规模大，复杂性高，频发的恶意攻击下，出海游戏如何为自己的防护“量体裁衣”？

2021年8月，某国产武侠游戏在开服当天遭遇DDoS攻击，并被发起攻击的黑客组织勒索“保护费”。尽管许多人在此之前甚至对“DDoS攻击”完全不了解，但事实上，这一灰色地带已经长久存在于游戏行业之中。往日，不少团队在遭遇黑客的DDoS攻击与勒索后，选择息事宁人，使得游戏产品上线的安全问题很少被推到台前，直至该国产游戏团队坚持了“宁为玉碎不为瓦全”的原则，宁可关闭服务器并向玩家退款，也不愿意向黑客低头，才让更多从业者关注到相关的安全问题。

据网络安全公司Cloudflare每季度发布的“DDoS攻击趋势报告”显示，当前全球市场中的攻击行为非常活跃，除了攻击规模增大之外，其形式与复杂性也在不断发生变化。在这种极度严峻的安全形势之下，游戏产品成为了各个出海品类中数一数二的“高危领域”，其遭遇的攻击次数、复杂度与流量规模均超过绝大多数行业——受限于游戏行业本身的特点，游戏产品在上线初期最惧怕的便是受到攻击、影响玩家体验进而对游戏造成永久伤害；另一方面，游戏产品遭遇的多为流量性的网络层攻击，其攻击成本低且追溯难度大，更让在安全问题上本就脆弱的游戏产品雪上加霜。

时至今日，中国游戏出海趋势不断加深，越来越多的本土产品与企业在海外市场取得成功，除了瞄准海外市场，意图寻求新机会之外，在可以预见的未来，受制于大环境等等多方面的问题，我们有理由相信，还将有更多缺乏出海经验的游戏企业与从业者面对“被动出海”的境况。那么，在这种前提下，游戏出海从业者应该对安全领域的相关问题建立哪些认知？在严峻的安全形势之下，游戏企业应该如何从早期便树立安全意识并进行相关部署？不同体量的企业与团队，不同用户规模及营收规模的游戏产品，又该如何根据自身具体情况进行安全保障？带着上述问题，我们展开了与知名的网络安全服务商Cloudflare的对话，希望藉由Cloudflare中国区总经理蔡旭辉（Xavier Cai）先生对相关安全问题的解答与阐释，为诸多游戏出海从业者带来网络安全方面的全新洞见。

Cloudflare中国区总经理蔡旭辉（Xavier Cai）

以下为采访实录。

网络攻击活跃，游戏出海安全形势愈发严峻

独联体：Cloudflare每个季度都会发布“DDoS攻击趋势报告”，我们也看到，当前攻击者非常活跃，而且有很多创纪录的攻击，这对于瞄准全球市场的游戏开发团队或者企业来讲，意味着什么？大家应该加强哪些方面的认知和心理准备？

蔡旭辉：实际上，从我们观察的2021年全年网络攻击趋势来看，游戏行业和整个互联网行业都是网络攻击的主要目标。游戏行业尤其是DDoS攻击的重灾区（详见2021年第四季度DDOS攻击趋势报告https://blog.cloudflare.com/ddos-attack-trends-for-2021-q4/）。我们有数据统计，游戏行业面临的网络攻击，无论从次数，复杂度和攻击流量大小上，都是超过其他目标行业的。这里有几个原因，一个是游戏本身的行业特点和用户特点造成，如果游戏在上线初期被短暂攻击，造成客户体验的下降，则会对游戏本身造成致命伤害，有的游戏上线几天，攻击造成的业务质量下降就直接导致游戏永久下线；

第二个，从技术特点来看，游戏行业遭受的攻击大多数是流量性的网络层攻击，因为应用层攻击的IP地址很难伪造和隐藏，但网络层比较容易伪造攻击的源IP地址，很难追溯攻击来源，且攻击成本较低，因此游戏非常容易成为被攻击目标。

对于认知方面，Cloudflare作为专业的网络安全厂商来看，建议游戏行业的客户，尤其是管理层，应该提升安全防范的意识，提前部署安全防御产品和防御策略，不能在遭到攻击后再去临时补救。

独联体：相比于以往，近些年来移动游戏面临的安全威胁，除了程度更严重之外，在攻击形式上是否有一些不同？

蔡旭辉：的确是有。我们可以看到，游戏行业，特别是移动游戏用户的增长非常迅速，而且移动用户的应用更加偏向轻量化，网络链接更加不稳定，这就对游戏厂商本身也提出了更高的技术要求，比如对于性能优化和网络优化的应用适配，厂商会自己写一些专用协议来开发游戏产品。而针对这种情况的攻击特点，从攻击形式和手段上来看，会出现很多针对新兴游戏协议和API的攻击，这些攻击呈现的特点是，短时间内集中针对这个协议的攻击暴增，随后则转移攻击的目标协议。对应的，应对这种攻击，防御方面会更加困难，游戏厂商自己很难提前防范，临时补救的措施也需要手工配置。

独联体：我们看到报告中显示，应用层，美国境内公司受到最多攻击，网络层是中东和北非增幅最大，那么根据这些事实，游戏出海去到欧美成熟市场，以及中东非洲等新兴市场，分别需要在安全层面注意哪些问题？

蔡旭辉：中国的游戏公司出海的地区主要是欧美发达国家，东南亚，中东和南美地区。其实无论面向哪些市场做游戏出海，安全防御体系的建设都需要考虑全面性，一般来说，对于具有全球视野的游戏出海公司，要选择一家有全球覆盖和全面防御能力的安全厂商，且这家安全厂商应该能够轻易地进行安全策略部署并很快生效。如果只是用打补丁的方式来最安全建设，就会非常容易让攻击者找到漏洞。

安全与防御，应从认知开始建立

独联体：有观点提到说，游戏行业攻击门槛低，成本低廉，那么就游戏开发者或者从业者们来讲，是否有办法去提升这个攻击门槛？

蔡旭辉：上面咱们刚刚谈到，临时补救不可取，必须要提前进行相应的防御部署。那么从这一点出发，对于处在防御端的游戏开发者和运营者来讲，那么增加攻击防御意识和防御手段的本身就是提高了攻击者的门槛。2021年，我们可以看到攻击次数和攻击的规模在逐渐增大，第四季度我们甚至看到了接近2Tbps的攻击流量，这个规模是非常大的，这次攻击有两个主要目标，其中之一就是游戏厂商。从业界的普遍情况来看，我们认为相比于一些知名游戏厂商，许多中小游戏的安全防御建设还处在非常早期的阶段，大多数厂商不会提前部署安全产品，更多是随着攻击的发生再去寻找临时补救措施，而这种对安全部署的“不重视”，其实在客观上会扩大了攻击者的攻击效益，某种意义上，这也是游戏行业普遍存在日常化的攻击事件的主要原因之一。

所以站在我们的角度来看，唯一能告诉大家的还是那句老生常谈，要防患于未然，要把篱笆扎好，攻击者越难以通过攻击获益，也就越可能在某种程度上减少日常化的攻击行为。

独联体：对于一些大型企业来讲，可能其具有自己构建安全体系的能力，那么它们在自己做和选择服务商之间这两个选项之间，应该基于哪些因素去做抉择？

蔡旭辉：我们是这样看这个问题。因为出海游戏的业务范围可能是在不断变化中的，经常面临着调整，这就涉及到了游戏企业的规划问题。而且还有一种情况是，玩家是在不同国家接入游戏服务器，相应的，攻击行为也可能来源于很多国家。如果企业采用的是“自建防御”模式，一方面是难以对攻击规模做预期，另外一方面是，一款游戏最终的流量和收入规模也很难预测，那么对于游戏企业来讲，到底要在前期设定多大的防御力度，这是很难预测的。

对于这个问题，如果选择与像Cloudflare这样的服务商来合作，那么游戏企业就无需在先期设定非常大的防御能力，而是从基础的防护开始。后续随着用户数量的增加以及营收的提升，游戏遭到攻击的风险也会增加，这个时候再去加码更高级的服务，这种“按需付费”的策略即使对于大型公司也是比较具有性价比的。

再补充一点，大型公司旗下可能包含很多项目，它可能是本季度发行产品A，下一季度发行产品B，A和B两款产品面向的市场如果是不同的，这就意味着游戏公司在每个目标市场都需要设定相应的防御和策略。而Cloudflare在全球250多个城市设有数据中心，且提供的防护能力都是一致的，这些对于游戏公司在不同区域的业务扩展也是有帮助的。

独联体：对于不同体量的开发者和企业，Cloudflare能否就安全方面给出一些针对性的建议？

蔡旭辉：对于中小团队来说，一定要增强安全意识，让开发人员和网络运维人员要多交流，在产品设计层面就要考虑到安全问题；另外一点也是我们刚才提到的，大家可以关注像Cloudflare这样的一线DDoS防护厂商，我们会提供一些免费的或者是价格比较低廉的Plan，也许就能满足基本的安全需求，未来再根据业务发展的需求来考虑选择更高级别的防护。

而对于成长到一定阶段，整体流量也较大的企业客户，他们的应用可能就不仅仅局限在7层，或许也会使用较多特殊端口，对撞库攻击（Credential Stuffing)、CC攻击、机器人攻击等也有较多困扰，那么我们基础的自助服务可能就无法满足他们的需求。这个时候企业就需要定制一些高级别的安全策略，同时也相应地愿意为安全支出一定的成本，这时Cloudflare企业定制版就会是一个更优的选择。

游戏出海，Cloudflare如何保驾护航

独联体：目前做相关领域工作的企业也有不少，能否请您简述Cloudflare的独有优势和特点？

蔡旭辉：从各种第三方报告中（IDC、Gartner、Forrester)可以看到，Cloudflare在DDoS防御能力上一直处于行业领先的地位，目前Cloudflare分布在全球100多个国家的250+城市的POP点，能为使用Cloudflare网络服务的客户提供100Tbps的DDoS攻击防御；我们平均每秒处理超过2800万个HTTP请求，峰值时每秒处理超过 3500 万个 HTTP 请求。Cloudflare可让全球95%的互联网连接入口在 50 毫秒内接入Cloudflare的网络，并且始终每秒执行大约1360万次 DNS 查询。Cloudflare基于Anycast的分布式架构可以保证攻击源在附近Cloudflare节点进行分布式清洗，攻击在Cloudflare节点边缘就被拦截，无法到达客户源站。

另外，Cloudflare的产品和服务，首先是具有相当的丰富性和完备性。例如Cloudflare可以提供7层的一些防护能力、机器人防御、防CC攻击和撞库攻击等等；在这个基础上，Cloudflare还提供针对4层的产品，就像我们刚才谈到的，很多游戏厂商都选择在4层上面去做开发，我们就可以针对性地做防护；而从3层来讲，对于一些大型游戏公司，其海外大型数据中心也可以通过我们的3层防御能力做防护。

再者，Cloudflare整个产品的合规性做得也非常好，不但取得了一些国际上的主流认证，而且在数据隐私的保护方面也做得非常好，在帮助游戏公司出海时，保证不会在海外当地市场遇到合规方面的挑战。

这里又要谈到刚才说的一点，Cloudflare在全球的服务提供能力都是一致的，基于此，我们的另外一个优势是可以帮助游戏厂商进行内容分发、CDN业务，包括游戏包下载等等，均是在一个平台上完成。我们的用户只要登陆到Cloudflare的控制面板上，就可以对所有的性能加速和安全防护进行统一配置。

独联体：在这些独有优势背后，Cloudflare具体做了哪些方面的工作？

蔡旭辉：Cloudflare 是一家网络安全公司，其使命是帮助建立更好的互联网。这意味着Cloudfalre提供的服务能够提高包括网站、应用程序、API等在内的互联网资产的安全性、性能和可靠性的服务，以便更多人能够安全、快速、可靠地访问互联网。Cloudflare 已经构建了一个全球云平台，该平台为所有地区和各种规模的企业提供广泛的网络服务。我们帮助他们提高安全性，增强其关键业务应用程序的性能，并消除管理单个网络硬件的成本和复杂性。平均而言，截至2021年第三季度，Cloudflare每天为依赖我们的数百万互联网资产阻止760亿次网络威胁。

独联体：Cloudflare在出海游戏中有哪些案例呢？是否可以结合其中的典型案例，对Cloudflare的安全方面的能力进行更详细的说明？

蔡旭辉：目前比较头部的出海手游发行商名单中，有近4成的发行商已经在使用Cloudflare所提供的方案来保护他们的游戏，为游戏客户提供更好更安全的游戏体验。关于Cloudflare在这方面的工作，我们可以分场景来谈谈。

首先第一个场景就是内容分发，如何增加首屏加载速度？如何分发游戏包？实际上在这方面Cloudflare已经为很多知名出海游戏厂商提供了海外CDN服务；此外，Cloudflare针对7层的协议形式呈现的游戏，以及针对在tcp/udp的网络层开发的游戏，都有非常多的服务案例。

举例来讲，假如我们有一个客户旗下的产品是SLG类型的游戏，它的玩家在玩游戏会面临首包的加载，那么我们的CDN就会把它的首包拿下来；之后，用户在登陆游戏时要输入自己的用户名和密码，通常这些协议就是http层面的协议，在这个层面就可能面临撞库攻击、暴力破解等等，那么站在Cloudflare的角度来看，SLG类的产品通常会配置类似速率限制等等的安全策略；然后当用户登陆战斗服之后开始体验游戏，这时的协议就会从http层来到tcp/udp层，到这一层，游戏可能遭遇的就是比较大面积的DDoS攻击，而在这个层面，游戏产品通常会配置Cloudflare在4层的解决方案叫Spectrum；从服务器的体验来讲，从用户下载首包到登陆账号再到体验游戏，可能涉及到一些道具和装备的交易，其中也可能涉及到一些特殊协议，调取动态的API接口等等，在这个层面也可能产生7层的协议。所以整体来说，CDN、7层以及4层的防护是游戏类产品所比较经常要用到的。当然，如果是轻量级的休闲游戏，更多的需求可能是在CDN方面，其本身4层的协议用到得少一些，那么这类产品对于4层的防DDoS攻击需求也就没那么大。

独联体：其实相较于以往大型公司被攻击，最近见诸报道的很多都是中小开发团队以及独立游戏，攻击者往往会勒索略低于高防费用的金额，对于这种情况，中小开发者应该怎么去应对？Cloudflare是否有针对性的服务？

蔡旭辉：是的，我们也看到的确有这样的情况发生。出海游戏所面临的海外网络环境比国内更加复杂，有一些国家和地区的法律和监管较弱，导致游戏产品收到的攻击更加频繁，发动攻击的团伙数量也更多。

但这里想和大家说明的一点是，无论是大型公司还是中小团队遭遇到攻击，一是没有提前去做相应的防御部署，二是在遭遇勒索后选择了妥协，向勒索者缴纳所谓“保护费”，这些都会助长勒索攻击者的气焰，很可能一轮勒索刚过，另一轮勒索又马上抵达，企业就会持续处于被动局面，陷入恶性循环。

另外，我们也看到还有一些基于财团、地缘因素的攻击，这些不以经济为目的的攻击，其实企业会更加难面对。因此，防御就一定就要从被动防御转换为主动防御，而主动防御就需要在攻击来临之前，主动提前部署好一些安全策略，当攻击来临之时，将其抵挡在高墙之外，不给其可乘之机。

中小开发者可以结合自身的需要，选择一些合适自己的服务，不一定非要高价去买第一梯队安全服务厂商的企业级服务，也可以利用一些第一梯队服务厂商提供的一些免费防护结合到自己的产品中，比如Cloudflare就为个人用户提供了一些基础版本的免费服务供大家使用，与个人用户一起共筑网络安全的高墙。

独联体：我们也看到了Cloudflare对免费计划的相关介绍，那么这项计划是如何帮助到中小游戏开发者的？

蔡旭辉：是的，Cloudflare为个人用户的网站提供Free计划，用户只需要通过使用Cloudflare提供的DNS服务，将其流量倒入Cloudflare的网络，就可以免费使用Cloudflare提供的7层DDoS防御服务免遭7层DDoS攻击困扰，还可以免费使用Cloudflare的CDN服务，对网站的静态资源在全球进行分发。

独联体：对比来看，大型公司和中小开发者在安全防护的具体诉求上有哪些不同，Cloudflare是如何根据不同体量企业定制的产品与服务的？

蔡旭辉：从使用Cloudflare服务的游戏客户来看，大型公司和中小开发者确实存在一些不同。中小开发者通常在成本上很敏感，在投产初期会更多考虑成本控制，另一方面，如果是来自中小开发者的一些访问量不是特别大的产品，那么其被攻击者盯上的风险相应也要小一些。Cloudflare针对这类客户群体推出了自助服务版本，它包含Free，Pro，Business三种计划，每个月的收费额度从0-200美金不等，可以说价格是相对比较低廉的。这些计划中包含一些基础的服务，可以基本满足中小开发者的需求，大家可以自行从Cloudflare官方网站上进行购买配置。

而针对体量大一些的企业用户或者说用户量比较大的产品，在安全方面，它们除了面临DDoS攻击之外，或许还面临撞库攻击（Credential Stuffing)、CC攻击、机器人攻击等，在遭受攻击频次、规模以及复杂程度上，都会有一些较高层次的安全需求，同时对售后服务团队及相应的及时性要求也会更高，而Cloudflare推出的Enterprise企业定制版，会根据客户的具体需求来定制方案，这种服务更加符合大型企业的需求。

独联体：从技术和安全角度来讲，整个行业是不是可以促进一些包括技术交流、联合举证等等方面向前迈进的事宜？Cloudflare如何在其中施加一些自己的正面影响力？

蔡旭辉：其实这些还是比较困难的，作为一家安全厂商，我们看到大多数网络攻击是通过僵尸网络、劫持肉鸡来发起的，即使拿到了源IP，找到了僵尸服务器，也很难去定位是哪些团体发起的攻击。

如果说施加正面影响力，那么在这方面，Cloudflare的定价策略会有一些不同——我们提供的是包月套餐模式，不会让客户因为使用激增的流量，特别是DDoS的流量而受到惩罚，导致要向网络服务商或者安全厂商付更多的费用，因为这并不是游戏厂商本身的问题，而是发起攻击者的问题。因此，Cloudflare使用的定价策略也与业内一些友商不太一样，有些安全厂商是依据攻击流量来收费的，而我们是按照正常业务的流量和带宽来收费。这样一来，如果游戏企业有很强的安全意识，按照通常的业务流量付费，那么就无需过于担心网络攻击的规模。刚才我们提到过，目前监测到的最大规模攻击，其流量是2Tbps左右，而Cloudflare能够提供最高达100Tbps的DDoS攻击防御，为游戏出海保驾护航方面是绰绰有余的。