刘波的一夜:被网络攻击的中小开发者们

静寂的夜晚。

实习编辑冯昕旸2021年08月23日 15时31分

晚上9点

刘波(化名)已经第无数次犹豫该不该给钱了。

勒索邮件就在他面前的屏幕上,看着很客气。邮件是这么写的:“您好,我们是ACCN,正对游戏伺服器进行攻击。请确认反馈给你们负责人,解除流量攻击请联系我们。”之后是对方留下的QQ号。

黑客一般选择使用QQ联系游戏开发者。图为游戏《通感纪元》的开发者收到的ACCN的好友申请,《通感纪元》也曾被黑客攻击

要的钱不多,2万块。邮件里写,只要交了钱,他们就会“停止对贵公司旗下所有产品的攻击,包括以后发行的产品也在内”。刘波知道,这就是对方开出的价码,花钱换游戏一辈子安全。支付方式还挺全面,“支持支付宝、微信支付,也可以刷信用卡”。

但刘波根本不信。他觉得这就像个笑话。要把希望寄托在一个勒索者身上吗?别扯淡了。先攻击游戏,然后找你要钱,告诉你只要给钱就收手,以后绝对不会再来——刘波知道,这种招数在人类历史上曾不断发生。土匪抢走了大户人家的家眷,然后留下字条,索要赎金。交了赎金的,第二天被抢走的人就会被礼送回来;不交的,大概是先送一个手指?然后是一支胳膊?真可恨,现在他的游戏变成了人质。那些民间故事是怎么说的来着?故事里好像总是写一些守信用的强盗,放他×的屁,你指望强盗守信用?刘波已经想不起那些故事的具体细节了。而且细节并不重要,他没时间了。现在游戏登录服务器仍然瘫痪,花了大价钱吸引来的玩家没法进游戏,论坛里骂声一片。

这已经是第三波攻击了。第一波是上午10点,游戏刚开服,攻击就来了。最初是DDoS攻击,几十个GB的流量打过来,服务器就趴下了。什么叫DDoS攻击?简单地说,就是控制大量的计算机向游戏服务器提交数据,过量流量涌入,服务器就瘫痪了。就好比你开了家餐馆,一共10张桌子,能坐40个人,黑客直接摇了200个大汉到你店里进进出出,那这生意是不是就黄了?

到底交不交钱呢?刘波曾经好多次动过这个念头。有很多次,他对自己说,答应了吧,万一真的像他们说的那样守信用呢……万一呢?团队已经工作了12小时,云服务商的技术专家也在交流群里,但看起来一点儿用都没有……玩家在不断流失,没人能进得来。这个游戏算是完了,刘波想。在开服的时候遇到这种事儿,这个游戏算是完蛋了。他想过自己的游戏遭遇过各种问题,功能设计不成功、题材不吸量、玩家不买账、拿不到版号……这些问题他都趟过来了。20个兄弟干了十几个月,没想到最后在这儿被人掐了脖子。

人还是进不来,负责论坛的小王一开始还给玩家解释,现在也蔫儿了。同样的话说了几百遍,自己也觉得有心无力了吧?刘波想要让小王继续说,在论坛上说,在TapTap上说,在微博上说,在玩家群里说,都解释,但是他也知道没什么用。况且小王还等着自己做决定呢。是给钱吗?还是不给?

不给钱的话,就在论坛上发个声明。《弈剑行》就是这么干的,《弈剑行》也遇到了这样的事儿,制作人没给钱,在TapTap上发了个公告,刘波记得公告是这么写的:“我们于2021年8月6日开服,遭到了来自黑客的攻击,战斗服务器由于无法使用高防,目前已瘫痪。宁为玉碎,不为瓦全!”

《弈剑行》的停服公告一石激起千层浪

要么也写一个公告算了?不给钱,绝对不能给钱,给了钱就相当于服软了,服软了之后别人就能放过你吗?不可能。不给钱,直接鱼死网破。但是鱼死网破的结果就好到哪儿去了吗?

刘波认识《弈剑行》的制作人宋九辩。《弈剑行》上线之前,TapTap预约量接近30万,开发组还没高兴半天,游戏刚开服,攻击就跟着来了。最开始是登录服务器,也是DDoS攻击,TapTap那边成立了对接组,为登录服务器升级了高级防御服务。这算是第一波。结果第二天凌晨3点半,黑客对游戏的对战服务器进行攻击,对战服务器直接瘫痪。这时候,勒索邮件才送到。

跟自己一样,刘波想。《弈剑行》的遭遇和他的游戏差不多。这帮黑客专挑游戏刚上线的时候下手,他们知道游戏就是这个时候最关键,开发者也就在这个时候最紧张,也最有可能答应他们的条件。怎么能相信他们?他们没法攻破那些大公司和大游戏,就专找这种小开发组下手。

《弈剑行》最后没给钱。《弈剑行》的对战服务器没法接入高级防御系统,没任何办法。游戏上线不到一天之后宣布了停服。自己的游戏要不要停服呢?刘波从来没料到,自己的游戏会走到这一步。

凌晨1点

刘波从来没觉得头顶的灯光这么刺眼,惨白惨白的。外面全黑了,空调开着,但是他还是一身汗。要么还是给钱吧。刘波想,就2万块钱,换成比特币直接打过去,至少今天能挺过去,明天的事情明天再说。万一呢?万一给了钱就能换平安呢?

黑客勒索了这么多开发组,其中肯定有给钱的。刘波非常肯定这一点。圈子里都流传有两三家开发商给了钱,但给了钱的人肯定是不敢说的,一旦说了,来自行业内的压力就会让他们吃不了兜着走。

微信群还在闪,“黑客应对小组”的群名后面的消息数在不断增加,云服务的技术专家正在和自己的技术商量对抗细节。几十分钟前,他们说黑客的手段又升级了,要是在上午,刚被攻击的时候,刘波还会大吃一惊,会仔细问问到底怎么了,但现在刘波甚至懒得知道细节。他不着急了,着急没用,着急只会把自己急死。

要么给钱算了!刘波想让自己下决心,给钱就行了,至少今天可以过去,至少玩家可以进游戏——虽然现在已经没有多少玩家还在进游戏了。现在他们可能已经去玩别的游戏了吧?刘波恨恨地想。

玩家管什么呢?玩家什么都不管,玩家看了宣传来玩游戏,进不去就删游戏骂街,你能跟他们说什么呢?承诺给礼物?承诺返还充值?承诺每个人都送福利?算了吧,哪些游戏没有福利?走了就是走了,走了的玩家就不会回来,这笔推广费用是打了水漂了。一个游戏的生命周期里最重要的就是今天,今天完了。

该怪自己没有一开始买高级防御服务吗?刘波不知道。他不是不知道“高级防御服务”,当时选服务器的时候,服务器提供商就给他一个列表,上面有一长串儿“增值服务”。当然,服务器提供商都会赠送“初级防护服务”,但那玩意儿能有什么用呢?当时刘波就这么觉得,现在他更清楚那些初级服务没用了。

但买高级服务也不是个简单的事儿,服务商开的价码是5万,5万块钱,虽然不是拿不出来,但也真的肉疼。更何况谁能保证攻击一定会发生?如果攻击没发生,这笔钱是不是就打了水漂了?刘波知道自己这么想不对,不能把游戏寄托在概率上,但是他的团队也真的没钱了。刘波自己2年没拿钱,主美、主策就拿1万块钱一个月,这就是生活成本价,他们随便去哪个公司,随随便便年薪就得三四十万。大家谁都没走,就是等着游戏成功上线——5万块,5万块很少吗?而且最逗的是,现在勒索者只要2万块,怎么感觉跟服务商抢生意似的?这招是谁教他们的?

高防服务每月可能至少要花费2万元人民币(价格来自阿里云)

这钱不能给。刘波掐灭了刚点燃的一支烟,好像下定了决心,钱是次要的,这口气他忍不下去。小开发者够苦的了,游戏开发的路上九死一生,业界一打喷嚏,小开发团队就死掉一批,现在怎么连这种玩意儿都来打自己一巴掌了?更何况给了就能保证没事儿吗?万一十几个这种黑客团队排着队到这儿薅羊毛呢?

但不给钱,自己怎么办呢?刘波很清楚地知道自己现在就是在拖。团队已经连续干了差不多20个小时了,就这么抗下去?直到对方知难而退?这事儿知行合一工作室的《迷雾之夏》遇到过,但刘波不觉得自己能有这种好运气。

那是去年9月25号的事儿,9月25号,《迷雾之夏》手机版正式上线,到了30号,公司部分员工已经提前请假回家过国庆去了,结果上午10点攻击就来了。仍然是DDoS攻击,据说攻击峰值大概是50GB,仍然是大量玩家没法进游戏。

但这帮黑客最后自己犯傻了。刘波听说,勒索者找到了游戏的玩家QQ群,然后把担任群管理员的玩家当成了游戏制作组成员,估计是直接和管理员提出了价码。结果玩家才不惯着,直接把来勒索的人痛骂一顿,然后直接踢了。踢了还不算,玩家还找到开发组,要求他们“抗争到底,不要妥协,绝不给黑客一分钱”。大家莫名其妙就同仇敌忾起来,之前骂游戏的也不骂了,打差评的直接修改评价。开发组也就真没妥协,升级高级防御,然后跟攻击者攻防了一天多,最后算是防住了,攻击者撤退,游戏正常运行。

ACCN的黑客被《迷雾之夏》的玩家调戏了一番

《迷雾之夏》算是运气好的,虽然仍然遭受了损失——在被推荐的时候直接无法登录,这几乎是一个游戏能遇到的最倒霉的事儿,但结果算是不幸中的万幸。自己能有这么好的运气吗?刘波说不准。他已经够倒霉的了,怎么还能奢望类似“玩家理解自己”这种好事儿发生?不太可能的。他看过TapTap上面的帖子,希望黑客多攻击游戏,好逼着开发者多发点补偿的大有人在。刘波都不知道,自己到时候要发多少补偿才能让大家伙满意?

现在损失已经有了,唯一的问题就是损失大还是损失小。损失小还行,损失大的话怎么办呢?汉家松鼠的游戏《汉家江湖》,就因为网络攻击至少损失了几十万——去年2月受到攻击时,游戏都已经上线3年了。当时受到第一次攻击之后,《汉家江湖》立刻换了登录IP,结果还是被识破了,攻击照旧。

《汉家江湖》遭受攻击时的公告尚且还能自我调侃一番

现在,刘波不知道损失到底能有多大——如果自己的游戏也损失几十万,刘波不敢想,自己能不能承受得了。

凌晨3点

真够倒霉的,刘波想。这事儿他之前就听说过,但是也没想过会落到自己头上,随便怎么说吧,他自嘲地笑了一下,说自己短视也好,太想碰运气也好,不是真正遇到了,谁又忍心掏这笔钱呢?

而且这钱本来也不该掏啊。刘波觉得有点火大,他把自己的事儿在一个群里说了,那个群里的人有不少都是做游戏的,有些人说他就应该直接交钱,要么就提前升级高级防御。奇了怪了,刘波想,这怪我吗?怎么受害者有害论轮到自己头上了?我走在大街上被人捅了,还要怪我没穿防弹衣吗?这是在伊拉克吗?

刘波知道自己绝对不是个例,在那些拿到推荐的、受关注的中小游戏开发团队的游戏里,把受过勒索的分一拨,没受过的分一拨,还说不准哪拨人更多呢。就刘波知道的,至少有超过20家制作组被这么搞过,实际上遇到的只会更多。

大部分人没付钱,付钱的刘波就知道2个,但也只是听说,没有人承认自己交了钱。至于勒索者是谁,刘波听说,当前最活跃的就是这次找到他们的这伙人。他们自称“ACCN”,平时保持沉默,直到攻击让对方彻底瘫痪、没有还手之力的时候,才会有一封署名为“ACCN”的邮件或QQ信息发到开发者的面前。没人知道他们在哪儿,之前数次攻击流量来源都在中国台湾,所以有人猜测ACCN是来自中国台湾的组织。

还挺像回事儿。刘波想。谁知道他们是不是中国台湾的组织?或许是吧,大家都这么说。不过他知道这么干的组织不止一个,而且说实在的,DDoS攻击没有什么技术难度,现在攻击都分工化了,有卖“肉鸡”的,有卖工具的,只要你敢干,哪怕只有初中学历,自己啃上几天相关的文章,也能搞起几次攻击。

可是这到底算怎么回事儿呢?刘波觉得有点荒诞。他们做游戏,要时刻注意游戏里不能出现违背精神文明的内容,要有防沉迷,要有未成年人忠告,如果有家长投诉,说自己孩子拿自己手机充了钱,二话不说就要退款。但是自己游戏上线的时候被勒索了,明目张胆,光天化日。全天下没有一个人能帮自己,这算怎么回事儿呢?

他不是没想过报案,他得报案,但他也知道,报案也就是备案而已,警察的确也没办法,刘波也知道,源头被隐藏在几个跳来跳去的IP后面,可能还是境外服务器,的确很难办——但就没办法了?怎么别人都能没办法?做游戏的就必须得有办法啊?

刘波又点起一支烟。

要么躺平算了,不给钱,也不挣扎了,爱怎么着怎么着吧。刘波想,黑客发现自己不给钱,说不定就去找下一个目标了,毕竟买“肉鸡”也需要钱啊。这么干的人也不是没有,Veewo Games的《超级幻影猫2》就是这么干的。今年3月,又是ACCN,在QQ上联系开发组,说要攻击服务器,给钱就不攻击。制作组说要报警,攻击者说你随便报,我们经常干,报警也没用。

他们报警了,但是攻击还是发生了。这次攻击的是付费验证服务器,动静很大,用户在苹果设备上付费,苹果账户显示已经扣款,游戏里却没到账,结果开发组只能手动给所有人退款。然后他们也发了个公告,里面写:“黑客大大,我们很穷,请放过我们吧!”

《超级幻影猫2》的运营者用轻松的口吻写下了公告

他们是不是真的穷,刘波不知道,不过他知道,做这种游戏的制作组肯定不可能和大厂相比。没有钱,也就没办法。最后他们什么都没干,既没给攻击者钱,也没给服务商钱,就这么耗着吧。《超级幻影猫2》是个已经上线了三四年的老游戏,这会儿无论是付费赎身,还是付费升级高级防御系统,都没必要。刘波相信,他们肯定是综合考虑了这款游戏的收入和生命周期才做出这个决定的。

哪怕过一个月呢?刘波想,哪怕过一个月呢,自己就能更好地做出判断了,是破财免灾,还是硬扛到底,哪怕过一个月呢?哪怕两个星期呢?为什么偏偏是今天?但他也知道就是今天,攻击的人就盯着今天呢。

有谁能帮助自己吗?也算有,至少那个下午成立的反攻击群里就有不少人。游戏发行商的技术也在群里,一想到这个,刘波就庆幸自己签了个比较大的发行商。TapTap的反攻击小组也在群里,《弈剑行》出事的时候,就是TapTap负责对接,帮他们免费升级了高防服务,撑住了第一波攻击。刘波还听说,等到《弈剑行》回头要重新上线的时候,TapTap依然会给他们提供高防服务。

刘波终于等来了好消息。发行商说,这事儿你不用管了,我们来负责解决。刘波松了一口气,暗自捏了一把冷汗:要是自己没签这个发行商,或许游戏就这么交待在这儿了。但是游戏服务器现在还“死”着呢,刘波明白,自己还不能休息。

凌晨5点

看了看自己的口袋,刘波才发现自己兜里只剩一根烟了。他想了想,还是把烟插了回去。他不想再抽烟了。刘波越想越觉得有一种莫名的烦躁,这次的事儿什么时候会解决呢?能吗?也许吧。但今天是完蛋了。未来呢?难道自己以后每上线一个游戏,都要来这么一出?ACCN是不是随时正在寻找目标呢?不怕贼偷,就怕贼惦记,只有千日做贼,哪儿有千日防贼的呢?刘波想起了被开膛破肚后持续抽取胆汁的熊——他感觉自己现在就是那只熊,黑客就等着一次又一次地从他身上拿走点什么。

办法也不是没有,今年6月,心动与TapTap、巨人、莉莉丝、米哈游、鹰角6家企业联合成立了一个“反网络黑灰产联盟”。刘波知道,这个联盟就是帮助开发者解决这类问题的。这次的攻击防御中,TapTap的技术小组也的确出了不少力,但DDoS攻击一直是全球互联网行业难以根治的顽疾。刘波知道,损失想要追回,基本上是不可能了。ACCN到现在还没抓住,现在已有的证据已经交给了司法机关,但是DDoS溯源没有那么容易。

反网络黑灰产联盟于6月正式成立

技术专家跟他说了不少办法。他可以在上线前隐藏真实IP,提前和云服务商保持沟通等等。反网络黑灰产联盟还告诉刘波,现在中小型开发者主要是缺乏事前网络安全防护意识,在游戏上线前就应该把网络安全问题纳入必要工作中。

怪我喽?刘波想。他不知道到底做到哪一步才算是有“网络安全防护意识”。高防服务吗?可以,如果早知道今天,他或许会试试隐藏真实IP,也肯定会给自己的游戏提前买高防服务——但这还是需要多花钱。刘波一想到钱,又开始头痛起来,就在现在,游戏每一分每一秒都在损失钱。想到这,他也没心情想下一款游戏该怎么样了。

天已经亮了,窗外鸟都开始叫起来了。手机响起来了,发行商的人告诉刘波,他们暂时把问题解决了,游戏服务器已经挂在了高防服务后面,游戏能登录了。发行商说,具体的损失和费用白天再算吧,你先去去休息吧。

刘波经历了人生中最漫长的一个晚上。刘波不知道其他同行是怎么熬过去的,也不知道下次自己是不是还要再经历一个这样的晚上。

刘波决定去睡一觉。

3

实习编辑 冯昕旸

做个怪人挺好

查看更多冯昕旸的文章
登录注册后写下你的评论

绑定手机号

根据相关规定,无法对未认证真实身份信息的用户提供跟帖评论服务,请尽快绑定手机号完成认证。

按热门按时间

共有0条评论

关闭窗口