Neuer Radar Report: DDoS - Trends entdecken, Schutz optimieren.Zum Report

Produkte

Lösungen

Ressourcen

Partner

Warum Gcore

  1. Home
  2. Case Studies
  3. Wie wir das Albion Online gegen umfangreiche und massive DDoS-Angriffe geschützt haben

Wie wir das Albion Online gegen umfangreiche und massive DDoS-Angriffe geschützt haben

  • January 29, 2020
  • 4 min read

Location

Berlin, Germany

Industry

Gaming

Product

Try Gcore Security

Try for free

Über Albion Online

Albion Online ist ein Sandbox-MMORPG, das in einer offenen mittelalterlichen Welt gespielt wird.

Das Spiel ermöglicht es, Rüstungen und Waffen für zahlreiche verschiedene Spielstile zu kombinieren, die Welt zu erforschen, andere Abenteuerlustige in aufregenden Schlachten herauszufordern, Gebiete zu erobern, Gegenstände herzustellen und eigene Häuser zu bauen.

Der offizielle Start des Spiels war im Jahr 2017, und im April 2019 wurde das Spiel kostenlos spielbar.

Today, Albion Online is a true cross-platform MMO available on Windows, MacOS, Linux, iOS, and Android.

Heute ist Albion Online ein echtes, plattformübergreifendes MMO, das unter Windows, MacOS, Linux, iOS und Android erhältlich ist.

Warum sich Sandbox Interactive für unser Hosting entschieden hat?

Der Free-to-Play-Start brachte riesige Mengen neuer Nutzer aus der ganzen Welt ins Spiel. Serverstabilität, Skalierbarkeit und ein effektiver DDoS-Schutz sind für ein Online-Spiel dieser Größenordnung von größter Bedeutung.

Dank unserer Erfolgsbilanz im Design und Support von Infrastrukturen für große Videospielentwickler wie Wargaming und RedFox Games haben die Albion Online Entwickler mit dem Hosting des Spiels Gcore beauftragt. Schließlich sind wir die einzige Hosting-Firma mit einer Infrastruktur, die mit dem Guinness-Weltrekord ausgezeichnet wurde!

DDoS-Angriffe nach Free-to-Play

DDoS-Attacken sind eine häufige Geißel in der Spieleindustrie, insbesondere für erfolgreiche Publisher. Sandbox Interactive war keine Ausnahme: Unmittelbar nach der Free-to-Play-Veröffentlichung wurde das Spiel in einer Reihe von koordinierten Angriffen, intensiver als üblich, ins Visier genommen.

Die Lösungen, mit denen wir bisher DDoS-Angriffe auf Client-Server abgebildet haben, passten nicht in den Fall Sandbox Interactive, da Albion Online über UDP-Flood angegriffen wurde.

Was ist ein sog. Generated UDP-Flood?

Generated UDP-Flood ist verteilter, künstlich erzeugter Datenverkehr. Ein Angreifer untersucht in der Regel vorab die Feinheiten der Spielanwendung und generiert dann UDP-Pakete aus manipulierten IP-Adressen (im Durchschnitt können mehr als 100.000 eindeutige IP-Adressen an einem einzigen Angriff beteiligt sein).

Was macht den Schutz vor solchen Angriffen schwierig?

Als Opfer werden IP-Adresse und Port des Servers (in unserem Fall die Adresse des Spielservers und der Anwendungs-Port) verwendet. In besonders schwierigen Fällen kann ein Angreifer die Größe (Fenster) eines legitimen Pakets erraten und die notwendige Bitrate für das SRC_IP- und DST_IP-Paar (one flow) erzeugen. Dadurch wird die Filterung effektiv unterbunden. Beispielsweise können Sie keine Gegenmaßnahmen verwenden, die auf der Grundlage der Ratenbegrenzung gefiltert werden. Wenn ein Angriff gut erzeugt wird, ist es fast unmöglich, legitimen (Spiel-)Verkehr vom illegitimen Verkehr anhand einer einfachen Analyse zu unterscheiden.

In der realen Welt kann die Spielanwendung UDP-Nutzlast verschlüsseln (z.B. DTLS), was Gegenmaßnahmen wie regex_based_filtering unbrauchbar macht. Eine regexp in der Nähe der von der Anwendung verwendeten zu finden, ist eine schwierige, aber mögliche Aufgabe. Es hängt alles von der Hartnäckigkeit des Angreifers ab.

Es gibt nicht allzu viele Gegenmaßnahmen, um solche Angriffe heraus zu filtern.

Welche Filtermethoden wurden benötigt?

Um DDoS-Angriffe auf Sandbox Interactive/Albion Online effektiv zu reflektieren, war die Unterstützung aller vorhandenen Filtermethoden erforderlich:

  • Geschwindigkeitsbegrenzung: Diese Gegenmaßnahme nutzt verschiedene Techniken zur Verkehrsbegrenzung, zum Beispiel über die Paare SRC_IP und DST_IP. Aber in diesem Fall erreicht ein Teil des Datenverkehrs immer noch den Server, und ein Angreifer kann eine ungefähre Bitrate der legitimen Anwendung erraten. Bei dynamischen Anwendungen ist diese Maßnahme nicht effizient.
  • Regexp-filtering: Man kann Pakete, die mit regexp im Payload übereinstimmen, entweder überspringen oder verwerfen. Das ist zwar recht effizient, aber für einige Arten von Anwendungen ist es nicht immer möglich, eine regexp für das Whitelisting zu schreiben, was bedeutet, dass wir nur „schlechte“ Pakete verwerfen können. In diesen Fällen wird diese Methode extrem ineffizient.
  • Whitelisting: Dies setzt eine Serveranmeldung voraus, bei der der Nutzer vorab authentifiziert wird und seine IP-Adresse der Whitelist hinzugefügt wird (z.B. über die API). Alles, was in der Whitelist enthalten ist, ist am Spielport erlaubt, der Rest wird verworfen. Die Methode hat Nachteile: Sie kann nicht immer architektonisch angemessen sein, und es ist schwierig, den aktuellen Stand der Whitelist beizubehalten (der Benutzer kann den Browser schließen, während er noch im System angemeldet ist), und die Verwendung von Idle-Timeout kann dazu führen, dass das System die Sitzung des Spielers nach einer bestimmten Zeitspanne blockiert, und er muss sich erneut authentifizieren. Darüber hinaus können einige Betreiber NAT aus dem Adresspool erstellen. Dies kann dazu führen, dass sich die IP-Adresse des Benutzers während des Spiels ändert.
  • Blacklisting: Funktioniert wie White-Listing, aber umgekehrt, d.h. bösartige Adressen werden der Liste hinzugefügt. (Tatsächlich gibt es nicht viele Fälle, in denen diese Gegenmaßnahme wirksam ist.)
  • IP-Geolokalisierungs filter: Dazu gehört die Sperrung von IP-Adressen aufgrund der geografischen Lage, z.B. aus besonders risikoreichen Ländern. Aber diese Gegenmaßnahme ist auch recht einfach zu umgehen.

Das Hauptproblem war daher, dass es nicht viele Lösungen auf dem Markt gab, die alle oben genannten Filtermethoden unterstützten. Unsere jedoch schon!

Die von uns vorgeschlagene Lösung

Um Albion Online vor DDoS-Angriffen zu schützen, empfahlen wir die Verwendung der Gcore Software-Suite.

Dies ist eine dieser Lösungen, die nicht nur alle oben genannten Gegenmaßnahmen unterstützen, sondern auch brandneu und beispiellos in der Angriffsminderungstechnologie sind.

Gcore Challenge Response (CR) ist eine dieser einzigartigen Methoden. Dies ist ein eigenständiges Protokoll, das die Integration in den Clientteil ermöglicht, die Herausforderung der Anwendung besteht und damit die IP-Adresse des Clients zu validiert.

Diese Lösung ist gut geeignet, wenn es nicht möglich ist, den Datenverkehr zu validieren. Wir empfehlen die Lösung bei allen Gaming-Anwendungen zu verwenden.

Oleg Yudin Leiter der Abteilung für globales Netzwerk und Sicherheitbei Gcore

Ergebnis: Albion Online ist jetzt sicher geschützt

Dank Gcore‘ Challenge Response (CR) haben wir Albion Online zuverlässig geschützt. Das Spiel bleibt für Nutzer auf der ganzen Welt zugänglich.

Tatsächlich dauern die Angriffe auf Albion Online immer noch an. Außerdem gibt es nun komplexere Angriffe mit einem neuen Vektor. Aber dank unserer Dienstleistung hat das Verhalten von Cyberkriminellen keine Auswirkungen auf das Geschäft des Kunden und die Spieler.

Oleg Yudin Leiter der Abteilung für globales Netzwerk und Sicherheitbei Gcore

Einen zuverlässigen und reaktionsschnellen Hosting-Partner zu haben, ist entscheidend für den Erfolg eines MMO-Spiels wie Albion Online. G‑Gcore liefert genau das. Ob es nun um die Implementierung einer fortschrittlichen DDoS-Schutzlösung für unser Spiel ging oder um die Lösung der Verbindungsprobleme einzelner Spieler, die Techniker der Gcore waren rund um die Uhr für uns da. Immer hilfsbereit, professionell und engagiert.

David Salz CTO bei Sandbox Interactive

Wie die Erfahrung unserer Kunden zeigt, ist es für den Erfolg in der Spieleindustrie wichtig, nicht nur spannende Spielwelten zu schaffen und zu erhalten, sondern auch eine leistungsfähige und unverletzliche Infrastruktur zu haben…

…und das ist es, was wir im Gcore für Sie tun können.

Wählen Sie einen Server aus und schützen Sie sich vor DDoS-Angriffen

Location

Berlin, Germany

Industry

Gaming

Product

Try Gcore Security

Try for free

More case studies

Wie wir Wargaming vor DDoS-Angriffen schützen

Wargaming ist einer der weltweit größten Publisher und Entwickler des Free-to-Play-MMO-Markts. Das Publikum der Wargaming-Spiele, darunter die Flagschiffprojekte World of Tanks und World of Warships, zählt mehr als 200 Millionen Nutzer auf allen namhaften Spieleplattformen.Die SituationIm Jahr 2020 hat sich die Struktur des weltweiten Datenverkehrs deutlich verändert. Unsere Forschungen haben einen dramatischen Anstieg des Content-Konsums in der Online-Gaming- und Unterhaltungsbranche ergeben. Mit wachsenden Interesse an diesen Branchen hat auch die Zahl der DDoS-Angriffe auf Infrastruktur und Spieleserver zugenommen.Eines dieser Ziele der Cyberkriminellen war unser Kunde, Wargaming.Wie Spieldevelopment im Jahr 2021 mit DDoS angegriffen wirdIn den letzten Jahren sind Angriffe immer intelligenter und ausgefeilter geworden. Sie richten sich zunehmend gegen die Webanwendungen selbst und nicht gegen bestimmte Server (L7 des OSI-Netzwerkmodells). Gleichzeitig versuchen die Angreifer sehr oft, legitimen Spielverkehr zu imitieren, was es schwierig macht, solche Angriffe zu erkennen und abzuwehren. Um einen Angriff zu verhindern und legitimen von bösartigem Traffic zu trennen, muss dieser empfangen und verarbeitet werden. Daher sind eine hohe Netzwerkkapazität und eine große Anzahl von Hochgeschwindigkeitskanälen die Hauptanforderungen im Kampf gegen DDoS-Angriffe. Wenn die Kanäle überlastet sind, kann der Traffic einfach nicht zum DDoS-Schutzsystem gelangen, um anschließend bereinigt zu werden. In solch einem Fall leiden nicht nur die geschützten Kunden, sondern der gesamte Standort.Welcher Angriff Wargaming trafAm 18. Februar 2021 entdeckten die Sicherheitssysteme von Gcore einen Angriff auf die Server von Wargaming. Das gesamte Datenvolumen des Angriffs betrug 253 Gbit/s, und er dauerte etwa 15 Minuten. Die Angreifer verwendeten die UDP-Flood-Methode.Was ist ein UDP-Flood?UDP-Flood ist verteilter, künstlich erzeugter Datenverkehr. Der Angreifer studiert in der Regel zuerst alle Feinheiten der Spielanwendung und generiert dann UDP-Pakete von gefälschten IP-Adressen (im Durchschnitt können mehr als 100.000 einzigartige IP-Adressen in einem Angriff verwendet werden).Wie wir diesen Angriff abgewehrt habenDurch den Einsatz von Filterregeln zum Schutz vor bekannten Verstärkungsangriffen konnten wir einen Teil des bösartigen Datenverkehrs an unseren Bereichsgrenzroutern abwehren. Den übrigen Teil leiteten wir an unser Reinigungssystem weiter, um diesen Traffic tiefer zu analysieren und eine fundiertere Entscheidung über Sperrungen zu treffen.Angriffe mit einer Kapazität von 200–300 Gbps sind heute keine Seltenheit mehr. Es ist wichtig, dass das Reinigungszentrum des Anbieters, das den Kundenschutz sicherstellt, große Mengen an Datenverkehr mit minimaler Latenz bewältigen kann. Bei Gcore erreichen wir das, indem wir ein dezentrales Serversystem verwenden und den Datenverkehr zwischen diesen Systemen ausgleichen.Andrey Slastenov Produktverantwortlicher für DDoS-Schutz bei GcoreUnsere Methode basiert auf der Übertragung eines geheimen Schlüssels zwischen der Client-Anwendung und der Reinigungszentrale, wodurch eine Trennung von legitimem und bösartigem Datenverkehr sichergestellt wird. So sorgen wir für die Sicherheit der Kundeninfrastruktur und die hochqualitative Reinigung des schädlichen Traffics. Wird ein leistungsstarker Angriff mit mehreren hundert Gigabit pro Sekunde erkannt, wird dieser Datenverkehr auf mehrere Server und mehrere Reinigungszentren verteilt, wodurch eine Überlastung des Servers oder eines ganzen Server-Clusters vermieden wird.Der Angriff auf die Wargaming-Ressourcen wurde erfolgreich abgewehrt, die Nutzer des Spieleservers konnten sich weiterhin über einen ununterbrochenen Service freuen, und der Server war die ganze Zeit über für Nutzer auf der ganzen Welt verfügbar.Andrey Slastenov Produktverantwortlicher für DDoS-Schutz bei GcoreWie wir einen Spielserver während eines DDoS-Angriffs verfügbar haltenAngriffe werden erkannt, und der Datenverkehr wird im Verkehrsvalidierungsmodus automatisch bereinigt.Der Schutz wird auf Anfrage aktiviert.Der Schutz wird individuell für Ihre Infrastruktur konfiguriert. Um maximale Effizienz zu erreichen, analysieren wir Ihr Datenverkehrsprofil und erarbeiten eine Reihe von wirksamen Maßnahmen.Wir melden alle Unregelmäßigkeiten im Datenverkehr sofort an den technischen Support. Wir erkennen Angriffe in der Regel innerhalb von 1 Minute.Wenn eine Entscheidung zur Bereinigung getroffen wird, wird der gesamte eingehende Datenverkehr durch die Filterungsplattform geleitet. So kommt nur noch sauberes Traffic über einen dedizierten Kanal bei Ihren Servern an.Wie wir jede DDoS-Attacke erfolgreich abwehrenDie enorme Bandbreite des Gcore Netzwerks erlaubt es uns, Dutzende von Terabits Traffic zu verarbeiten.Unser fortschrittliches Traffic-Reinigungssystem ist in der Lage, Angriffe mit Hunderten von Gigabit pro Sekunde zu empfangen, erkennen und zu neutralisieren.Die umfangreichen Schutzalgorithmen schließen die Möglichkeit aus, unser Reinigungssystem zu umgehen, selbst wenn die Angreifer einen dem legitimen Spielverkehr ähnlichen Traffic zum Angriff verwenden.Aktivieren Sie den Infrastrukturschutz

Subscribe
to our newsletter

Get the latest industry trends, exclusive insights, and Gcore updates delivered straight to your inbox.