千机盾防御系统白皮书

1、千机盾云防御系统产品介绍为移动端APP量身打造的网络安全解决方案期:201目录1. APP 版简介 42. 防护简介 43. 防护优势 74. 适用场景 81. APP版简介千机盾云防御系统使用先进的防御体系，攻击者所有的请求都会进入虚拟防 护节点上，通过每个节点自带的安全防护功能，进行流量清洗过滤，真实的服务器始终隐藏在千机盾云防御系统的防护之下， 避免黑客对其发动攻击。由于使 用分布式的防御体系，可以轻松瓦解大流量攻击。以全新算法、海量分布式节点为基础，对每个连接进行安全识别，精确判断 是真实应用还是恶意攻击，保证每一个连接的安全，通过多维度智能调度系统实 现防护IP无感切换打破传统防火墙

2、依赖于高防IP本身防护能力的限制，解决以 往攻击防护资源不对等问题，以终端视角彻底解决DDOS攻击问题。同时高强度加密算法可保护APP通信协议不受破解，可有效解决游戏外挂和业务欺诈。 智能调度保证了终端的最佳网络链路，提升用户体验。2. 防护简介千机盾云防御系统改变了以往抗 DDOS攻击依赖一个或数个高防IP的模 式，依赖于精巧的调度算法和分布式服务节点，通过算法赢得 DDoS攻防对抗 的胜利。整个防护由三大模块组成，分别是客户端 SDK、智能调度和身份验证2.1. 客户端千机盾云防御系统是专门为 APP应用开发的集防护加速为一体的安全产 品，在使用时用户需要在自身APP中嵌入安全SDK，SD

3、K全面覆盖IOS、An droid、Win dows。通过SDK可以精准定位每个终端当前环境信息、是否可 信，为智能调度、攻击防护提供多维度参考数据。通过对APP进行加固有效防治破解、欺诈、外挂等验证影响应用运营安全 问题。2.2. 智能调度系统智能调度系统主要对IP地址池中的节点做健康检查，并按照智能调度算法 排序，将IP池分为正常组和风险组，正常情况下会给客户端返回3个可用节点IP，一旦3个IP被打死，客户端再次请求将会分配风险组池中的IP,如果依然被打死，此客户端将被加入黑名单，列入高风险客户端，同时不再给它分配任何 IP节点，并将客户端IP以及特征码存储，以备后续定位反查攻击者。客户端

4、获取到分配的中转机IP后，创建隧道加密通讯，所有的游戏数据都将被 封装到隧道中，实现加密传输，由节点机发给后端游戏服务器。智能调度为千机盾云防御系统防护核心模块之一， 通过灵活的调度算法打破 资源不对等问题。彻底解决 DDOS 和 CC 攻击问题。智能调度系统根据端环境信息及攻防大脑实时分析结果对终端流量进行拆 分和调度。智能调度可以为 APP 提供两个大的层面应用。1、抗 DDOS 攻击：可以精准识别终端是攻击者还是真正的访客。通过灵活的调度算法，可以区别对待真正访客和黑客，将不同流量引至不同 “服务节点”或虚拟节点， 防御超大规模 DDOS 攻击而不影响任何一个 真正访客。2、访问加速：通

5、过终端环境信息从分布式节点中为每一个终端调度最优节点保证防护速度及链路质量最高， 有效提升 APP 访问速度，提升访 客体验。2.3. CC 防护针对TCP端口 CC攻击，目前已有CC防护方案不论是针对比较规范的应用 层协议（ http 、 https ）还是针对私有不常见的协议，均存在漏防和误防问题。 千机盾云防御系统通过 SDK 与防护节点建立加密隧道，接管客户端与服务器端 网络连接，准确识别攻击者与真正的访客。非真正访客所发送数据包将会被防护节点直接丢弃，并且会将其加入到 IP 信誉库，黑客肉鸡仅可以使用一次便被精准识别， 黑客可用攻击资源将急剧下降， 打破防护资源不对称问题。彻底解决

6、CC 攻击问题，实现 CC 100% 识别防御， 零误伤，真正为用户业务保驾护航。2.4. 链路加密APP 在嵌入 SDK 后，终端在启用 APP 应用时，全部业务数据在发送前会 进行高强度加密处理， 每个终端均分配唯一秘钥， 当数据传输至千机盾云防御系 统分布式节点后由节点进行数据校验。 未通过校验的连接会被丢弃， 并且此次连 接会被记录为非法连接。 通过校验的数据会被防护节点发送至业务服务器。 加密 数据在网络中进行传播时可防止数据遭受监听、嗅探。2.5. 攻击溯源智能调度系统详细记录每次调度信息，根据调度信息千机盾云防御系统可快 速定位攻击源，实时分析，同时联合阿里云、腾讯云，AWS等云

7、计算厂商，对攻击来源进行精准定位，将不法分子绳子以法！2.6. 验证安全为了防止黑客绕过验证，获取全部地址池中的节点 IP，我们在验证环节做 了多层匹配，采用了高级别的加密方式以及时间戳， KEY等方式进行信誉认证。 验证通过后，才可以获取分配的节点IP。3. 防护优势参数传统方案APP版防护能力仅能靠一个本地机房，带宽无法 扩展，无法防御更大的DDoS攻 击分布式节点优质BGP接入， 针对游戏提供高可用的网络 环境，理论上无上限的抗攻击 能力身份验证/链路加密传统清洗机房仅靠硬件设备来识 别，无法解码游戏私有协议数据报文全链路加密，身份验 证，防黑客破解，端到端的加 密，游戏安全接入节点个数

8、节点数量有限，容易被逐一打死节点数量很多，即使打死几个对绝大多数用户无影响CC防护CC攻击防护效果不佳，大量漏杀 和误杀，严重影响业务100% CC防护能力，0误封启动防护识别攻击行为需要一个过程即刻识别攻击行为攻击成本黑客轻易打出几百Gbps的攻击找不到攻击目标，黑客成本很高防护成本防护成本很咼防护成本较低接入方式需要DNS解析无需DNS解析调度能力调度时间很长秒级调度，快速切换节点调度策略调度策略很简单多维度，调度策略很灵活节点使用用户集中到少数几个防护节点上用户分散到不同节点上隐秘性黑客很谷易找到攻击目标黑客很难找到攻击目标，要找 到全部节点，还得都打死防护配置需配置防护策略无需配置防护

9、策略策略制定需根据攻击特征调整防护策略一次接入，终身免疫攻击溯源溯源困难溯源成功率将大大提升4. 适用场景4.1.适用场景一切TCP协议的原生应用，如原生游戏、电商、金融、物联网等APP。42不适用场景不适用与浏览器应用和H5应用，无源码游戏平台可接入 CNAME方式进行 防御。1、去中心全云化：采用全云化的分布式架构，云防护节点可以做到自主 调度，主动防御。无调度中心，易9除了易被攻击的防御瓶颈，降低了攻击风险。2、无高防：摆脱了高防机房的束缚，全程无硬抗环节，完全摒弃了对带 宽流量的依赖，防护流量无上限。3、端云协同：通过在客户端集成的SDK，与云端防护节点联动进行防御, 防御效果更准确，更全面4、彻底防御 CC 攻击：通过创新的报文基因技术，在用户与防护节点之间 建立加密隧道，准确识别合法报文，阻止非法流量进入，因此能彻底防御CC 攻击等资源消耗型攻击。5、全网BGP :超过16条线路的优质BGP网络环境，网