對抗夢魘——當中小開發者遭遇DDoS攻擊_風聞

想象一下：你完成了一天的工作，疲憊地回到家門口，只想好好泡個澡，美美地睡一覺，這時你卻發現怎麼也打不開自家的門鎖。你意識到有些不對勁，從疑惑到焦急再到憤怒，你試盡了想到的所有辦法，最後還是隻能找來開鎖師傅。終於，你打開了家門，卻發現屋中一片狼藉——家裏進賊了。精疲力竭的你還沒能釐清遭受了多少損失，又在客廳的牆上發現了一條留言：“如果不想再被撬門堵鎖的話，就準備好贖金”。

現實世界裏，這樣的“入室行竊”似乎已漸漸遠去，但在網絡空間，類似的慘劇卻愈演愈烈——DDoS攻擊和隨之而來的敲詐勒索已經成為中小遊戲開發者如影隨形的夢魘。

DDoS攻擊又名“分散式阻斷服務攻擊”，方式多種多樣，常見的有UDPFLOOD、TCP反射、CC攻擊……絕大部分玩家從未聽過這些術語，但這些花樣所造成的直接後果大家都不陌生，那就是“炸服”。

説白了，針對遊戲公司的DDoS攻擊就是通過各種方式，耗盡目標的服務器資源，使得其他正常玩家無法登陸或是不能使用遊戲內的一些功能。攻擊者的目的大多是為了勒索錢財，脅迫遊戲公司們花錢消災。

俗稱“呼死你”的電話轟炸也可視為一種DDoS攻擊

這類攻擊曾經多針對大型企業，外界新聞也多數聚焦於此，如之前索尼和Capcom被黑客攻擊並盜取數據事件。

但如今越來越多的黑手伸向了中小手遊製作者。相對於大公司，小工作室的防範能力更弱，也更依賴於單一產品，毫無疑問屬於軟柿子。但也正是這些“軟柿子”的激烈反抗，開始讓DDoS攻擊進入普通玩家的視野。

八月初上線的《弈劍行》在被黑客勒索後，開發團隊選擇了直接停服下線，拒絕向黑客團隊交納贖金，因此而受到了關注。這場風波讓許多人意識到已經有大量小型開發商遭到了DDoS攻擊的荼毒；

《弈劍行》《江湖悠悠》《小小五千年》《天黑裝備鋪》《超級幻影貓2》《影之刃3》《離玥傳》《姬魔鏈戰紀》《四葉草劇場》《彈力果凍》……受害者的名單還遠不止此

只是這種程度的曝光顯然不足以讓黑客們停手。時間過去還不到兩週，十字星工作室的《半盞復古行》同樣在開服當天遭到了DDoS攻擊。

這一次，開發者則選擇在網絡上通過文字來直播這一場沒有硝煙的戰役。

“黑客一把薅上了我們與玩家之間的門”

《半盞復古行》（下稱《半盞》）是十字星工作室花了兩年時間製作的劇情向休閒合成遊戲，玩家將在其中扮演一名古董修復師，體驗古董收集，萌寵養成，劇情闖關等玩法。

在遊戲上線前，開發團隊有着許多顧慮，擔心玩家能否接受劇情風格、生怕遊戲裏還留有尚未被發現的Bug……團隊成員優化遊戲到上線前的一刻，希望能帶給玩家一場古董修復之旅，卻沒料到最先等待修復的，是被黑客們攻擊的自家遊戲。

開發者們藏在盒子裏的寶物並沒能如願順利地展示給玩家

上午10點是遊戲原定的開服時間，大部分玩家卻發現自己並不能進入遊戲，隨後官方也發出緊急維護的公告，將開服時間推遲兩小時。

此時還有不少玩家以為這是運營藉機發放遊戲福利的噱頭，畢竟“開服炸服發補償”早已成為手遊界的慣例，被視為吸引玩家的方式之一。

和玩家一樣搞不清狀況的還有十字星的研發團隊，他們正在等待着玩家對遊戲的反饋，卻只知道服務器始終處於異常狀態，直至從發行方得到了確切的消息——“我們被黑客攻擊了。”

足以想見，這則消息所造成的衝擊不亞於剛經歷了一場分娩的母親卻被告知自己的孩子被人拐走。還來不及有更多的情緒，團隊成員們就強打起精神，投身與黑客的這場拉鋸戰之中，試圖奪還自己的作品。

這一切的發生並非沒有徵兆。

在《半盞》的刪檔測試和預下載階段，都曾有黑客對服務器發起過小量級多角度的試探攻擊，只是當時都應付了過來。幾年前，十字星的另一款遊戲《螺旋圓舞曲》也曾在上線時遭遇黑客攻擊，同樣在技術人員的努力下硬扛幾個小時捱了過去。

但這一回，黑客來勢洶洶，技術團隊才意識到之前的小打小鬧原來只是踩點和煙霧彈。

遊戲尚未開服，服務器的外網接口就遭到掃描。黑客首先利用遊戲的“遊客登錄”機制，偽造了大量虛假用户，耗盡了服務器資源。

《半盞》被迫關閉了“遊客”功能。對方又立刻投入了大量可驗證的真實手機號，通過“一鍵登陸”繼續攻擊，向服務器灌入了堪比正常情況數萬倍的瞬時流量，遠超中小型遊戲公司的防禦能力。

團隊勉強應付完這邊的流量衝擊，正準備防範於未然關閉遊戲的充值功能時，黑客又一次捷足先登，通過CC攻擊利用付費接口讓服務器癱瘓……

黑客顯然是有備而來，技術團隊卻往往只能等他們攻擊之後，才能採取針對性的防範措施，因此始終處於被動挨打的局面。

技術團隊通宵鏖戰，但還是疲於應付層出不窮的攻擊

在遊戲上線的前夜，《半盞》的技術團隊就這樣通宵達旦地抵禦着黑客一輪又一輪的進攻，依舊沒能讓遊戲如期開服，服務器的開放一延再延。

“感覺就像是我們準備了一個世界在等待玩家，然後黑客過來一把把門給薅上了。”《半盞》的開發者説。

就讓光來照亮陰影

時間一分一秒地流逝。

對於《半盞》這類體量不大的休閒遊戲而言，開服首日是至關重要的一天，這一天往往就是獲得平台推薦和玩家關注的最好機會。

來自等待開服的玩家的壓力越來越大，與黑客之間的拉扯卻看不見盡頭。十字星的團隊曾經不太理解《弈劍行》的開發者為什麼會寧願放棄傾注心血的遊戲也要“玉石俱焚”，但此時的他們對於“自己作品被蹂躪而產生的憤怒與絕望”早已感同身受。

“想要做些什麼”的心情最終讓他們決定將這場黑暗中的角力擺到燈光下，告知了玩家和同行們自己的遊戲正受到黑客攻擊，並且每兩小時更新一次進展。

這樣的做法本質上屬於“自揭其短”，很多時候只會讓玩家懷疑遊戲開發者的技術水平，進一步對於遊戲的投入和消費都有所顧慮，對已經產生的損失則於事無補，因此大部分遊戲公司並不傾向這麼做。但當時《半盞》的團隊已經對遊戲的前景相當悲觀，在他們看來，這很可能就是與玩家最後的交流機會了，思慮再三還是決定坦誠相待，將選擇權交給玩家。

畢竟玩家也並沒有義務去了解開發商的苦衷

幸運的是，或許正因為過去《弈劍行》等開發者同樣選擇了開誠佈公，得以讓普通玩家們也對DDoS攻擊有所認識。在《半盞》公開自己的遭遇後，還是收到了許多來自玩家的支持與鼓勵，支撐起了原本已到臨界狀態的開發團隊。

只可惜實際情況並沒能馬上隨之樂觀起來。

《半盞》的舉動似乎反而激怒了黑客團伙，此時的他們已經先後發動了8輪攻擊，動用了超過十萬個真實的身份信息和被他們挾持的網絡設備（俗稱“肉雞”），繞過WAF防火牆直接攻擊服務器。

如果説之前的攻擊模式還只是拉幫結夥地到人店裏乾坐着不消費，那現在就堪比直接扔石塊砸場子了。

即便在騰訊雲安全技術團隊加入支援之後，黑客團隊依然持續通過不同方式進行攻擊。有好幾次，在技術團隊以為抵禦住了攻勢想要喘一口氣的時候，黑客再度突襲使服務器崩潰。黑客團伙在這一過程中甚至未曾現身進行勒索和談判，只是孜孜不倦地發動着攻擊，彷彿只為了拖垮這家公司，給業界立一個“下馬威”。

《半盞》的技術團隊面對的困境還不止於此。為了測試防禦效果，團隊最終在晚上九點半開放了服務器，讓玩家們登陸游戲。這也就意味着接下來團隊不僅要面對黑客的流量攻擊，還要像淘金一半從中清洗出那些正常玩家的數據，儘可能保護這些用户避免回檔刪檔等狀況。這幾乎依賴於人工判斷和處理，也成為了技術團隊最難熬的一段時光。

這也就是為什麼許多遊戲遭遇DDoS攻擊時寧可始終閉門不開。

經歷了又一個漫長的夜晚，《半盞》的團隊終於暫時填補完了現有的漏洞，整體攻防趨於平衡，大部分玩家們可以正常地進入遊戲。

在遊戲進入正常運營後，黑客們也依舊沒有消停

終於騰出手來的工作室也已通過TapTap的渠道統一報案，正對被攻擊材料進行保存和公證，將進一步向廣州市天河區派出所、網警、經偵等相關部門報案。

然而掃尾工作這才剛剛開始——密集的攻防戰給遊戲帶來了大量有待修復的Bug，網絡動盪造成的回檔、充值等問題還有待處理，允諾玩家的延遲開服補償也要以大家都能接受的方式進行發放……這些都會直接影響遊戲的收入和後續運營，這場無妄之災給遊戲帶來的影響還遠沒有結束。

《半盞》的經歷只是一個縮影，曾經以及將要遭遇類似情況的中小工作室還有許多。

遊戲開發者的“阿喀琉斯之踵”

古希臘神話中的英雄阿喀琉斯曾浸於冥河因而刀槍不入，唯獨後腳踝沒能泡入河中，最終被一支毒箭射中失去了性命。

對於中小遊戲工作室而言，DDoS攻擊就是那支瞄準死穴的毒箭。

DDoS攻擊幾乎伴隨互聯網而生，只要提供在線服務，就可能成為DDoS攻擊的受害者。早期的DDoS攻擊大多是個人黑客出於炫耀、報復等目的而實施，現如今則早已發展為犯罪團伙敲詐勒索互聯網企業的手段，首當其衝的就是遊戲行業。

根據“騰訊安全”發佈的《2020年DDoS威脅報告》，針對遊戲行業進行的DDoS攻擊佔了近八成

早在端遊時代，網遊廠商就成為了黑客們利用DDoS攻擊進行敲詐勒索的對象；在手遊時代來臨後，棋牌類遊戲則又成了重災區。這些廠商大多財大氣粗，往往懶得與黑客團隊糾纏，直接花錢了事，也不願意對外公開。因此在很長時間裏，普通玩家並不太瞭解DDoS攻擊所造成的危害。

或許是越來越難從大公司身上榨到油水，又或者是DDoS攻擊成本的進一步降低讓黑客們意識到“蚊子腿也是肉”，總之，近年來黑客羣體愈發盯上了中小體量的手遊工作室，專挑走小眾精品路線的作品下手，趁着遊戲開服的當口發動攻擊，甚至還摸索出了一條篩選的捷徑——那就是TapTap上的“編輯推薦”。

《半盞》同樣是在獲得“編輯推薦”後不久就遇到了黑客展開的攻擊

由於TapTap推薦的產品多為中小團隊所開發，這類團隊大多缺乏網絡安全的攻防經驗，過於依賴雲服務器供應商所提供的網絡安全服務，一門心思撲在自家產品的研發上，恰恰留給黑客團隊可乘之機。

雲服務商所提供的基礎防護大多相當脆弱，一旦客户的峯值流量超出預設帶寬，就會把指向客户接口的流量全部丟包，俗稱“扔進黑洞”，直到一定冷卻時間後再釋放出來。黑客就利用這一機制，循環往復地把遊戲開發者的接口打入黑洞。

要是開發者不幸把關鍵模塊架設在了雲服務器上，那這時候就很難採取什麼技術上的防範手段了，要麼加錢升級為“高級防護服務”，要麼向黑客妥協繳納贖金，相當於同時被雲服務商和黑客雙重綁架。熟知行情的黑客們則會趁機開出一個較低於“高防服務”價格的金額，脅迫開發者就範。

“不甘心”是遭遇DDoS攻擊的技術人員們事後最常流露的情緒。

黑客在技術上並沒有什麼顯著的優勢，但他們經驗老道、以逸待勞，深知中小開發者的軟肋和應對慣性，因此總能卡着節奏佔據先手。在覆盤過程中，大家往往能意識到一些並不複雜的事先防範技巧：“要是沒暴露關鍵端口就好了”“如果應用部署走的是內網機制就好了”“要是再來一遍的話，肯定不會讓黑客得手”……

但不是所有人都還有第二次機會。

對於許多小團隊而言，兩萬元的贖金和五萬元的高防並沒有太大差異，都意味着好不容易熬到了遊戲上線，卻還要再出一筆血。更重要的是，在遊戲上線的第一天遭遇DDoS攻擊導致“炸服”，通常會造成不可逆的用户流失（並浪費可能是唯一一次的平台推薦位），足以就此決定一款遊戲的生死，即便把遊戲贖了回來，也可能早已變成被撕票的“屍體”。

也正是因此，一些中小開發者的反抗反而比大型公司激烈得多，抱着“大不了關門”的心態和黑客槓到底，讓對方討不着半點便宜。

要是每家公司都這樣“寧為玉碎，不為瓦全”，會不會讓黑客們放棄這塊硬骨頭？沒有人知道答案，但即便能成功，這樣的代價也未免太過高昂。畢竟沒有誰真的心甘情願讓自己的作品成為祭品。

浮上水面的冰山一角

飽受黑客困擾的也不止是國內的遊戲企業。早些年，日本手遊“開服即炸服”的傳統還常常淪為笑柄，如今回頭來看，許多小團隊其實同樣是深受DDoS攻擊困擾，有苦難言。也是國內的手遊產業日趨發達，才讓大家更加深入地認識到這一現象。

日本開發者同樣深受DDoS攻擊的困擾，而且和大部分國內企業一樣，大公司通常並不願意承認自己遭到了難以應付的網絡攻擊，小團隊則在默默掙扎中悄無聲息地逝去

DDoS攻擊長久以來都是世界性的網絡安全難題，這類攻擊的發起位置來源遍佈全球各地，難以定位作案者真正的所在地。

偵破這類案件的難點還不只是“境外作案”。

幾年前國內破獲的“暗夜小組”就是一個藏身於柬埔寨實施 DDoS 攻擊來敲詐國內互聯網企業的組織，最終在深圳公安機關的不懈努力下全部落網，對11人以“破壞計算機信息系統罪” 判處有期徒刑一至二年不等。

“暗夜小組”在2017年對騰訊雲服務器進行“DDoS”攻擊，給後者造成經濟損失人民幣114358元

這個組織在當時還保留着以往黑客團體不僅求“利”還要圖“名”的傳統，社團架構嚴密，實施從上游到下游一手包辦的“一條龍”犯罪，作案人員線上身份和線下身份一一對應，這也讓辦案人員得以建立起完整的證據鏈，最終將他們定罪。

但是“高度分工、流水線作業”正在成為這類犯罪的新趨勢。

在這個黑色產業中，一些人專職植入木馬，收集“肉雞”，再將這些受控制的終端批量兜售給其他組織，這些人也被稱為“肉雞商人”；收購 “肉雞”的則往往是DDoS攻擊的直接發起者，他們在整個產業鏈中扮演着“打手”，也是行蹤最為隱蔽的角色；還有一些人手中握有大量的個人信息，藉此搭建起用於“洗錢”的支付網絡，接觸受害者進行敲詐勒索，有如項目的“承包商”；此外還有大量的掮客周旋於這些人之間，參與中介和擔保等活動，使得整個交易鏈條更加隱蔽，也讓犯罪門檻變得越來越低。

一位技術人員帶着幾分自嘲地表示：“黑客之間的分工合作和資源共享可能比我們這些正規程序員還要緊密。”

不久前廣州市中級人民法院就通報了一起17歲少年僅靠購買的DDoS攻擊套餐，就使得國內航空公司票務系統癱瘓的案件

相關產業的偽裝性也遠超大眾的想象，一邊是大家連黑客的尾巴都難以抓到，另一邊則是作案工具就藏在大夥的眼皮底下——在一些線上交易平台，所謂的“DDoS抗壓測試”“網絡攻防教學”實際上就可能被利用為網絡襲擊的工具，甚至賣家就是披着皮的“肉雞商”。

但由於缺乏直接證據，最多也只能讓這些賣家下架商品或是封禁賬號

黑客們的身份同樣撲朔迷離。近期勒索中小遊戲公司的黑客有不少自稱來自名為ACCN的組織，但目前並沒有任何證據表明這些人出自同一組織，作案手法也不盡相同，更沒法確認他們是來自中國台灣地區的黑客。但從勒索者的角度而言，他們樂於默契地公用同一個幌子，讓大眾形成刻板印象，相信他們是某個地區的固定組織，以此來更好地隱藏自己的身份。

在中國台灣地區的相關報道中，ACCN則是一個台灣犯罪分子與內地黑客勾結敲詐當地企業的組織

事到如今大家也不難察覺，這樣盤根錯節的產業鏈實則早已超出了單純的“黑客”範疇，牽扯到了信息安全的方方面面。

由於移動智能設備的快速普及，使得世界範圍內被綁架的“肉雞”數量都遠超以往，用户不經意間下載安裝的“破解”“刷單”軟件都足以盜取機主的信息，或是讓一台手機成為黑客團體的作案工具。在2013年的產業報告裏，峯值流量300G的DDoS攻擊就已經是不容小覷的行業事件，現如今攻擊流量的單位則早已突破TB。

信息安全與我們每一個人都息息相關，中小遊戲企業遭遇的DDoS勒索也只是顯露的冰山一角，自然難以獨立得到解決。

結語

短時間內大環境難以改變，中小開發者能採取的方法也只有聯合起來“自救”。

如果能有更多的技術交流，那麼就不必有更多的技術人員體會相同的“不甘”；如果能大家一起合購“高防”按需使用，那麼就不必再為開服的第一天擔驚受怕；如果能有聯合舉證共同訴訟，那麼獲取公道的可能性也會有所提升；如果能……

能做的事確實還有許多，但對於大部分的中小工作室而言，光是依靠自己的作品生活下去就已經竭盡全力，並沒有餘力去落實這些事。

可偏偏就是這些小開發者，成功讓這麼多年來藏於暗處的黑客暴露在了大眾面前，讓玩家們認識到了這是怎樣的一羣人，又在做着怎樣的惡行。當那些遭遇黑客攻擊的工作室向玩家介紹情況時，他們總是在一遍又一遍地道歉，想盡補償方法來挽留玩家，但本該道歉的並不是他們。

中小開發者與黑客之間的對抗還遠看不到終點，但他們決不妥協的勇氣多少點燃了些許光芒，至少今後的開發者們碰上類似的狀況可以堂堂正正地説一句“我們被黑客攻擊了”，無需再為自己身為受害者而感到羞愧。

畢竟驅散陰霾的第一步，就是讓它暴露於陽光下。