版權(quán)聲明

本文原文為演示文稿，此為演示錄音文字版，亦在 MikeWu597的生活小記（hyp.ink）發(fā)布

用于演示的?PPT?可在下面的鏈接找到

https://hyp.ink/index.php/archives/496/

前言

與針對(duì) Web 服務(wù)的 CC 攻擊類(lèi)似，客戶(hù)端 Bot 壓測(cè)是一種專(zhuān)門(mén)針對(duì) Minecraft 服務(wù)器，特別是軟件的攻擊方式。處理完一名假玩家的請(qǐng)求耗費(fèi)的計(jì)算資源比處理一次 HTTP 請(qǐng)求多得多，而大部分 Minecraft 服務(wù)器配置相比網(wǎng)頁(yè)服務(wù)器高不了多少，這就導(dǎo)致 Bot 壓測(cè)能輕易打穿一個(gè)服務(wù)器。

為了拆解一場(chǎng)客戶(hù)端 Bot 壓測(cè)攻擊，我們采集了我服某次攻擊的監(jiān)控?cái)?shù)據(jù)并進(jìn)行了分析。
（由于我們找遍了互聯(lián)網(wǎng)也沒(méi)有找到一家專(zhuān)門(mén)提供 Minecraft 服務(wù)器壓測(cè)的商家，沒(méi)法復(fù)現(xiàn)這樣一場(chǎng)攻擊，所以以下內(nèi)容與普遍特征可能存在差異。）

攻擊流程

這場(chǎng)攻擊有一個(gè)試探性的開(kāi)始，我們稱(chēng)為先導(dǎo)段。在這個(gè)階段，會(huì)有大約 10 個(gè) Bot 連接到服務(wù)器。它們?nèi)縼?lái)自于同一個(gè) IP 地址，推測(cè)這個(gè) IP 地址就是試探服務(wù)器。與此同時(shí)，這 10 個(gè) Bot 的用戶(hù)名都是完全隨機(jī)的字母、數(shù)字組合。它們進(jìn)入服務(wù)器后立即退出。

接下來(lái)真正的攻擊才會(huì)開(kāi)始，我們稱(chēng)為甲段。正常無(wú)防護(hù)的服務(wù)器此時(shí)會(huì)大量報(bào)錯(cuò)。在這個(gè)階段，壓測(cè)調(diào)度服務(wù)器指揮約 1000 臺(tái)肉雞向服務(wù)器發(fā)起連接。它們的用戶(hù)名依舊是隨機(jī)生成的，一個(gè) IP 對(duì)應(yīng)一個(gè)用戶(hù)名，不斷連接服務(wù)器。因?yàn)榉?wù)器玩家數(shù)量有限，所以絕大多數(shù)無(wú)法成功加入，或被 AntiBot 程序監(jiān)測(cè)到并處理掉。

當(dāng)甲段攻擊陷入瓶頸限制時(shí)，乙段攻擊隨即開(kāi)始。甲段中的 Bot 會(huì)集體退出或停止請(qǐng)求服務(wù)器，并重新生成用戶(hù)名，再次進(jìn)入服務(wù)器。此時(shí)，它們使用的用戶(hù)名均為模仿玩家用戶(hù)名生成的字符串，可能是字典組合而成，用于繞過(guò)服務(wù)端檢測(cè)。值得注意的是，Bot 會(huì)以盡可能大的視距向服務(wù)器請(qǐng)求區(qū)塊文件，以此增加服務(wù)器負(fù)載。這些請(qǐng)求的目標(biāo)區(qū)塊幾乎全部超出正?？杉虞d范圍，在 Bot 客戶(hù)端位置±3000m 以?xún)?nèi)。

持續(xù)數(shù)十秒后，在玩家隊(duì)列等待進(jìn)服的 Bot 逐漸減少，Bot 會(huì)以客戶(hù)端主動(dòng)中斷方式結(jié)束連接，推測(cè)有攻擊方的干預(yù)。這個(gè)過(guò)程被稱(chēng)為收束段。一場(chǎng)攻擊到這里就結(jié)束了，整個(gè)過(guò)程時(shí)長(zhǎng)不超過(guò) 5 分鐘。

對(duì)策（普適版）

Minecraft 壓測(cè)誕生已有數(shù)年。絕大多數(shù)主流的登錄插件都內(nèi)置了 AntiBot 功能，之前也提到了 AntiBot 在攔截假玩家方面的用處。裝備了 AntiBot 功能的服務(wù)器，會(huì)通過(guò)分析玩家來(lái)路、行為特征自動(dòng)開(kāi)啟、關(guān)閉警戒功能。有些 AntiBot 插件還能提供驗(yàn)證碼，快速篩選客戶(hù)端。

我們注意到，參與此次攻擊的 IP 地址有超過(guò) 98% 是海外地址。所以，服務(wù)器可以通過(guò)封禁海外訪(fǎng)問(wèn)的方式來(lái)有效篩選機(jī)器人。不過(guò)，不建議封禁港澳臺(tái)以及特定美國(guó)城市的 IP 地址，因?yàn)樵S多 Serverlist 服務(wù)的探針都搭建在那里。

服務(wù)器還可以盡可能開(kāi)啟正版驗(yàn)證或第三方認(rèn)證，并限制未登錄或離線(xiàn)玩家在服務(wù)器內(nèi)的移動(dòng)。這樣可以針對(duì)性地緩解 Bot 刷取區(qū)塊的問(wèn)題。

如果可能，甚至可以直接啟用白名單功能。對(duì)于正版服務(wù)器，僅特定玩家可進(jìn)。對(duì)于離線(xiàn)服務(wù)器，僅注冊(cè)玩家可進(jìn)。對(duì)于 IP 地址白名單，僅特定地區(qū)玩家可進(jìn)。此方法過(guò)濾效率很高，但影響玩家體驗(yàn)，特別是新玩家，可能需要管理員手動(dòng)過(guò)白。

還有一種非常聰明的解決方案。如果知道試探服務(wù)器，可以特別地封禁這臺(tái)服務(wù)器的訪(fǎng)問(wèn)，使它誤認(rèn)為服務(wù)器已崩潰，主動(dòng)停止攻擊。

對(duì)策（進(jìn)階版）

接下來(lái)還有幾種技術(shù)解決方案，它們幾乎能完美過(guò)濾所有機(jī)器人，但需要和您的服務(wù)商的配合。

目前絕大多數(shù)機(jī)房都配備了防火墻，如傲盾、華為等的安全產(chǎn)品。請(qǐng)注意，這里使用防火墻的方法與防護(hù) DDoS 有所不同，壓測(cè)帶寬不大，但需要針對(duì)性阻斷。對(duì)于使用傲盾的機(jī)房，推薦配合流量牽引使用，可以聯(lián)系您的服務(wù)商定制防護(hù)策略。對(duì)于華為網(wǎng)安產(chǎn)品，您可以使用內(nèi)置的功能進(jìn)行 AI 訓(xùn)練，并在每次壓測(cè)后指導(dǎo)防火墻進(jìn)行復(fù)習(xí)，達(dá)到更好的防護(hù)效果。詳細(xì)的配置方式您可以參考您的產(chǎn)品的使用說(shuō)明書(shū)。不過(guò)，絕大多數(shù) Minecraft 服務(wù)器都是基于云的架構(gòu)，此方法僅適用于托管服務(wù)器或自建計(jì)算機(jī)柜。

我們注意到，由于這些 Bot 都預(yù)設(shè)了攻擊的目標(biāo)，所以與人類(lèi)玩家不同，它們不用請(qǐng)求 MOTD 列表。（后期注：通過(guò)大量請(qǐng)求 MOTD 達(dá)到攻擊目標(biāo)的攻擊方式這里不討論，這種攻擊方式可以通過(guò)分布式邊緣節(jié)點(diǎn)緩存轉(zhuǎn)發(fā)解決。）可以通過(guò)預(yù)設(shè)防火墻配置，在請(qǐng)求 MOTD 時(shí)將 IP 標(biāo)記為人類(lèi)玩家，然后放行。沒(méi)有請(qǐng)求直接進(jìn)入服務(wù)器的 IP 地址標(biāo)記為機(jī)器人。請(qǐng)注意，IP 地址列表在一次攻擊結(jié)束后需要清空，不能反復(fù)使用，以免影響質(zhì)量。

同時(shí)，壓測(cè)機(jī)器人全部為未注冊(cè)玩家，盡管它們默認(rèn)為旁觀(guān)模式，可以自由移動(dòng)，但也可以通過(guò)登錄間隙減小它們的影響。常見(jiàn)的方法是通過(guò)虛擬化多開(kāi)服務(wù)器，創(chuàng)建登錄服。不過(guò)，我們建議使用硬件隔離，即直接創(chuàng)建兩臺(tái)服務(wù)器的互通。對(duì)于基于云的服務(wù)器，可以創(chuàng)建多臺(tái)計(jì)算節(jié)點(diǎn)，搭配一臺(tái)帶寬足夠大的出口服務(wù)器使用。這樣，玩家登錄后傳送到源站服務(wù)器，未登錄的 Bot 都會(huì)被阻斷在登錄服。就算登錄服被壓測(cè)崩潰，源站也能完好無(wú)損。不過(guò)，要增加一臺(tái)服務(wù)器，專(zhuān)門(mén)用來(lái)應(yīng)對(duì)絕大多數(shù)時(shí)候不會(huì)出現(xiàn)的壓測(cè)，對(duì)于小型服務(wù)器服主并不值得。

也有更加暴力的解決方案。服務(wù)器運(yùn)營(yíng)方可以向玩家發(fā)送認(rèn)證 Mod，然后在登錄時(shí)調(diào)用認(rèn)證功能。為了防止玩家濫用 Mod，可以給每位玩家創(chuàng)建特定的密鑰對(duì)，或者使用 FIDO2 等令牌技術(shù)，實(shí)現(xiàn)針對(duì)性認(rèn)證。這種方式可以 100% 解決壓測(cè)問(wèn)題，但缺點(diǎn)也顯而易見(jiàn)，非常麻煩，新玩家接受度低，適用于私有服務(wù)器和管理員認(rèn)證。

參考文獻(xiàn)

制作人員