“中国出了一款登顶全球的游戏，有人这么不开心吗？”

【文/观察者网吕栋编辑/张广凯】

“近年来极为罕见，攻击指令一夜暴涨2万多倍”、“发出攻击指令的服务器，有8个在美国，3个在英国，剩下分布在全球多个国家”、“中国出了一款登顶全球的游戏，有人这么不开心吗？”.....

近日，首款国产3A游戏大作《黑神话：悟空》上线引发全球关注，全平台最高同时在线人数达300万。但8月24日晚，Steam平台遭到大规模DDoS网络攻击，突然崩溃，全球多国玩家纷纷反馈无法登录游戏，也让《黑神话：悟空》实时在线人数骤降到百万以下。

对一款游戏来说，如果持续遭到网络攻击一天，玩家数量将流失80%。这对游戏而言，显然是致命的。而根据奇安信XLab实验室公布的数据，有近60个僵尸网络主控发起了此次攻击，攻击指令一夜暴涨2万多倍。除了Steam自身的服务器外，国内完美世界代理的Steam服务器也被列为了攻击目标，一共13个国家和地区的107个Steam服务器IP遭到袭击。

这次网络攻击的幕后主使是谁、有何目的、如何防范？一些网络安全行业专家向我们讲述了细节。

“这次攻击明显很有针对性，前后一共发动了4次攻击。周六（8月24日）中午发动过一次，晚上从6点攻击到晚上11点，周日早上又开始打，这时恰好是北美地区的晚上，第四次是8月26日凌晨4点，正好是欧洲的晚上。攻击者似乎有意选择在各个时区的游戏玩家在线高峰时段发起攻击，以实现最大的破坏效果。”奇安信Xlab安全专家对观察者网说道。

从攻击的时间选择、地域分布，以及同时针对国内外Steam服务器的策略来看，攻击者的目的显然是在重点扰乱中国市场的同时，在全球范围内对Steam平台的正常运营造成全面干扰。这种有组织的攻击行为，反映出攻击者在策略上的计划性和对目标的明确针对性。

“整体上看，这个事件有明显的政治、意识形态和地缘利益背景，有可能是某个行为体，或多个行为体。出于上述原因，使用所掌握的或临时租用大规模僵尸网络进行DDoS攻击，干扰游戏运行。”安天科技集团联合创始人、技术委员会副主任李柏松向观察者网分析称。

在这次网络攻击中，僵尸网络、DDoS攻击等专业名词频繁出现，它们又有什么含义？

DDoS攻击的全称是分布式拒绝服务攻击，是一种常见的网络攻击手段。简单来说，就是攻击者通过软件或系统漏洞控制大量计算机（行业称“肉鸡”，bot），并安装恶意软件。随后通过指令控制它们向目标服务器发送大量垃圾请求，占满服务器或带宽资源，让对方无法提供服务。

“DDoS攻击大多数是依靠大规模僵尸网络节点发起的，而僵尸网络则是通过长期的自动化入侵、扩散形成的。全球有不同黑产组织控制的众多大小规模的僵尸网络体系，从小规模的几十、几百个节点的，大到几十万、百万规模节点的都有。这些僵尸网络成为了一个攻击基础设施，可以被攻击者进行租用。”李柏松表示。

根据奇安信报告，此次对Steam平台的攻击中有多个僵尸网络参与，其中的的主力是自称AISURU僵尸网络，在其telegram频道中声称拥有超过30000个bot节点，攻击能力在1.3-2T左右。

而DDoS攻击常见的目的有几个。首要是要让目标服务器瘫痪，给被攻击的目标造成一定经济损失；第二是为了制造混乱，干扰游戏玩家或者企业的正常运营，可能竞争对手之间使用的比较多；第三有可能被用来掩护更高级的攻击；第四可能被用来表达政治动机或者抗议。

“此次攻击事件一共观察到28万条针对Steam平台的攻击指令，”奇安信Xlab安全专家坦言，“Steam全球各地区机房服务器被轮着打，包括国内完美世界代理的Steam服务器也一并被扒出来攻击，《黑神话：悟空》上线之前，我们从未发现完美世界Steam服务器遭遇过DDoS攻击。且攻击时长多达几个小时，专挑各地区玩家在线高峰期攻击，这是极其少见的。”

“广大游戏玩家在线的高峰时期，Steam平台遭遇如此大规模的DDoS攻击，很难让人不联想此次攻击事件不是针对国产3A游戏大作《黑神话：悟空》。我们团队在大规模僵尸网络发现&跟踪领域已经专注超过10年，但此次攻击的组织度，烈度依然让我们觉得很惊奇。中国出了一款登顶全球的游戏，有人这么不开心吗？”这位安全专家对观察者网直言。

既然是恶意攻击，那能否揪出幕后真凶？目前来看比较困难。从DDoS攻击流程来看，是由实际攻击者或者僵尸网络的运营者，操纵主控端向被控端（肉鸡）发出攻击指令，再由被控端执行攻击。但安全公司的现有技术手段，只能定位主控端服务器的位置，无法揪出真凶。

“主控端服务器有8个在美国，3个在英国，剩下的分布在韩国、俄罗斯、新加坡、日本、印度尼西亚、荷兰、瑞士等全球多地，IP有多个。但就算看出服务器在哪个国家，也并没有用，因为中国人也可以将服务器放到美国，背后的攻击者是谁很难定位。”前述安全专家称。

李柏松也认为，僵尸网络运行有不同的控制方式，有的采取多级中心控制方式，也有的采取P2P的控制方式，准确定位背后的攻击肇事者，是有很大难度的。

“大规模DDoS攻击中，发包机（主控端服务器）的物理位置意义不大。而且，僵尸网络的运营者和实际攻击者较大可能不是一伙人，双方可能通过网络连接，通过虚拟货币结算，彼此不知道谁是谁，租用价格成本也比较低廉。此外，对攻击的捕获、阻断、环节、处置、统计等主要依靠Steam的安全运营，其他第三方难以获得有效数据。”他说道。

但李柏松也补充称，安全企业和团队依然可以通过在已经监测、关注的僵尸网络体系中，寻找攻击痕迹和线索，包括应急部门可以锁定部分分布在境内的受控僵尸主机展开联合分析工作。

找出幕后主使比较困难，那游戏平台或企业有办法防御DDoS攻击吗？

前述奇安信Xlab安全专家对观察者网分析称，企业可以在网络容量方面做周密规划，以防止这种大规模攻击；其次像游戏产业，需要深入了解正常用户的流量是多少，异常流量是多大，当网络攻击发生的时候，及时把不正常的流量给清出去；第三是部署内容分发网络（CND），可以一定程度上抵御DDoS攻击；同时也可以跟运营商合作，在网络层面进行流量过滤或限制，及时清除恶意流量。

耐人寻味的是，这次直指《黑神话：悟空》的大规模网络攻击，外媒却鲜有报道。在李柏松看来，安全产业主体和组织的关注度已经高度阵营化，西方安全企业也就不会去关注分析这次事件了。

事实上，遭受DDoS攻击在游戏行业中也是极其普遍的现象。网络安全公司Gcore发布的数据显示，2024年上半年，全球DDoS攻击事件显著增加，数量达到44.5万起，同比增加46%，环比增加34%。游戏和博彩业仍然是攻击的重灾区，占上半年事件总数的49%，在线游戏的高风险和竞争性使其特别容易受到此类破坏。