Erfolg in der Spieleindustrie wichtig, nicht nur spannende Spielwelten zu schaffen und zu erhalten, sondern auch eine leistungsfĂ€hige und unverletzliche Infrastruktur zu haben



und das ist es, was wir im Gcore fĂŒr Sie tun können.

WĂ€hlen Sie einen Server aus und schĂŒtzen Sie sich vor DDoS-Angriffen

Subscribe to our newsletter

Stay informed about the latest updates, news, and insights.