沉浸體驗爆款遊戲，應用層防護必不可少！

遊戲行業高速發展，網路安全風險加劇。全球紅利下，地下黑色產業鏈迅速擴張。DDoS 攻擊這一遊戲行業的頭號敵人外，應用層的攻擊種類、方式也日漸複雜，直追 DDoS 威脅程度。

如撞庫攻擊、帳戶接管、API login、爬蟲等攻擊，成本低廉、效果明顯，正是黑色產業期望的攻擊模式。基於行業風險，本篇案例分享中，我們將介紹 Akamai 如何利用 WAP+BMP+SDK 一體化服務，化解安全隱患，尤其是手遊的應用層攻擊問題。

應用層危機！攻擊類別難辨！

案例主角是某知名遊戲公司。該公司跨足遊戲及新媒體產業，有著近10年的遊戲行業經驗。旗下代理的爆款遊戲產品，先後榮膺頭部遊戲平台優選推薦，在玩家群體中享有盛譽。

正當該公司的業務蒸蒸日上時，網路攻擊隨之而來。臨近遊戲發佈前期，登錄回應慢，甚至久登不上、掉線等情況時有發生。出於技術限制，運維團隊只能通過網路層的抓包進行分析，發現了異常的 API login 請求，但很難分辨出非法請求、攻擊類型，並及時阻斷。

基於此前的運維困境，該公司曾尋求過多家安全廠家協助防護，但效果甚微。Akamai 得知情況後，經專業技術分析，排除了 DDoS 攻擊，認為需要從應用層安全出發，來分析是否為利用機器爬蟲的進行的 API login 攻擊，或撞庫攻擊。緊接著，我們為客戶緊急上線了 WAP (Web應用安全類產品) 和 BMP (Bot管理產品)，來即時洞見全鏈路攻擊威脅，並及時阻截。

遊戲應用層攻擊全解析

談及遊戲應用層攻擊，Bot 攻擊和 API 濫用可謂是一對孿生兄弟。Bot 作為一種自動化的惡意軟體，可經過互聯網對目標網站遠端攻擊；而起到資源互聯器作用、且已被捕獲和監控的API，亦可助推駭客自動化批量獲取資料，由於很少攜帶人類行為痕跡，隱蔽性極高。

這對孿生兄弟聯手“使壞”，衍生出了通過 Web API login 憑證濫用對遊戲網站登錄伺服器進行攻擊的方式。這也正是該公司所面臨的攻擊威脅。通常，攻擊者會去分析遊戲用戶端和 API 端點伺服器間的流量和資料，從而獲取 API 傳遞的資料內容的欄位和數值，以備下一步攻擊。攻擊可以通過直接構造報文的方法，進行重放攻擊，或修改部分數值進行欺詐。

在遊戲業務中，普遍常見的 API 端點，即用於註冊登錄、驗證等操作的 login 伺服器。而攻擊者往往通過進行遊戲 ID 偽造，惡意註冊大量小號、測試帳號發起惡意活動，或撞庫攻擊，以實現帳戶接管。此外，駭客利用模擬器工具、Bot 腳本，還可以發動自動化程度更高的攻擊。例如 NoxPlayer、BlueStacks 等安卓模擬器可在電腦端進行遊戲操作，也為惡意程式和腳本提供了一條“捷徑”。

防護策略三步驟

一、WAP+BMP，守護流覽器登錄

針對支援流覽器模式或基於 iOS 或安卓內核流覽器 Webview 訪問請求，Akamai WAP & BMP 解決方案可進行有效防護。鑒於 Bot 攻擊體量小，API 請求類型合法化，普通 WAF 模式難於防護，用 BMP 爬蟲行為檢測功能可以輕鬆識別。

流覽器登錄模式防護

該公司此前使用過多家安全公司產品，防護效果欠佳。相比之下，Akamai WAP & BMP 配合使用，可實現高度自動的流覽器登錄模式防護機制。防護原理表現為，通過 Akamai 智慧邊緣平臺插碼實現，用戶端執行 JS 代碼收集行為資料，並打分回饋給 BMP 平臺，隨後利用 AI 演算法智慧評估，甄別潛藏的異常請求。監測指標包含有 IP 位址分佈，爬取速度、內容、時段等。鎖定攻擊後，Akamai 將及時阻斷。

二、BMP+SDK，延伸防護至原生APP

為防範惡意模擬工具濫用，進一步防護移動端原生 APP (非流覽器架構)類型，該遊戲公司解決自身原始安全問題後，繼而採用了 Akamai 加持手機端安全的 SDK 功能，佈局更立體的安全防護屏障。

原生 APP 防護

具體防護中，我們將爬蟲檢測感測器植入 APP 來即時收集手機端用戶行為，判別爬蟲攻擊與正常用戶訪問。至此，基於對惡意攻擊的行為檢測，Akamai 幫助該建立了一整套從 PC 端到流覽器端，再到手機端的全方位防護體系。

三、關注威脅動態，升級防護體系

當下，針對爬蟲、API安全的攻擊方式持續演進。爬蟲攻擊從撞庫和惡意登錄，發展至惡意註冊大量小帳號、測試帳號攫取利益（如薅羊毛、刷排名等），以及帳戶接管盜取使用者資訊等；而 API 攻擊，更是從對登錄伺服器攻擊，發展到操縱數值，攻擊伺服器，嚴重破壞遊戲的公平性。

應對複雜難控的攻擊威脅，我們持續升級 BMP 策略以及 Bot 檢測和防護演算法；而針對帳戶接管攻擊，Akamai 可使用 Account Protector 技術服務，識別欺詐行為，避免信任受損。而在 Web 應用整體的防護體系中，我們將遵從 WAAP 防護體系架構，從 Web 應用 API、Bot 和 DDoS 層面有針對性地防護。

Akamai 安全參考框架建議：守護玩家體驗 佈局多層防護

1．基於最佳實踐，梳理伺服器類別，如登錄伺服器、遊戲伺服器、統計伺服器、交易伺服器等

2．查探資料流程和協定，梳理遊戲流程、相關協定，定位威脅來源和脆弱點。如隱藏 API 訪問玩家多重資源，或反向 DNS 解析遊戲伺服器地址段等

3．利用視覺化工具，洞見異常流量，利用 BMP 及時預見潛在爬蟲等威脅

4．使用 Akamai 多層安全解決方案，為不同遊戲模組提供專項安全防護

共構安全、公平的美好遊戲環境，全方位守護全球玩家體驗。Akamai 將充分發揮 WAP+BMP+SDK 的一體化防護服務優勢，攜手遊戲行業客戶與合作夥伴，體系化加固安全防護，讓玩家盡享沉浸、美好的遊戲體驗。