棋牌平台,棋牌官网网站,棋牌游戏APP下载游戏安全资讯精选 2018年第七期：棋牌游戏的商业模式和风险，黑客利用Apache CouchDB中的两个“老漏洞”挖币，阿里云成功防御国内最大规模Memcached DDoS反射攻击

　　本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

　　棋牌游戏的商业模式和风险，黑客利用Apache CouchDB中的两个“老漏洞”挖币，阿里云成功防御国内最大规模Memcached DDoS反射攻击

　　概要：由于棋牌游戏本身特殊性，相对传统网络游戏更加的“轻度”，用户的使用环境也会有所不同。

　　A、非WIFI网络用户多：常规的棋牌游戏在流量消耗以及对网络环境的要求比较低，且碎片化场景更多，也是促使棋牌游戏在网络环境上大多数用户依然是非WIFI；所以在产品设计上要尽量考虑到流量消耗方面，有大消耗比如视频等玩法的时候要提醒用户使用WIFI；

　　棋牌游戏最大的风险在于“涉赌”，很容易被“有心人”用来作为赌博的工具，所以开发者必须了解相关法律法规，规避风险才能长远发展。整理了常见相关政策要求，供参考：

　　1．禁止资金双向流动；禁止接受投注的、提供给他人组织赌博、参与赌博网站利润分成。

　　2．不得在用户直接投入现金或虚拟币前提下采取抽签、押宝、随机收取等偶然方式分配游戏道具或者虚拟货币；不得以偶然方式获得金币；不得提供用户间赠予转让游戏积分等转账服务。

　　3．网络游戏经营单位不得收取或以“虚拟货币”等方式变相收取与游戏输赢相关的佣金。

　　1.玩家输赢的都是虚拟的无价值的数值，不能界定为“财物输赢”，则不涉及赌博。

　　2.不以营利为目的，进行带有少量财物输赢的娱乐活动，以及提供棋牌室等娱乐场所只收取正常的场所和服务费用的经营行为等，不以赌博论处；游戏中进行财富输赢必须设置上限。

　　3.提供游戏服务，允许收取费用。在收取费用的方式上不能采用类似赌场抽水的方式，从赢家赢取的额度中按照比例抽水。而应该采用与玩家输赢没有必然关系的收取方式。（来源：棋牌游戏圈）

　　点评：游戏行业2017年活在腾讯和网易阴影下的游戏公司开始另辟蹊径，棋牌是去年的一个热门领域，竞争非常激烈，竞争的同时也伴随诸多安全问题。由于门槛太低，也存在一些不规范的厂商破坏竞争氛围，打破游戏竞技娱乐的初衷，可以预见今年随着网络安全法问世，国家监管层会加大监管力度，规范游戏厂商合法经营，创造和谐稳定经营氛围。

　　【相关安全事件】黑客利用Apache CouchDB中的两个“老漏洞”挖币，

　　概要：此次被利用的两个漏洞是在2017年11月15日被公开披露。它们分别是:

　　高危：Apache CouchDB JSON远程特权升级漏洞（CVE-2017-12635）

　　高危：Apache CouchDB _config命令执行（CVE-2017-12636）

　　前者被描述为远程特权提升漏洞，后者则是一个命令执行漏洞。以上两个漏洞在2017年发布官方公告，并表示已经被修复。

　　具体来讲，CVE-2017-12635是由于Erlang和JavaScript对JSON解析方式的不同，导致语句执行产生差异性导致的，可被利用于赋予任意用户系统管理员权限;CVE-2017-12636则是由于数据库

　　数据库。在某些配置中，用户可以设置可执行文件的路径，以在数据库运行范围内执行。

　　【云上视角】758.6G每秒：阿里云成功防御国内最大规模Memcached DDoS反射攻击

　　概要：本周，阿里云安全DDoS监控中心数据显示，利用Memcached 进行DDoS攻击的趋势快速升温。今天，阿里云已经成功监控和防御一起流量高达758.6Gbps的Memcached DDoS反射攻击。

　　点评：随着利用Memcached进行DDoS攻击技术的公开，越来越多尝试使用Memcached进行反射的DDoS发生，并且此类型DDoS攻击正快速上升。近期，黑客已经扫描并收集全球可以被利用的MemcachedIP，并出现大量试探性超大流量Memcached DDoS攻击，下一步Memcached大流量DDoS攻击将成熟化并大量出现，成为黑客新的利器。

　　整个互联网可以用于Memcached反射的IP达到数十万，为攻击者提供了海量的军火库。

　　随着超大流量DDoS发起难度降低，IDC和云服务商需要储备更多的网络带宽用于防御，中小型IDC将很难应对这种超大规模DDoS攻击，只有具备超大带宽和运营商黑洞能力的云服务商才能有力应对。

　　目前，阿里云已提供Memcached安全配置建议，并在安骑士提供修复引导，帮助云上用户修复Memcached风险。高防IP中已提供UDP反射封禁服务。

　　10月26日@杭州，飞轮科技 x 阿里云举办 Apache Doris Meetup，探索保险、游戏、制造及电信领域数据仓库建设实践

　　10月26日，由飞轮科技与阿里云联手发起的 Apache Doris 杭州站 Meetup 即将开启！

　　网易游戏如何基于阿里云瑶池数据库 SelectDB 内核 Apache Doris 构建全新湖仓一体架构

　　随着网易游戏品类及产品的快速发展，游戏数据分析场景面临着越来越多的挑战，为了保证系统性能和 SLA，要求引入新的组件来解决特定业务场景问题。为此，网易游戏引入 Apache Doris 构建了全新的湖仓一体架构。经过不断地扩张，目前已发展至十余集群、为内部上百个项目提供了稳定可靠的数据服务、日均查询量数百万次，整体查询性能得到 10-20 倍提升。

　　游戏行业遭受频繁DDoS攻击，导致服务中断，例如欧洲国家安道尔全国近断网半小时。黑客利用低成本的DDoS手段勒索，尤其是针对中日韩印的手游市场。最常见的攻击方式是UDP洪水。防御措施包括使用硬件防火墙、抗D盾、负载均衡、SCDN流量清洗和分布式集群防御。游戏公司需平衡成本与安全，以确保服务稳定和玩家体验。在中国，此类攻击属犯罪行为，最高可判处有期徒刑。

　　探索一种新的防护模式，彻底摆脱针对tcp业务端口的cc和ddos攻击，文章阐述原理、技术实践。软件已经开源，希望跟大家一起交流沟通。

　　Apache Log4j2远程代码执行漏洞已爆发一周，安全厂商提供各类防御方案和检测工具，甲方团队连夜应急。

　　5月14日Apache Spark中国社区技术直播【Analytics Zoo上的分布式TensorFlow训练AI玩FIFA足球游戏】

　　近年来，由于对通用人工智能研究的潜在价值，训练AI玩游戏一直是一个火热的研究领域。FIFA实时视频游戏场景复杂，需要结合图像，强化学习等多种不同的AI技术，同时也要求agents响应有实时性，因此是一个非常好的试验场，可以用来探索不同类型的AI技术。本次分享主要介绍我们在训练AI玩FIFA视频游戏方面的一些工作。

　　【云栖号案例 游戏&娱乐】冠赢网络上云 游戏盾彻底解决DDoS/CC攻击

　　DDoS/CC攻击是游戏APP类业务常遇到的安全问题。上云后通过将SDK嵌入客户端中，自动进行分组及调度，及时找出并处置风险设备，实现业务与安全的双赢。

　　【云栖号案例 娱乐&游戏】棋牌游戏上云 成功抵挡低频爆发式的DDOS攻击

　　棋牌游戏公司会遭到大量的DDOS流量攻击，被打入黑洞导致业务中断。上云后公司后期成本可控，可抵挡持续性低频的实际攻击，为后期稳定发展提供了基座。

　　Flink Agents：基于Apache Flink的事件驱动AI智能体框架

　　Apache Doris 3.1 正式发布：半结构化分析全面升级，湖仓一体能力再跃新高

　　海量接入、毫秒响应：易易互联基于 Apache RocketMQ + MQTT 构筑高可用物联网消息中枢

　　数据湖表格式：Apache Iceberg、Apache Hudi、Delta Lake

　　Apache Doris 4.0 AI 能力揭秘（二）：为企业级应用而生的 AI 函数设计与实践

　　Memcached命令执行漏洞(CVE-2016-8704、CVE-2016-8705、CVE-2016-8706)原理和对阿里云Memcache影响分析

　　6/14 上海，Apache Doris x 阿里云 SelectDB AI 主题线下 Meetup 正式开启报名！

　　【倒计时3天】NineData x Apache Doris x 阿里云联合举办数据库技术Meetup，5月24日深圳见！

　　Apache Doris 2025 Roadmap：构建 GenAI 时代实时高效统一的数据底座