Spielebetrüger und DDoS-Spoiler mit Echtzeit-Packet-Wasserzeichen besiegen
Spiele, ob zur Unterhaltung oder als Glücksspiel, scheinen das Schlimmste in den schlimmsten Menschen hervorzubringen. Cheater nutzen ein Ökosystem von ruchlosen Tool-Entwicklern, um sich einen Wettbewerbsvorteil zu verschaffen, indem sie neue Wege finden, um auf unfaire Weise voranzukommen, Konkurrenten zu behindern oder die Hosting-Plattformen anzugreifen.
Wie weit verbreitet ist das Problem? Eine Studie von Irdeto bietet einige interessante Einblicke in dieses Thema.
60 % der Spieler haben schon einmal erlebt, dass ihr Multiplayer-Spielerlebnis durch Betrug anderer Spieler negativ beeinflusst wurde.
Quelle: Irdeto Global Gaming Survey
DDoS-Verteidiger (Distributed Denial of Service) brauchen neue Ansätze, um die Operationen zugunsten eines fairen und kontinuierlichen Spiels auszubalancieren, denn alle sehen zu, und niemand möchte auf einem unfairen Schlachtfeld spielen.
Ein Ansatz zur Verbesserung der Null-Vertrauens-Verteidigung, die für Spielplattformen erforderlich ist, besteht in der Verwendung von Echtzeit-Wasserzeichenprüfungen für den gesamten Datenverkehr vom Internet zum Spielserver. Zeitbasierte Paket-Wasserzeichenprüfungen am Netzwerk-Peering und Transit-Edge geben Spielbetreibern die Möglichkeit, sicherzustellen, dass nur legitime Spielclients mit dem Spielserver kommunizieren. Die Herausforderung besteht darin, jedes Paket auf ein gültiges Token zu überprüfen, ohne das adrenalingeladene Spiel durch energieverzehrende Verzögerungen oder abbruchwürdigen Jitter zu beeinträchtigen.
Wie funktioniert das Wasserzeichen?
Zeitsensitive Token werden vom Spielbetreiber generiert, einseitig verschlüsselt, um die Entdeckung des Algorithmus zu verhindern, und dann an legitime Clients weitergegeben. Die Client-Anwendung versieht jedes Kommunikationspaket mit dem aktuellen Token, das für den Spieleserver bestimmt ist, mit einem Wasserzeichen. Zugriffe ohne Token oder mit abgelaufenem Token werden blockiert, bevor sie den Server erreichen.
Eingrenzung der verfügbaren DDoS-Waffen
Wie bei allem im Sicherheitsbereich gibt es keine 100-prozentige Garantie, aber mit Packet Watermarking wird die Angriffsfläche stark verringert, während den bösen Akteuren eine zusätzliche Last auferlegt wird, um ein Eindringen in die Umgebung zu verhindern oder DDoS-Angriffe abzuschwächen.
Für DDoS-Angriffe gibt es zwei Methoden: reflektierte Verstärkungsangriffe oder direkte Botnet-Angriffe mit oder ohne Zustand. Reflektierte Verstärkungsangriffe nutzen Millionen öffentlich zugänglicher Server (z. B. DNS, NTP, Memcached usw.), die auf eine nicht authentifizierte Anfrage mit einer verstärkten Antwort an das Opfer reagieren. Die Antwort wird als "reflektiert" bezeichnet, weil der Angreifer die IP-Adresse des Opfers als Anfragesteller vortäuscht. Der verstärkte Teil kommt ins Spiel, weil die Anfrage, in der Regel ein kleines 64B-Paket, unerlaubt und bis zu 51.000 Mal (Memcached) groß wie eine Antwort ist. Botnet-Angriffe hingegen nutzen mit DDoS-Waffen ausgerüstete , mit Malware infizierte Computer und IoT-Geräte unter der Kontrolle eines DDoS-for-hire-Dienstes.
DDoS-Abwehr auf der Basis von Paket-Wasserzeichen eliminiert alle Arten von reflektierten Verstärkungsangriffen, da keiner dieser exponierten Server, die für reflektierte Angriffe verwendet werden, über den Token oder das Know-how verfügt, den Token von der Spieleplattform zu entfernen. Es ist auch unwahrscheinlich, dass das Botnetz, das von DDoS-for-hire-Diensten kontrolliert wird, den Token sieht, da es sich wahrscheinlich um IoT-Geräte und nicht um Gaming-Client-Rechner handelt. Damit bleiben nur noch Rechenknoten übrig, die unter der Kontrolle des Gaming-Netzwerks eines aktiven Nutzers stehen und als DDoS-Waffe eingesetzt werden könnten.
PCAP-Wiedergabe verhindern
DDoS-Angreifer sind ebenso wie ihre Gegenspieler aus dem legalen Bereich hartnäckig und innovativ. Eine Strategie besteht darin, den DDoS-Datenverkehr wie Spielverkehr aussehen zu lassen. Dies kann durch das Abfangen von Paketen von der Netzwerkkarte (NIC) des Angreifers und die anschließende Wiedergabe dieses Datenverkehrs mit hoher Geschwindigkeit oder durch die Wiedergabe über ein verteiltes Botnetz unter der Kontrolle des Angreifers geschehen. Die Token haben jedoch in der Regel eine Verfallszeit von wenigen Sekunden oder Minuten, so dass das Angriffsfenster sehr klein ist. Der Token kann auch nur für eine einzige Sitzung gesperrt werden, um eine lästige Wiederverwendung des Tokens bei weiteren Spielsitzungen zu verhindern.
DDoS-Verteidiger von Online-Spielen haben es schwer. Ihre Branche ist das häufigste Ziel von DDoS-Angriffen, und oft werden Sie von Ihren eigenen Benutzern angegriffen! Das Anbringen von Wasserzeichen im Kommunikationsverkehr ist eine wirksame Methode, um die Angriffsfläche für Betrüger und DDoS-Spoiler zu verringern.
A10 Networks bietet fortschrittliche Techniken für die Spielverteidigung, einschließlich Echtzeit-Wasserzeicheninspektion pro Paket, verwertbare DDoS-Waffen-Intelligenz, fünfstufige adaptive Richtlinien und Zero-Day Automated Protection (ZAP). Weitere Informationen zu den DDoS-Lösungen von A10 Networksfinden Sie auf der Seite DDoS-Schutz.