雲高防之另類玩法：遊戲盾

0x00、設計初衷

目前雲高防（排除運營商做的雲堤）市場主要有以下幾種產品形態：

備註：目前以對抗的形式存在的高防產品形態，也就是防禦帶寬要大於攻擊者的流量。

如果你是做運營商商務拓展的都知道，目前帶寬是這個生意中最大的成本，500G單線靜態資源得上千萬的成本。所以對用戶來說，這種對抗的方式成本都需要互聯網業務公司承擔，很有可能出現，你今天賺的錢還不夠付高防的費用（400G

從用戶角度出發，根據某公有雲基礎防護數據

目前高防用戶需求主要集中在遊戲和雲上SaaS系統。

但是問題是，大部分在中國運營的SaaS系統或者剛開始試水遊戲用戶是沒有能力購買。

絕大部分用戶都是以App形式存在的。

所以總結一下用戶需求：

（1）此類用戶需要的高防不是硬抗大流量攻擊，在大流量攻擊的場景下，在損失部分用戶的情況下，保證優質或者付費用戶高質量的接入。

（2）絕大多數的遊戲或者SaaS用戶都是以App方式接入，可以集成SDK通過逃逸的方式接入高防節點，同時，可以監控用戶網路質量以及掉線原因。

（3）物美價廉，聽說*里的遊戲盾接入一年的費用要200萬。擦，這個哪有人付得起呢？也就是棋牌類用戶才付得起。

（4）最重要的一點是，後端調度系統和黑洞系統可以使用自己控制的路由器合作核心交換做本地黑洞實現。

0x01、系統詳細設計

業務流程

1、用戶購買遊戲盾產品

a) 根據購買遊戲盾IP數量計算消費額度

b) 遊戲盾接入需要在業務方App上集成遊戲盾SDK

2、雲平台用戶配置

a) 配置接入域名，遊戲盾使用cname方式接入（需要DNS廠商支持）當然也可以使用HTTPDNS的方式，或者更直接，使用私有協議實現。

b) 配置4層7層轉發部分（Neutron方式同步到lvs&tengine）

c) 配置業務組，業務組可以根據App的運營數據進行調節，例如:新來客戶使用初級ip池（可以配置5個IP），一旦用戶遭受攻擊，會從客戶端切換到沒被黑洞的IP。

3、黑洞防禦實現

a) 通過sflow或者全流量採樣的方式獲取對應IP採樣的數據

b) 一旦統計發現攻擊到閾值通過路由軟體對核心交換機發本地空路由黑洞

c) 根據封禁演算法判斷其封禁時間段，到時間取消黑洞操作。

4、用戶在控制台觀察業務狀態

a) 攻擊告警

b) 客戶端調度狀態

0x02、山寨遊戲盾SDK API

0x03、系統整體邏輯架構圖

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！