今日,《刀塔2》在Steam社区发布了题为“刀塔漫谈:如何拒绝拒绝服务”的公告推送,以下为内容详情。
欢迎回到“刀塔漫谈”特色博文,我们开发团队的成员会在文章中梳理自己遇到的一些挑战、错误修复还有偶尔令人莞尔的意外,主要是在开发像Dota这样独特游戏的过程中。
这是一个关于互联网的故事,还有它如何不按应有的方式工作,什么时候在正常工作,实际上又完全没有。 这是一个关于互联网如何停止服务我们的客户,以及我们如何修复它的故事。
互联网和我们心目中的相比是一片更为狂野的边界。 离开了双因素身份验证和可信cookie的安全范围,外面可能会有点荒乱,充满了身怀恶意的随机坏蛋——而且他们越来越有能力让你的生活变得非常悲惨,不为别的,就因为他们能做得到。
当时还是2014年,这些坏蛋使用的方法是分布式拒绝服务(DDoS)攻击。 “分布式”是指大量互联网主机恶意向特定目标IP注入流量,企图压垮网络堆栈。 这被称为饱和攻击,而其目的并不是尝试进入网络。 只是企图拒绝服务。 分布式拒绝服务意味着想要合法服务的合法人会被恶意流量挤出去。
DDoS攻击的问题是在于,截至2014年底,实施这些攻击的并不是拥有高级计算机科学学位、专精于数据泄露的超级黑客。 实施的几乎可以是任何人,他们只要付钱就能找到人或者机器人来为他们办事。 而且原因很明显。 尽管有些人纯粹是为了破坏公物而乐意这样做,但其他人是有动机的:DDoS攻击肯定会导致你或你支持的人马上要输的比赛被迫中止。 这就不再只是偶然的烦恼了。 这会演变为公然攻击有玩家比赛的任何游戏。
到了2015年初,我们发现Dota和CS:GO遭遇的DDoS攻击次数大幅增加,其他公司也有大幅增加的报告。 突然之间,有人让任何人都可以很容易地发动攻击。
2015年8月,国际邀请赛被DDoS攻击扰乱比赛现场。 尽管比赛中的职业选手没有受到影响,但在两个多小时的时间里,转播方无法进入比赛进行实况的解说。 直播流的外送成为了一个难题。 选手们就像是在虚空里打的比赛。 这是一场有数百万人观看、有数百万美元奖金的职业竞技赛事,但有人用了五美元的软件就扰乱了整个比赛。 这是Valve无法忽视的问题。
在找到了有效的解决方案之前,我们尝试了多种应对DDoS攻击的解决方案。 最初,我们尝试使用功能强大的网络交换机来过滤流量。 不幸的是,这种类型的过滤本质上很难去针对游戏流量。 游戏服务器的本质就是从任意IP地址接收未经请求的UDP(用户数据报协议)流量。 想象一下,你有一家邮局,专门为你清理不需要的垃圾信件。 但再想象一下,你的工作是给人建议的专栏作家,而且你一直收到大量来自随机陌生人的合法信件。 对你来说,邮局不知道什么是垃圾信件,什么不是。 游戏服务器的流量往往就是这样的情况。 此外,UDP数据包中的源IP不安全,很容易被欺骗。 我们的邮局甚至无法通过信封上的回邮地址来寻找线索,因为垃圾信件的发件人伪造了他们的地址。
Steam提供了大量的游戏内容,并为此建立了一个庞大的网络。 我们已经利用该网络通过专用链路来传输游戏流量、获得良好的对等互连、确保使用网络工程的最佳实践等。 这能使玩家ping时间保持在较低水平,但无法阻止DDoS攻击。 问题是在于UDP协议不安全,因此虽然我们拥有自己的网络,但并不是私有的。
为了防止攻击者使用我们自己的网络来攻击我们的服务器,我们需要控制所有入口并保护它们。 为了实现这个目标,我们为游戏流量创建代理、通过中继设备传输网络上的每个数据包。 现在,当客户端想要与游戏服务器通信时,它必须通过中继设备来实现,中继设备既会对其进行身份验证,又会将该流量代理到游戏服务器。 这意味着服务器的IP地址始终都是隐藏的——攻击者根本不会知道要攻击哪里。
重新使用上述的邮局比喻,我们的垃圾信件发送者再也没有地址让他们去寄送垃圾信件。 他们可以把垃圾信件发送到该地区的每个邮局并要求他们邮寄,但没有授权的情况下,邮局并不会这样做。 (而且,邮局会发现有人企图向一个人寄出100 000封信是有点可疑。)
但不能直接攻击中继设备吗? 严格来说,可以的。 但我们的数量基本上是无限的,而且我们构建的目的就是为了被攻击。 “中继设备”只是运行软件的计算机的另一种说法。 可以攻击它或使其离线,但是设计协议时就考虑过这样的情况。 如果客户端尝试玩游戏并与中继设备失去联系,它只会再切换到下个设备。 中继设备就像散布在世界各地的数百个棋子,其唯一目的是守卫游戏服务器。 (顺便说一句,干掉中继设备比听起来要难。 它们的设计非常好,并且位于网络的特定位置,所以尽管它们是为了离线而设计的,但我们还没有失去过一个。)
这个解决方案简单但有效。 之前如果有人想要破坏游戏,他们只需击垮一台游戏服务器(门槛非常低)。 现在他们必须击垮整个数据中心——门槛非常非常高。 那还有攻击可以做到吗? 当然有。 那还有任何人在网上花五美元买到的攻击可以做到吗? 没有。 这么复杂的攻击背后需要的财力超出了大多数人的承受范围。
随着这个新系统的启动和运行,我们顿悟了:如果我们控制自己的私有网络,我们就不会受制于正常互联网的工作原理。 我们可以利用它来改善客户体验。 在常规的互联网中,当你将数据包从一个IP地址发送到另一个IP地址,你使用的路由是由边界网关协议(BGP)来决定。 这是一种路由算法,会决定你的数据包在网络中的传输方式,并且你无权决定它挑选的路由。
但是,有了由数百个全球中继设备和数据中心组成的虚拟私有网络,我们基本上可以自行选择从客户端到游戏服务器的路由——通常是比默认路由更快的捷径。 如果你使用Steam数据报中继(SDR),我们会显示你的ping时间以及我们为你提供的路由,以便你可以亲自了解是如何优化的。
最初用于保护Dota游戏服务器的一个功能现在超出了所有人的预期。 SDR网络通常每秒传输多达140M数据包和550GBit。 我们在31个数据中心设有中继设备,容量超过 5TBit。 现在我们所说的Steam数据报中继不仅可以防止DDoS攻击,还可以提升每个Dota玩家的连接稳定性并且降低延迟。 不仅适用于Dota,也适用于Steam上任何想要利用它的游戏。
我们希望大家能再次从刀塔漫谈中享受到乐趣。 这次的文章技术性很强,感谢你能坚持读完! 也请随时告诉我们,你希望下期介绍哪方面的内容。