游戏框架推荐（游戏出海案例沉浸体验爆款游戏）

游戏行业高速发展，网络安全风险加剧。全球红利下，地下黑色产业链迅速扩张。DDoS 攻击这一游戏行业的头号敌人外，应用层的攻击种类、方式也日渐复杂，直追 DDoS 威胁程度。

如撞库攻击、账户接管、API login、爬虫等攻击，成本低廉、效果明显，正是黑色产业期望的攻击模式。基于行业风险，本篇案例分享中，我们将介绍 Akamai 如何利用 WAP BMP SDK 一体化服务，化解安全隐患，尤其是手游的应用层攻击问题。

应用层危机！攻击类别难辨！

案例主角是某知名游戏公司。该公司跨足游戏及新媒体产业，有着近10年的游戏行业经验。旗下代理的爆款游戏产品，先后荣膺头部游戏平台优选推荐，在玩家群体中享有盛誉。

正当该公司的业务蒸蒸日上时，网络攻击随之而来。临近游戏发布前期，登录响应慢，甚至久登不上、掉线等情况时有发生。出于技术限制，运维团队只能通过网络层的抓包进行分析，发现了异常的 API login 请求，但很难分辨出非法请求、攻击类型，并及时阻断。

基于此前的运维困境，该公司曾寻求过多家安全厂家协助防护，但效果甚微。Akamai 得知情况后，经专业技术分析，排除了 DDoS 攻击，认为需要从应用层安全出发，来分析是否为利用机器爬虫的进行的 API login 攻击，或撞库攻击。紧接着，我们为客户紧急上线了 WAP (Web应用安全类产品) 和 BMP (Bot管理产品)，来实时洞见全链路攻击威胁，并及时阻截。

游戏应用层攻击全解析

谈及游戏应用层攻击，Bot 攻击和 API 滥用可谓是一对孪生兄弟。Bot 作为一种自动化的恶意软件，可经过互联网对目标站点远程攻击；而起到资源互联器作用、且已被捕获和监控的API，亦可助推黑客自动化批量获取数据，由于很少携带人类行为痕迹，隐蔽性极高。

这对孪生兄弟联手“使坏”，衍生出了通过 Web API login 凭证滥用对游戏网站登录服务器进行攻击的方式。这也正是该公司所面临的攻击威胁。通常，攻击者会去分析游戏客户端和 API 端点服务器间的流量和数据，从而获取 API 传递的数据内容的字段和数值，以备下一步攻击。攻击可以通过直接构造报文的方法，进行重放攻击，或修改部分数值进行欺诈。

在游戏业务中，普遍常见的 API 端点，即用于注册登录、验证等操作的 login 服务器。而攻击者往往通过进行游戏 ID 伪造，恶意注册大量小号、测试账号发起恶意活动，或撞库攻击，以实现账户接管。此外，黑客利用模拟器工具、Bot 脚本，还可以发动自动化程度更高的攻击。例如，NoxPlayer, BlueStacks 等安卓模拟器可在电脑端进行游戏操作，也为恶意程序和脚本提供了一条“捷径”。

防护策略三步走

● WAP BMP，守护浏览器登录

针对支持浏览器模式或基于 iOS 或安卓内核浏览器 Webview 访问请求，Akamai WAP & BMP 解决方案可进行有效防护。鉴于 Bot 攻击体量小，API 请求类型合法化，普通 WAF 模式难于防护，用 BMP 爬虫行为检测功能可以轻松识别。

浏览器登录模式防护

该公司此前使用过多家安全公司产品，防护效果欠佳。相比之下，Akamai WAP & BMP 配合使用，可实现高度自动的浏览器登录模式防护机制。防护原理表现为，通过 Akamai 智能边缘平台插码实现，客户端执行 JS 代码收集行为数据，并打分反馈给 BMP 平台，随后利用 AI 算法智能评估，甄别潜藏的异常请求。监测指标包含有 IP 地址分布，爬取速度、内容、时段等。锁定攻击后，Akamai 将及时阻断。

● BMP SDK，延伸防护至原生APP

为防范恶意模拟工具滥用，进一步防护移动端原生 APP (非浏览器架构)类型，该游戏公司解决自身原始安全问题后，继而采用了 Akamai 加持手机端安全的 SDK 功能，布局更立体的安全防护屏障。

原生 APP 防护

具体防护中，我们将爬虫检测传感器植入 APP 来实时收集手机端用户行为，判别爬虫攻击与正常用户访问。至此，基于对恶意攻击的行为检测，Akamai 帮助该建立了一整套从 PC 端到浏览器端，再到手机端的全方位防护体系。

● 关注威胁动态，升级防护体系

当下，针对爬虫、API安全的攻击方式持续演进。爬虫攻击从撞库和恶意登录，发展至恶意注册大量小账号、测试账号攫取利益（如薅羊毛、刷排名等），以及账户接管盗取用户信息等；而 API 攻击，更是从对登录服务器攻击，发展到操纵数值，攻击服务器，严重破坏游戏的公平性。

应对复杂难控的攻击威胁，我们持续升级 BMP 策略以及 Bot 检测和防护算法；而针对账户接管攻击，Akamai 可使用 Account Protector 技术服务，识别欺诈行为，避免信任受损。而在 Web 应用整体的防护体系中，我们将遵从 WAAP 防护体系架构，从 Web 应用 API、Bot 和 DDoS 层面有针对性地防护。

小贴士：Akamai 安全参考框架建议

守护玩家体验 布局多层防护

1 基于最佳实践，梳理服务器类别，如登录服务器、游戏服务器、统计服务器、交易服务器等；

2 查探数据流和协议，梳理游戏流程、相关协议，定位威胁来源和脆弱点。如隐藏 API 访问玩家多重资源，或反向 DNS 解析游戏服务器地址段等；

3 利用可视化工具，洞见异常流量，利用 BMP 及时预见潜在爬虫等威胁

4 使用 Akamai 多层安全解决方案，为不同游戏模块提供专项安全防护。

共构安全、公平的美好游戏环境，全方位守护全球玩家体验。Akamai 将充分发挥 WAP BMP SDK 的一体化防护服务优势，携手游戏行业客户与合作伙伴，体系化加固安全防护，让玩家尽享沉浸、美好的游戏体验。