高防云服务器租用,托管游戏服务器要怎么选配件?
做游戏开发是自建机房,是租用游戏服务器还是托管服务器来运营?如果希望服务器稳定,最好选择游戏服务器托管。 建游戏机房,这得腾讯、网易这些大佬折腾 太麻烦了。。。租服务器容易受到攻击,还需要专门的安全团队,如果你只想专注游戏开发+运营,最好选择游戏服务器托管业务!
游戏开发,服务器成本是前期最大的投入,如果是小型游戏,单一个服务器购买价格并不高,但配套的资源却不便宜,比如说带宽,如果专线接入,每个月费用不少,还有防御,游戏服务器最容易受到攻击,这时就得有专业技术人员和设备来进行防御,游戏高防服务器租用,这些费用都不少,并且不是一次性投入的。那如何选择游戏服务器托管?
1、游戏服务器,首先CPU 内存 硬盘 带宽这些,其次就是防御CPU 内存 一般的话 16H 16G 这种是差不多基本够用 看你这边是做那种 游戏 页游 手游 还是端游的硬盘最好是选择固态硬盘 SSD 单从数据处理速度来说,固态硬盘肯定是好一些的。
2、带宽方面 看玩家人数 访问量这些有多少 游戏服务器对带宽需求也是比较大的 可以使用 50M-100M 独享 后期人数多可以在加。
3、防御是一方面 一般一些游戏sf这种 是比较容易遭受到流量攻击,甚至还有一些不法收保护费专门打服的,防御推荐要高防至少100G起!
Ddos攻击是游戏服务器托管用户最头疼的攻击,而针对该类用户的Ddos攻击中类还不止一个。游戏服务器托管常见的ddos攻击有哪些种类?
游戏服务器DDoS攻击原理大致分为以下三种:
1.通过发送大的数据包堵塞服务器带宽造成服务器线路瘫痪;
2.通过发送特殊的数据包造成服务器TCP/IP协议模块耗费CPU内存资源最终瘫痪;
3.通过标准的连接建立起连接后发送特殊的数据包造成服务器运行的网络服务软件耗费CPU内存最终瘫痪(比如WEB SERVER、FTP SERVER、 游戏服务器等)。
游戏公司前期虽然需要投入大量资金去租用服务器、服务器带宽和服务器维护的费用。但游戏服务器的稳定是游戏公司运营的根本。游戏服务器租用选择标准是快速、稳定、抗攻击强,然后找正规的、有资质的IDC商家,然后再比较比较价格,最终找到性价高的游戏服务器。所以,选择一个正规的优质的服务器托管中心是游戏公司的第一要务。
云服务器有什么好处?
1、稳定性 相比独立服务器和VPS,云服务器是建立在集群服务器之上的,不会因为一台服务器挂掉而失去用户资源信息。如果使用的云服务器出现问题,马上就可以调用服务器群的其他服务器继续运行。另外,云服务器还能提供数据多重实时存储技术,避免数据丢失,提供99.95%服务可用性,99.999%数据可靠性的稳定服务。 2/5 2、安全性 云服务器在安全性上也有极大的保障,提供有丰富的安全服务,比如:DDoS防护、DNS劫持检测、入侵检测、漏洞扫描、网页木马检测、登录防护、高危漏洞修复等安全服务。 3/5 3、服务省心,弹性升级 云服务器提供弹性选择,可以根据需求选择配置,免装机配置繁琐程序。而且使用期间可以根据需求动态扩容,快速升级CPU、内存、硬盘和带宽,支持一键重装系统。云服务器商还会提供专业的运维支撑,免除后顾之忧。 4/5 总之,对于大多数中小企业和站长而言,云服务器绝对是不错的选择,它与独立服务器都在保证稳定性和安全性的同时,性价比也高 5/5 云服务器与传统独立服务器的区别 独立服务器一般是一台服务器在局域网中只向自己网络内的主机提供独立的资源和服务器,并不负责网络内主机的管理。 而云服务器基于云计算,是一种比较简单高效、安全可靠、处理能力可弹性伸缩的云计算服务。它能有效解决传统服务器和VPS服务中存在管理难度大,业务扩展性弱的缺陷。
高防服务器将如何防御?
最近看到的文章,借此回答一下,文章地址文末发一下
高防服务器是针对大部分的网络攻击类型,和比较常见的攻击,进行可控制的分流清洗的一种防御形式。
流量分为正常和非正常的流量,使用一台服务器目的是让有需求的用户,正常的正常的访问网站,或者是应用,如果一台服务器的流量巨大,一般我们会采用分流的方式,可以减轻服务器的压力,甚至,可以把服务器做成多台的形式,把访问流量的压力均衡,形成负载。而分流是指把进入服务器的流量分成不同的部分,分别进入指定的服务器。但是如果是恶意的流量进来的话我们采用这种方式并不能减小服务器的压力,甚至因为恶意的访问方式导致服务器奔溃,加上长时间的恶意链接,或者是影响链接等行为的方式来破坏服务器的正常工作程序的,都可以称作是攻击。高防的意义在于怎么能更好的把攻击流量和正常的流量区分开来,可以保护常规有需求的用户进行访问连接所需要的资源。还能保证服务器环境可以顺畅的没有影响的为用户服务。这个也是大多数网络安全工程师们在做的一项具有正义,和实用意义的事情。高防服务器就是为用户提供了安全畅通的大桥。高防服务器的意义在于为用户更好的提供一个安全的,有保证的环境。做高防的就是用专业的力量为用户提供最好的服务。我碰到过一些实例,是这样的。有用户问:“服务是什么”?我们这样回答:“您走过桥吗”?用户回答:“走过”!“桥上有栏杆吗”?“有”,“您过桥的时候扶栏杆吗”,“不扶!”,“那么栏杆对您来说没用了?”“有用啊,没栏杆护着掉下去怎么办!”“可是您并没有扶着栏杆。”“可是没有栏杆,会害怕!”由此可见,我们的高防就是服务,就是为用户提供最安全,最基础的服务,不管您扶不扶,用或者不用我们都为您提供一份保障,这样您才会走得更稳,更快,更加坚实。常见的恶意攻击有哪些?我们把这些做了一些应用上的分类。DDOS,是DOS的一种,denial of service是在网络服务中,为了消耗服务器上的资源的一种恶意的行为方式,这种方式的演变比较多样。像SYN Flood、ICMP Flood、ACK/RST、等等类型。这种攻击都是基于应用层和网络连接协议的一种常见,大量的攻击形式。对用户有针对性和破坏性的特点。而且这种攻击形式很难找到攻击的源头,捕捉起来耗时也耗费金钱。大多是的攻击都是因为系统漏洞和应用漏洞引起的,但是即使没有漏洞依然会被大规模的攻击,这种情况也是商业发展的一种常见的手段,是恶性竞争。数据中心怎么来判断这些连接是正常和不正常的呢。首先,会有访问流量进入服务器,在进入服务器之前通常数据中心会在服务器之前加上一种或者是几种设备进行识别进入设备的流量,下发指令后,设备进行工作,进过这样的一个或者是多个循环,流量才能进入用户的服务器。这样的服务器我们称之为,高防服务器。高防服务器是指有保护设备的常用服务器的一种。设备因数据量的不同,级别不同,这就形成了不同类型的防御。香港高防服务器-fireline机房拥有可以秒级分析的清洗设备,以及多重清洗的多级设备本地防御200G和国际防御700+甚至更多防御流量。当然攻击形式不止这些,还有其他的针对网页的UDP攻击,针对应用层HTTP的Get Flood等等。那么我们怎么判断我们的服务器被攻击呢?很明显的,简单的方法是判断服务器所出现的现象。服务器有没有死机,进入服务器后看看服务器CPU占用率是否过高,这种一般是简单的cc攻击,流量比较小,一般不会认为是攻击但是却对服务器造成了严重的影响。一般处理方式是,重启服务器就会解决这样的问题。很多人在出现问题的时候没有常识,极易被攻击者被勒索。大流量攻击的特性是,攻击者会用超出受害者处理能力的速度进行攻击,这样的攻击往往是致命的存在。经验老道的黑客,不仅会用各种手段进行监控效果,还会在有需要的时候进行补充和减少攻击成本。常见的攻击流程是什么样的呢?在经过和工程师的一学习过程中我渐渐了解到,所有的攻击并不是突发的,而是有计划目的性的。很多人以为是被攻击是攻击者的随机产生,我们不能产生这样的误区,这个不是病毒木马程序,会进行感染。实际上攻击是有传染性的,以后可以详细解读。那么发起DDOS攻击一般有什么样的步骤呢:一、收集了解目标的实际情况,做一些针对的性的方案,一般可以透过一些非常规的手段获取目标用户的主机配置,数量,地址,性能以及带宽等信息;二、占领可操控的傀儡机器,一般的傀儡机器都是性能较好,管理水准较低,但是链路状态完好的机器;三、发动攻击,直接向目标用户高速的发送大量数据包,导致目标用户主机死机,或者无法响应,不能完成正常的连接请求。那么我们怎样来预防常见的DDOS的攻击呢?实际上网络安全数据中心常见的防御方式有几种:1、采用了高性能的网络设备;2、避免NAT的使用;3、拥有充足的网络带宽做保证;4、及时的升级主机服务器的硬件;5及时提醒用户,网站页面使用静态页面;6、增强操作系统的TCP/IP栈;7、安装专业的抗DDOS防火墙等等。但是个人用户往往因为成本的问题不会选择使用高防服务器,囿于成本的限制,时间的累计后没有再对服务器进行升级,致使被黑客盯上。实际上个人用户在使用服务器应该要求的是预防的意识,不能完全依靠高防服务器作为最后的保障。怎么预防DDOS对于普通用户也很重要。主要有这几种方式定期扫描网络的节点,清查存在的漏洞,及时进行修复和处理。骨干节点配置防火墙,防火墙本身是有抵抗DDOS和其他攻击的能力,可以把攻击分配给一些已经牺牲掉的主机,保护真正的主机不受到攻击。拥有足够的机器承受黑客的攻击,这是最理想的一种形式。充分利用网络设备保护网络资源,比如路由器,防火墙等负载设备。他们也可以有效的保护网络。过滤不必要的服务和端口,在路由器上过滤假IP,目前比较多的是只开放服务端是最主流的方式。使用反向路由器检查访问者的ip地址是真是假。单播反向路经转发是判断ip的方法,可以直接把ip屏蔽掉。还可以过滤所有的内部网的ip地址,像RFC1918IP地址,192.168.0.0等,这些非网段ip的ip地址都可以过滤掉。还可以在路由器配置SYN/ICMP做最大流量限制进行过滤。当出现这样的流量即为非正常的流量,就有不正常的网络访问。而正常的流量是不会使用超过这么大的流量包进行数据传输。真正意义上的攻击是会直接将目标用户攻击到瘫痪的。如果我们有意识的,有计划的做一些措施,至少可以撑到我们更换高防服务器。让专业的服务器做专业的服务。http://blog.sina.com.cn/firelineidc4262286
http://blog.sina.com.cn/s/blog_18b67b9fd0102yi8e.html
租用高防服务器暴露IP咋办?
什么样的网站容易被ip攻击?在我们处理过的ip攻击中,主要消耗的是CPU和内存,通常在带宽被占满前CPU和内存已经爆掉。而对于静态网站,也就是生成HTML页面的网站,静态请求占用的CPU和内存是极低的,所以几乎不太可能出现生成HTML后被CC攻击挂掉的情况。所以,被ip攻击的主要都是动态网站,比如Discuz,Wordpress等。都是什么人在攻击?无聊恶作剧、打击报复、敲诈勒索、同行恶意竞争。
ip攻击基本可以概括为下面几类1.OOB攻击:利用NETBIOS中一个OOB (Out of Band)的漏洞而来进行的,它的原理是通过TCP/IP协议传递一个数据包到计算机某个开放的端口上(一般是137、138和139),当计算机收到这个数据包之后就会瞬间死机或者蓝屏现象,不重新启动计算机就无法继续使用TCP/IP协议来访问网络。
2.DoS攻击:针对Windows 9X所使用的ICMP协议进行的DOS(Denial of Service,拒绝服务)攻击,一般来说,这种攻击是利用对方计算机上所安装协议的漏洞来连续发送大量的数据包,造成对方计算机的死机。
3.WinNuke攻击:从最初的简单选择IP攻击某个端口发展到可以攻击一个IP区间范围的计算机,并且可以进行连续攻击,还能够验证攻击的效果,还可以对检测和选择端口,所以使用它可以造成某一个IP地址区间的计算机全部蓝屏死机。
4.SSPing:它的工作原理是向对方的计算机连续发出大型的ICMP数据包,被攻击的机器此时会试图将这些文件包合并处理,从而造成系统死机。
5.TearDrop攻击:利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击,由于IP分段中含有指示该分段所包含的是原包哪一段的信息,所以一些操作系统下的TCP/IP协议在收到含有重叠偏移的伪造分段时将崩溃。TeadDrop最大的特点是除了能够对Windows 9X/NT进行攻击之外,连Linux也不能幸免。
ip攻击的防御方式①JavaScript方式输出入口
第一次访问的时候,不是直接返回网页内容,而且返回这段JS程序。
作用就是计算出入口变量的值,然后在访问的网址后面加上类似于”?jdfwkey=hj67l9″的字串,组合成新的网址,然后跳转,当防火墙验证了jdfwkey的值(hj67l9)是正确的之后,就放行,一段时间内就不会再出这个判断程序的页面。
(防护方式用的最早并且用的最多的是金盾防火墙。也正是由于用的人太多了,市面上已经有突破金盾防火墙的软件在出售,原理就是通过JS解析引擎计算出jdfwkey的值。)
②301或者302转向方式输出入口
原理和1类似,突破的方式更简单,和1差不多,只不过是直接在HTTP头中,连JS引擎都省了。区别在于把入口直接输出在了HTTP头部信息里,不重复叙述了。还有一些把入口通过其他方式输出的,比如cookie,类似于1和2,原理都是在第一次访问的时候设置一道槛。这个就不单独计算为一条了。
③屏蔽代理
由于一部分的CC攻击是利用代理服务器发起的,所以有些时候防CC会屏蔽掉带x-forward-for这个值的IP,对匿名代理无效。无法硬性突破,也就是说,如果屏蔽了带x-forward-for的IP,那么它就不可能访问到。
④判断速率
由于CC攻击是持续的发起请求,所以发起攻击的IP在单位时间内的请求数量会明显比正常多出很多,通过把请求频率过高的IP屏蔽掉来防御。突破的方式就是限制请求速度,但是这对于攻击者是一个挑战,限制单个攻击源的请求速度,并且保证攻击效果,这就要求攻击者拥有更多倍的攻击源(肉鸡)。
⑤验证码
这个基本是最后的无敌大招了,必须在用户输入验证码后才能访问。目前阶段几乎不可能应用到CC攻击中,未来也不太可能。但是网络上有很多的打码平台,如果和这些平台对接的话,人工识别验证码,就OVER了(应该不会有人去搞,太麻烦)。
对于所有的防护方式,如果是把网站域名解析到了别处,通过其他机器转发请求来防御CC攻击流量的(比如CDN),都可以通过添加HOST值的方式将流量发到真实机器上,使这些防护失效。找查网站真实IP的方法很多很复杂,不能保证100%都能找得到,本文不做叙述。
大多数路由器的内置的欺骗过滤器。过滤器的最基本形式是,不允许任何从外面进入网络的数据包使用单位的内部网络地址作为源地址。从网络内部发出的到本网另一台主机的数据包从不需要流到本网络之外去。因此,如果一个来自外网的数据包,声称来源于本网络内部,就可以非常肯定它是假冒的数据包,应该丢弃。这种类型的过滤叫做入口过滤,他保护单位的网络不成为欺骗攻击的受害者。另一种过滤类型是出口过滤,用于阻止有人使用内网的计算机向其他的站点发起攻击。路由器必须检查向外的数据包,确信源地址是来自本单位局域网的一个地址,如果不是,这说明有人正使用假冒地址向另一个网络发起攻击,这个数据包应该被丢弃。
预防ip攻击的副作用有些IP,我们会要求它一直可以访问到网站内容,比如蜘蛛,比如交易类网站的支付宝异步通知。但是收集这些IP,几乎是无法100%准确的收集到的(可能有人会想到useragent,一句话:攻击者可以伪造),所以我们尽可能选择属于自己的独立IP空间。
一般一分钟内搞定,具体的应该是ECS+SLB+百度cdn,一些防CC攻击手段方法,对搜索引擎并不友好。总结下来就是,几乎所有方式,都会产生或多或少的负作用,所以,任何一种防护方式,在没事的时候不要开,只在被攻击的时候开启。封 http_user_agent 屡试不爽,偶尔有useragent也随机的cc攻击,可以封 http_refferer,总归有共同点,通过tail日志几秒就看得出来,nginx一个简单的if判断return一个503之类,或者apache一个简单的deny配置。
服务器为什么会宕机?
让无数中国玩家为之瞩目的“魔兽世界”,随着一系列内测前期工作的逐步展开,正在一步步地走近中国玩家,但是,“魔兽”的服务器,却着实让我们为它捏了一把汗。搭建网游服务器的选择一直多是一项艰巨而富有挑战的项目。
造成一个网游服务器当机的原因有很多,但主要有以下两种:一,服务器在线人数达到上限,服务器处理效率严重迟缓,造成当机;二,由于外挂或其它游戏作弊 工具导致的非正常数据包的出错,导致游戏服务器逻辑出现混乱,从而造成当机。在这里,我主要想说说后者如何尽可能地避免。
要避免以上 所说到的第二种情况,我们就应该遵循一个基本原则:在网游服务器的设计中,对于具有较强逻辑关系的处理单元,服务器端和客户端应该采用“互不信任原则”, 即:服务器端即使收到了客户端的数据包,也并不是立刻就认为客户端已经达到了某种功能或者状态,客户端到达是否达到了某种功能或者状态,还必须依靠服务器 端上记载的该客户端“以往状态”来判定。
也就是说:服务器端的逻辑执行并不单纯地以“当前”的这一个客户端封包来进行,它还应该广泛参考当前封包的上下文 环境,对执行的逻辑作出更进一步地判定,同时,在单个封包的处理上,服务器端应该广泛考虑当前客户端封包所需要的“前置”封包,如果没有收到该客户端应该 发过来的“前置”封包,则当前的封包应该不进行处理或进行异常处理(如果想要性能高,则可以直接忽略该封包;如果想让服务器稳定,可以进行不同的异常处 理)。
之所以采用“互不信任”原则设计网游服务器,一个很重要的考虑是:防外挂。对于一个网络服务器(不仅仅是游戏服务器,泛指所有 服务器)而言,它所面对的对象既有属于自己系统内的合法的网络客户端,也有不属于自己系统内的非法客户端访问。所以,我们在考虑服务器向外开放的接口时, 就要同时考虑这两种情况:合法客户端访问时的逻辑走向以及非法客户端访问时的逻辑走向。
即:你服务器端不要我客户端发什么你就信什么,你还得进行一系列的逻辑验证,以判定我当 前执行的操作是不是合法的。这样,服务器端可以通过以下逻辑执行验证功能:只有当客户端的用户名和密码通过验证后,该客户端才会进入在线玩家列表 中。而只有在线玩家列表中的成员,才可以在登陆服务器的引导下进入各分组服务器。
当然,安全性和效率总是相互对立的。为了实现我们所说的“互不信任”原则,难免的,就会在游戏逻辑中加入很多的异常检测机制,但异常检测又是比较耗时 的,这就需要我们在效率和安全性方面作个取舍,对于特别重要的逻辑,我们应该全面贯彻“互不信任”原则,一步扣一步,步步为营,不让游戏逻辑出现一点漏 洞。而对于并非十分重要的场合,则完全可以采用“半信任”或者根本“不须信任”的原则进行设计,以尽可能地提高服务器效率。
网游服务器的挑选意见:1、服务器CPU的挑选
网页游戏服务器每天接受至少几百、至多上千万的访问量,对CPU的快速吞吐量、稳定性、长时间运行都有着严格的要求,因而服务器CPU是衡量服务器性能的首要指标。目前市面上对网页游戏服务器CPU已经达到八核16线程,CPU已经不再是网页游戏服务器选型的瓶颈所在。客户需求 :需要高速计算,低配机器无法承载解决方案 :高配物理服务器,用户独享硬件资源
2、磁盘I/O能力
针对于网页游戏逻辑服务器以及GameDB的小数据块对磁盘随机I/O能力有着较高的要求,是游戏架构与设计中需要重点考虑的环节。网页游戏服务器商通常会选择随时读写速率高、故障率低的SATA、SAS硬盘作为服务器的标准配置。值得注意的是:传统高速SAS硬盘在面对大量小图片元素时,磁盘I/O还是吃力,但SSD固态硬盘技术可以有效解决此类问题。壹互联数据香港网游服务器租用都是采用SATA硬盘,读写速度高且稳定。
3、机房带宽以及服务器带宽
网页游戏有着一定的时间性,需要保存足够大的带宽来应对突发传输速率,在游戏玩家访问的高峰期保证玩家的用户的用户体验。在机房带宽直接连接国家骨干网的访问速度国内高防服务器会更快。
4、Ping值,线路稳定
对于游戏玩家来说,服务器对请求的响应和流畅度至关重要。如果延迟过长,就会影响用户体验度。香港机房通过海底光缆直连中国网络,采用CN2作为主要传输路线,并针对中国大陆网络进行全面优化,中国大陆各个地区访问延迟平均在180ms。客户需求 :需要较好的网络,线路不拥堵不掉线解决方案 :11线BGP,智能调优,ping值稳定。
5、接入支持及接入安全
客户需求 :海量节点全覆盖,保证玩家不流失解决方案 :亚太CDN线路优化全球玩家接入;客户需求 :服务端对攻击敏感,保证游戏不停服解决方案 :高防ip+流量迁移清洗保证安全无忧。
总之,在从事网游服务器的选择过程中,要始终不移地 坚持一个信念:我们的服务器,不仅仅有自己的游戏客户端在访问,还有其它很多他人写的游戏客户端在访问,所以,我们应该确保我们的服务器是足够强壮的,任 它风吹雨打也不怕,更不会倒。如果在租用香港网游服务器中,没有很好地领会这一点,那么,你的网游服务器将是无比脆弱的。
