Wargaming ist einer der weltweit größten Publisher und Entwickler des Free-to-Play-MMO-Markts. Das Publikum der Wargaming-Spiele, darunter die Flagschiffprojekte World of Tanks und World of Warships, zählt mehr als 200 Millionen Nutzer auf allen namhaften Spieleplattformen.
Die Situation
Im Jahr 2020 hat sich die Struktur des weltweiten Datenverkehrs deutlich verändert. Unsere Forschungen haben einen dramatischen Anstieg des Content-Konsums in der Online-Gaming- und Unterhaltungsbranche ergeben. Mit wachsenden Interesse an diesen Branchen hat auch die Zahl der DDoS-Angriffe auf Infrastruktur und Spieleserver zugenommen.
Eines dieser Ziele der Cyberkriminellen war unser Kunde, Wargaming.
Wie Spieldevelopment im Jahr 2021 mit DDoS angegriffen wird
In den letzten Jahren sind Angriffe immer intelligenter und ausgefeilter geworden. Sie richten sich zunehmend gegen die Webanwendungen selbst und nicht gegen bestimmte Server (L7 des OSI-Netzwerkmodells). Gleichzeitig versuchen die Angreifer sehr oft, legitimen Spielverkehr zu imitieren, was es schwierig macht, solche Angriffe zu erkennen und abzuwehren. Um einen Angriff zu verhindern und legitimen von bösartigem Traffic zu trennen, muss dieser empfangen und verarbeitet werden. Daher sind eine hohe Netzwerkkapazität und eine große Anzahl von Hochgeschwindigkeitskanälen die Hauptanforderungen im Kampf gegen DDoS-Angriffe. Wenn die Kanäle überlastet sind, kann der Traffic einfach nicht zum DDoS-Schutzsystem gelangen, um anschließend bereinigt zu werden. In solch einem Fall leiden nicht nur die geschützten Kunden, sondern der gesamte Standort.
Welcher Angriff Wargaming traf
Am 18. Februar 2021 entdeckten die Sicherheitssysteme von Gcore einen Angriff auf die Server von Wargaming. Das gesamte Datenvolumen des Angriffs betrug 253 Gbit/s, und er dauerte etwa 15 Minuten. Die Angreifer verwendeten die UDP-Flood-Methode.
Was ist ein UDP-Flood?
UDP-Flood ist verteilter, künstlich erzeugter Datenverkehr. Der Angreifer studiert in der Regel zuerst alle Feinheiten der Spielanwendung und generiert dann UDP-Pakete von gefälschten IP-Adressen (im Durchschnitt können mehr als 100.000 einzigartige IP-Adressen in einem Angriff verwendet werden).
Wie wir diesen Angriff abgewehrt haben
Durch den Einsatz von Filterregeln zum Schutz vor bekannten Verstärkungsangriffen konnten wir einen Teil des bösartigen Datenverkehrs an unseren Bereichsgrenzroutern abwehren. Den übrigen Teil leiteten wir an unser Reinigungssystem weiter, um diesen Traffic tiefer zu analysieren und eine fundiertere Entscheidung über Sperrungen zu treffen.
Angriffe mit einer Kapazität von 200–300 Gbps sind heute keine Seltenheit mehr. Es ist wichtig, dass das Reinigungszentrum des Anbieters, das den Kundenschutz sicherstellt, große Mengen an Datenverkehr mit minimaler Latenz bewältigen kann. Bei Gcore erreichen wir das, indem wir ein dezentrales Serversystem verwenden und den Datenverkehr zwischen diesen Systemen ausgleichen.
Andrey Slastenov
Produktverantwortlicher für DDoS-Schutz bei GcoreUnsere Methode basiert auf der Übertragung eines geheimen Schlüssels zwischen der Client-Anwendung und der Reinigungszentrale, wodurch eine Trennung von legitimem und bösartigem Datenverkehr sichergestellt wird. So sorgen wir für die Sicherheit der Kundeninfrastruktur und die hochqualitative Reinigung des schädlichen Traffics. Wird ein leistungsstarker Angriff mit mehreren hundert Gigabit pro Sekunde erkannt, wird dieser Datenverkehr auf mehrere Server und mehrere Reinigungszentren verteilt, wodurch eine Überlastung des Servers oder eines ganzen Server-Clusters vermieden wird.
Der Angriff auf die Wargaming-Ressourcen wurde erfolgreich abgewehrt, die Nutzer des Spieleservers konnten sich weiterhin über einen ununterbrochenen Service freuen, und der Server war die ganze Zeit über für Nutzer auf der ganzen Welt verfügbar.
Andrey Slastenov
Produktverantwortlicher für DDoS-Schutz bei GcoreWie wir einen Spielserver während eines DDoS-Angriffs verfügbar halten
Angriffe werden erkannt, und der Datenverkehr wird im Verkehrsvalidierungsmodus automatisch bereinigt.
- Der Schutz wird auf Anfrage aktiviert.
- Der Schutz wird individuell für Ihre Infrastruktur konfiguriert. Um maximale Effizienz zu erreichen, analysieren wir Ihr Datenverkehrsprofil und erarbeiten eine Reihe von wirksamen Maßnahmen.
- Wir melden alle Unregelmäßigkeiten im Datenverkehr sofort an den technischen Support. Wir erkennen Angriffe in der Regel innerhalb von 1 Minute.
- Wenn eine Entscheidung zur Bereinigung getroffen wird, wird der gesamte eingehende Datenverkehr durch die Filterungsplattform geleitet. So kommt nur noch sauberes Traffic über einen dedizierten Kanal bei Ihren Servern an.
Wie wir jede DDoS-Attacke erfolgreich abwehren
- Die enorme Bandbreite des Gcore Netzwerks erlaubt es uns, Dutzende von Terabits Traffic zu verarbeiten.
- Unser fortschrittliches Traffic-Reinigungssystem ist in der Lage, Angriffe mit Hunderten von Gigabit pro Sekunde zu empfangen, erkennen und zu neutralisieren.
- Die umfangreichen Schutzalgorithmen schließen die Möglichkeit aus, unser Reinigungssystem zu umgehen, selbst wenn die Angreifer einen dem legitimen Spielverkehr ähnlichen Traffic zum Angriff verwenden.