Anti-DDoS >


L'anti-DDoS GAME




La genèse de cette protection avancée :



Le secteur du Game / des e-sports est particulièrement touché par les attaques par déni de service, et les protections mises en œuvre par les hébergeurs montrent souvent leur limite face à l’intensité et à la fréquence de ces attaques, en particulier celles qui exploitent le mode non connecté du protocole UDP… qui est le protocole réseau utilisé par la plupart des jeux et serveurs vocaux.

C’est pourquoi il était nécessaire de développer une protection anti-DDoS spécifiquement adaptée aux serveurs de jeux.



Listes des jeux et des applications compatibles

Half-life, Team Fortress Classic, Counter-Strike 1.6, Counter-Strike: Source, Half-life Deathmatch Classic, Half-life 2, Half-life 2: Deathmatch, Day of Defeat, Day of Defeat : Source, Left 4 Dead, Left 4 Dead 2, Team Fortress 2, Counter-Strike : Global Offensive, Garry's Mod, Grand Theft Auto, San Andreas Multiplayer SA:MP, Multi Theft Auto San Andreas MTA:SA, TrackMania (+ protocole TCP), TrackMania 2 (+ protocole TCP), ShootMania Storm (+ protocole TCP), Minecraft pocket edition, Minecraft ARK : Survival Evolved, RUST, Teamspeak, Mumble.



Une protection anti-DDoS personnalisée en fonction du type de jeu installé !


Pour apporter la meilleure protection possible contre les attaques, les ingénieurs d’OVH ont analysé le fonctionnement des plateformes de jeu les plus populaires (Counter Strike, TeamFortress, Minecraft…) et des modules de communication tels que Teamspeak ou Mumble. Ils ont étudié, en laboratoire mais aussi grâce à de véritables tests d’utilisateurs, les failles de ces applications et répertorié les différentes stratégies d’attaque. Ce travail de reverse engineering leur a permis d’apporter une réponse adaptée à chaque grande famille de jeu, pour lesquelles ils ont développé un « profil », soit un ensemble de règles prédéfinies que l’utilisateur déploie en 1 clic pour filtrer avec le plus d’exactitude possible le trafic illégitime entrant et sortant sur les ports UDP.



La mitigation bidirectionnelle : un filtre en entrée et en sortie


Pour chaque type d’attaque identifiée, nous avons bâti une réponse spécifique intégrée au plus proche des serveurs, et directement intégrée au sein des équipements Tilera. La grande innovation est un filtre qui analyse le trafic entrant ainsi que le sortant afin de mieux identifier les requêtes légitimes. Il est capable de distinguer les vrais clients se connectant sur la machine, des attaques nuisibles. L’anti DDoS Game joue ainsi un rôle de cache et de filtre des paquets TCP/IP et UDP.



Détails de l’infrastructure anti DDoS Game




La mitigation Game


Un routeur situé au plus près de la machine analyse les paquets. Un traitement spécifique à chaque jeu hébergé est appliqué. Par exemple, le routeur fait office de cache pour alléger la machine des requêtes inutiles.