3月9日讯 LCK春季赛直播自上月底已多次因DDOS攻击而中断,目前在以录播的方式替代,近日韩媒DIGITAL DAILY发布‘英雄联盟DDoS攻击背后的‘瑞士军刀’,你是谁?’一文,原文大意如下。自去年12月以来,游戏行业一直在为一场由匿名团体发起的DDoS(分布式拒绝服务)攻击而苦恼,特别是主要目标英雄联盟(LoL)遭受了严重的损害。相关的韩国电子竞技大赛(LCK)主办方Riot Games采取了多种措施,但事件发生后近两周仍难以恢复正常。
潜伏在Discord中的“瑞士军刀”频道截至9日,DIGITAL DAILY的报道综合显示,针对大V和LCK的这次DDoS攻击背后,很有可能是“瑞士军刀(SwissKnife)”所为。他们通过游戏语音聊天频道“Discord”向限定人员销售多种非法程序。目前该频道在秘密运营,需要通过复杂的身份验证和收入查询等认证程序才能加入频道,新注册用户的认证过程更加严格。销售方式也非常精密,他们不是提供程序,而是根据需求代为发起攻击,这是为了降低被发现的风险并防止程序漏洞泄露。从频道内部确认,可以发现不少用户购买非法程序后正在使用。“库存售罄很遗憾”、“在LoL大号上使用也不会被封号”等程序使用后的评论也可以看到相关内容,甚至还存在黄牛。瑞士军刀目前销售着英雄联盟的代表非法程序外挂以及“永恒轮回”、“守望先锋”等多种在线游戏相关程序。价格从最低10美元(约合韩币13000元)到800美元(约合韩币105万4000元)不等。
其中针对大V和LCK的DDoS攻击使用的程序是“瑞士军刀联盟拉取器(SwissKnifeLeaguePuller)”。瑞士军刀方面将该程序描述为“可以获取英雄联盟玩家IP的特殊工具”。通过IP地址生成异常流量,引发网络故障的DDoS攻击与之密切相关。联盟拉取器一度因为热销被黄牛以高达200万韩元的价格交易。但随着LCK的暂停,瑞士军刀近期突然停止了联盟拉取器的销售。管理员公告显示,该程序将根据Riot安全系统“Vanguard”的引入与疑似外拐的“LeagueByPass”整合销售。管理员表示:“联盟拉取器将不再作为Discord机器人运行。”“它将与LeagueByPass整合,以新的方式获取游戏中玩家的IP地址。”
IP泄露发生在哪里?韩国服务器客户端存在问题?一些人认为,不分目标地攻击大V和比赛场地,能够窃取IP的背后原因是韩国英雄联盟服务器客户端的安全问题。一个遭受DDoS攻击的主播使用了中国服务器后,被攻击的情况消失,这是一个典型的证据。然而,一位要求匿名的安全专家表示,仅凭有限的案例就断定中国的服务器客户端安全是困难的。他说:
“不能因为中国没有受到攻击就认为其安全性很强。虽然不知道韩国服务器的IP泄露路径,但这只是因为攻击工具尚未针对中国制作,中国随时都可能成为目标。”实际上,瑞士军刀方面在介绍英雄联盟拉取器程序时明确表示,“目前仅支持KR(韩国)服务器,但很快会添加全球服务器。”有人还提出了“源代码”或“签名代码”导致泄露的可能性,但多种情况下,这种可能性也被证实较低。一位熟悉Riot内部情况的人士透露:“去年源代码被泄露,但据我所知,并未泄露影响韩国地区服务的源代码。签名代码在韩国和日本确实被激活,但根据几项内部测试,Riot认为这种可能性较低。”多位安全专家“应该建立内部网络”… Riot“正在考虑多种方案”多位安全专家认为,如果投入人力和财力单独建立内部网络,至少针对LCK的DDoS攻击可以在短时间内得到解决。尽管存在阻止相关流量的方法或增加带宽等方法,但考虑到便利性和所需时间等多种因素,这些方法会遇到困难。即将引入的“Vanguard”也是英雄联盟的反作弊工具,但与DDoS的防御相距甚远。一位专家在指出Riot没有单独建立内部网络的行为时也表示,
“其他国家使用内部网络不仅仅是出于安全考虑,还因为当地的互联网基础设施不足。”“韩国的基础设施相当好,所以许多公司将数据中心设在外部。”另一方面,Riot正在采取各种方法努力解决问题。最初事件发生时,由于面临各种随机攻击模式的挑战,但逐渐找到了一些线索,其中包括将比赛服务器放在LoL Park内部网络中的方案。就此,Riot的一位代表表示:“我们已经以多种方式进行了调查。”“包括将比赛服务器放在LoL Park内部网络中的方案在内,我们正在检查各种应对措施的稳定性。”
相关阅读:安全目标随时中国攻击