鵝鴨殺游戲停服DDoS攻擊事件觀測
1. 概況
2023.1.10 日上午,鵝鴨殺官方于Steam論壇上發布了公告,公開其服務器自2022年12月14日以來被斷斷續續的 DDoS 攻擊,DDoS攻擊在今年一月份開始變得更加強大,從最開始影響服務器語音和流暢度直到導致了本次服務器的癱瘓。
奇安信威脅情報中心僵尸網絡威脅監測系統顯示,鵝鴨殺服務器資產 172.65.210.216 在2023年1月5日的確被 Mirai 家族的僵尸網絡 C&C 下發了攻擊指令,除此之外監控數據還顯示鵝鴨殺服務器在2022年11月份也曾被Mirai家族下發過攻擊指令。
2. 攻擊詳情
根據我們的監測,攻擊指令在北京時間 2023-01-05 07:15:25 左右下發,這一波攻擊中 Mirai 僵尸網絡的 C&C 共下發 15 條攻擊指令,總攻擊時長為 450s。
有趣的是,本次下發攻擊指令的C&C 地址與前幾天攻擊 Navicat 中文官網的相同,都為 "xin.badplayer.net:59666",所以我們可以確定的是這兩次的DDoS始作俑者都使用了同一個第三方 DDoS 攻擊租賃平臺。
攻擊者本次DDoS攻擊中使用了多種攻擊方式,分別包含了udp_flood、tcp stomp、syn_flood、tcp_ack_flood、udp_plain_flood,以此來提高攻擊成功率。
而在2022年11月份針對鵝鴨殺的DDoS攻擊事件中,攻擊指令在北京時間 2022-11-13 02:50:30 左右下發,攻擊者所針對的資產不同與本次不同,目標服務器為 172.65.248.161 。下發指令的 Mirai 僵尸網絡的 C&C 地址為 "78.135.85.160:9506",在這一次的攻擊中攻擊者僅使用了單一的UDP flood攻擊。
按照上述分析,同時根據我們對這兩個 C&C 域名的長期監控數據,本次2023年1月份針對鵝鴨殺的DDoS攻擊與去年監控到針對鵝鴨殺的DDoS攻擊并未使用相同的第三方 DDoS 攻擊租賃平臺,同時由攻擊時間及受害資產推測,很可能不是同一發起者,結合攻擊手法和最后結果也可以知道到本次的攻擊更具破壞性。
3. 業務影響
由于本次的DDoS攻擊事件,鵝鴨殺官方將服務器暫停維護3天,對于游戲服務器來說三天的維護時間對其玩家量的沖擊是巨大的,通過對鵝鴨殺的游戲在線熱度查詢可以發現,鵝鴨殺的熱度一直持上升趨勢,而最近幾次的游戲熱度下降幾乎都與DDoS攻擊導致的服務器卡頓有關:
在對本次事件的分析中,還有另一款游戲引起了我的注意,這款游戲名為 Among Us ,中文名《太空狼人殺》,與鵝鴨殺有著相同玩法的這款游戲于2018年6月15日發布,在2020年9月擁有6000萬位活躍玩家,該游戲在運營過程中后同樣遭受了DDoS攻擊導致服務器關閉(奇安信威脅情報中心僵尸網絡威脅監測系統已監測,攻擊者為 Moobot 家族僵尸網絡):
而 Among Us 的多次攻擊事件導致的服務器卡頓甚至關閉也將其部分玩家引流到了 Goose Goose Duck ,也就是現在的鵝鴨殺:
