Wie wir das Albion Online gegen umfangreiche und massive DDoS-Angriffe geschützt haben

Über Albion Online

Albion Online ist ein Sandbox-MMORPG, das in einer offenen mittelalterlichen Welt gespielt wird.

Das Spiel ermöglicht es, Rüstungen und Waffen für zahlreiche verschiedene Spielstile zu kombinieren, die Welt zu erforschen, andere Abenteuerlustige in aufregenden Schlachten herauszufordern, Gebiete zu erobern, Gegenstände herzustellen und eigene Häuser zu bauen.

Der offizielle Start des Spiels war im Jahr 2017, und im April 2019 wurde das Spiel kostenlos spielbar.

Today, Albion Online is a true cross-platform MMO available on Windows, MacOS, Linux, iOS, and Android.

Heute ist Albion Online ein echtes, plattformübergreifendes MMO, das unter Windows, MacOS, Linux, iOS und Android erhältlich ist.

Warum sich Sandbox Interactive für unser Hosting entschieden hat?

Der Free-to-Play-Start brachte riesige Mengen neuer Nutzer aus der ganzen Welt ins Spiel. Serverstabilität, Skalierbarkeit und ein effektiver DDoS-Schutz sind für ein Online-Spiel dieser Größenordnung von größter Bedeutung.

Dank unserer Erfolgsbilanz im Design und Support von Infrastrukturen für große Videospielentwickler wie Wargaming und RedFox Games haben die Albion Online Entwickler mit dem Hosting des Spiels Gcore beauftragt. Schließlich sind wir die einzige Hosting-Firma mit einer Infrastruktur, die mit dem Guinness-Weltrekord ausgezeichnet wurde!

DDoS-Angriffe nach Free-to-Play

DDoS-Attacken sind eine häufige Geißel in der Spieleindustrie, insbesondere für erfolgreiche Publisher. Sandbox Interactive war keine Ausnahme: Unmittelbar nach der Free-to-Play-Veröffentlichung wurde das Spiel in einer Reihe von koordinierten Angriffen, intensiver als üblich, ins Visier genommen.

Die Lösungen, mit denen wir bisher DDoS-Angriffe auf Client-Server abgebildet haben, passten nicht in den Fall Sandbox Interactive, da Albion Online über UDP-Flood angegriffen wurde.

Was ist ein sog. Generated UDP-Flood?

Generated UDP-Flood ist verteilter, künstlich erzeugter Datenverkehr. Ein Angreifer untersucht in der Regel vorab die Feinheiten der Spielanwendung und generiert dann UDP-Pakete aus manipulierten IP-Adressen (im Durchschnitt können mehr als 100.000 eindeutige IP-Adressen an einem einzigen Angriff beteiligt sein).

Was macht den Schutz vor solchen Angriffen schwierig?

Als Opfer werden IP-Adresse und Port des Servers (in unserem Fall die Adresse des Spielservers und der Anwendungs-Port) verwendet. In besonders schwierigen Fällen kann ein Angreifer die Größe (Fenster) eines legitimen Pakets erraten und die notwendige Bitrate für das SRC_IP- und DST_IP-Paar (one flow) erzeugen. Dadurch wird die Filterung effektiv unterbunden. Beispielsweise können Sie keine Gegenmaßnahmen verwenden, die auf der Grundlage der Ratenbegrenzung gefiltert werden. Wenn ein Angriff gut erzeugt wird, ist es fast unmöglich, legitimen (Spiel-)Verkehr vom illegitimen Verkehr anhand einer einfachen Analyse zu unterscheiden.

In der realen Welt kann die Spielanwendung UDP-Nutzlast verschlüsseln (z.B. DTLS), was Gegenmaßnahmen wie regex_based_filtering unbrauchbar macht. Eine regexp in der Nähe der von der Anwendung verwendeten zu finden, ist eine schwierige, aber mögliche Aufgabe. Es hängt alles von der Hartnäckigkeit des Angreifers ab.

Es gibt nicht allzu viele Gegenmaßnahmen, um solche Angriffe heraus zu filtern.

Welche Filtermethoden wurden benötigt?

Um DDoS-Angriffe auf Sandbox Interactive/Albion Online effektiv zu reflektieren, war die Unterstützung aller vorhandenen Filtermethoden erforderlich:

• Geschwindigkeitsbegrenzung: Diese Gegenmaßnahme nutzt verschiedene Techniken zur Verkehrsbegrenzung, zum Beispiel über die Paare SRC_IP und DST_IP. Aber in diesem Fall erreicht ein Teil des Datenverkehrs immer noch den Server, und ein Angreifer kann eine ungefähre Bitrate der legitimen Anwendung erraten. Bei dynamischen Anwendungen ist diese Maßnahme nicht effizient.
• Regexp-filtering: Man kann Pakete, die mit regexp im Payload übereinstimmen, entweder überspringen oder verwerfen. Das ist zwar recht effizient, aber für einige Arten von Anwendungen ist es nicht immer möglich, eine regexp für das Whitelisting zu schreiben, was bedeutet, dass wir nur „schlechte“ Pakete verwerfen können. In diesen Fällen wird diese Methode extrem ineffizient.
• Whitelisting: Dies setzt eine Serveranmeldung voraus, bei der der Nutzer vorab authentifiziert wird und seine IP-Adresse der Whitelist hinzugefügt wird (z.B. über die API). Alles, was in der Whitelist enthalten ist, ist am Spielport erlaubt, der Rest wird verworfen. Die Methode hat Nachteile: Sie kann nicht immer architektonisch angemessen sein, und es ist schwierig, den aktuellen Stand der Whitelist beizubehalten (der Benutzer kann den Browser schließen, während er noch im System angemeldet ist), und die Verwendung von Idle-Timeout kann dazu führen, dass das System die Sitzung des Spielers nach einer bestimmten Zeitspanne blockiert, und er muss sich erneut authentifizieren. Darüber hinaus können einige Betreiber NAT aus dem Adresspool erstellen. Dies kann dazu führen, dass sich die IP-Adresse des Benutzers während des Spiels ändert.
• Blacklisting: Funktioniert wie White-Listing, aber umgekehrt, d.h. bösartige Adressen werden der Liste hinzugefügt. (Tatsächlich gibt es nicht viele Fälle, in denen diese Gegenmaßnahme wirksam ist.)
• IP-Geolokalisierungs filter: Dazu gehört die Sperrung von IP-Adressen aufgrund der geografischen Lage, z.B. aus besonders risikoreichen Ländern. Aber diese Gegenmaßnahme ist auch recht einfach zu umgehen.

Das Hauptproblem war daher, dass es nicht viele Lösungen auf dem Markt gab, die alle oben genannten Filtermethoden unterstützten. Unsere jedoch schon!

Die von uns vorgeschlagene Lösung

Um Albion Online vor DDoS-Angriffen zu schützen, empfahlen wir die Verwendung der Gcore Software-Suite.

Dies ist eine dieser Lösungen, die nicht nur alle oben genannten Gegenmaßnahmen unterstützen, sondern auch brandneu und beispiellos in der Angriffsminderungstechnologie sind.

Gcore Challenge Response (CR) ist eine dieser einzigartigen Methoden. Dies ist ein eigenständiges Protokoll, das die Integration in den Clientteil ermöglicht, die Herausforderung der Anwendung besteht und damit die IP-Adresse des Clients zu validiert.

Diese Lösung ist gut geeignet, wenn es nicht möglich ist, den Datenverkehr zu validieren. Wir empfehlen die Lösung bei allen Gaming-Anwendungen zu verwenden.

Oleg Yudin Leiter der Abteilung für globales Netzwerk und Sicherheitbei Gcore

Ergebnis: Albion Online ist jetzt sicher geschützt

Dank Gcore‘ Challenge Response (CR) haben wir Albion Online zuverlässig geschützt. Das Spiel bleibt für Nutzer auf der ganzen Welt zugänglich.

Tatsächlich dauern die Angriffe auf Albion Online immer noch an. Außerdem gibt es nun komplexere Angriffe mit einem neuen Vektor. Aber dank unserer Dienstleistung hat das Verhalten von Cyberkriminellen keine Auswirkungen auf das Geschäft des Kunden und die Spieler.

Oleg Yudin Leiter der Abteilung für globales Netzwerk und Sicherheitbei Gcore

Einen zuverlässigen und reaktionsschnellen Hosting-Partner zu haben, ist entscheidend für den Erfolg eines MMO-Spiels wie Albion Online. G‑Gcore liefert genau das. Ob es nun um die Implementierung einer fortschrittlichen DDoS-Schutzlösung für unser Spiel ging oder um die Lösung der Verbindungsprobleme einzelner Spieler, die Techniker der Gcore waren rund um die Uhr für uns da. Immer hilfsbereit, professionell und engagiert.

David Salz CTO bei Sandbox Interactive

Wie die Erfahrung unserer Kunden zeigt, ist es für den Erfolg in der Spieleindustrie wichtig, nicht nur spannende Spielwelten zu schaffen und zu erhalten, sondern auch eine leistungsfähige und unverletzliche Infrastruktur zu haben…

…und das ist es, was wir im Gcore für Sie tun können.

Wählen Sie einen Server aus und schützen Sie sich vor DDoS-Angriffen