事实上，每年春节长假，SINE安全以DDOS为核心业务以外，快乐的春节假期也成为DDOS攻击的高峰期。SINE安全DDoS防护队实际上习惯于和各种hack一起度过新春，但2021年春节假期阿里云某游戏公司的用户DDoS攻防战比以往的攻击更加凶猛、更加粘着。hack为了达到目的，为该用户的多项游戏业务定制了完美的DDoS攻击方案，发誓将该用户置于死地…

2021年2月初，接近中国春节的夜里，sine系统在阿里云某游戏用户的很多业务IP被拉网式DDOS空袭，十多个IP在短时间内同时遭受大流量攻击。显然，这是针对该用户的恶意DDoS攻击事件。因此，SINESAFE与阿里云高防产品队合作，立即与用户取得联系，与现在的攻击状况和防护应对方案取得联系。

初步分析显示，在第一次攻击中，每个IP平均攻击流量峰值为230G，攻击持续4小时，击DDoS和CC手法混合，正确攻击业务重要端口，选择业务高峰期攻击。这些特性的组合似乎是hack向我们宣战的号角，预言更多的攻击接连不断，一次攻防锯战即将开始。出乎意料的是，在接下来的10天以上，hack每天晚上风雨不变，假日不断准时打卡的攻击中，发誓要在死地玩游戏。据宙斯盾统计，20天内，该用户旗下的多个游戏共遭受约1300次DDoS攻击，每次攻击流量峰值超出500Gbps。图2:某游戏用户DDoS攻击态势。

从攻击带宽的大小来看，这个攻击高峰期实际上并不高(2018年阿里云曾为某用户保护高峰期1.23Tbps的DDOS攻击)。但是，团队仔细分析攻击手法和流量构成后，确认这些hack实际上是基于业务特征和弱点，精心策划的目标攻击，能够 说是有准备的。从下列2点能够 看得出:

(1)熟悉业务，定制

据统计，现在的网络攻击者多喜欢用UDP反射(占现在的网络的80%以上)，但是发现这些hack从未使用过。他们知道游戏业务是基于TCP协议的，所以保护者在保护系统中无效UDP，云制造商能够 和运营商定制ACL，在运营商的中坚网上直接禁止UDP协议，攻击流量多也是徒劳的。因此，hack聪明，研究TCP攻击，定制业务攻击方案。

(2)熟悉攻防，手法狡猾

hack在制定TCP攻击方案时，深刻理解DDoS攻击技术，选择业内认可防护难度最高的攻击手法，包含TCP反射、TCP连接攻击、TCP四层CC、HTTPCC等(详细数据见图3)。这些攻击流量大多基于完整的TCP连接或合法的协议堆栈行为，甚至能够 突破传统的DDoS保护战略，给保护方带来巨大挑战，严重威胁游戏业务和平台稳定。