凌亚星 王瑶 曾孟佳 黄旭

摘要：随着互联网的快速发展，网络游戏在大众特别是年轻人的娱乐生活中受追捧的程度越来越高。正常的网络游戏一方面丰富了大众娱乐生活，另一方面也给网络游戏业带来可观的收入。但是，由于金钱的驱使，部分投机者会采用游戏外挂的方式进行游戏。游戏外挂不仅影响正常游戏用户的安全，也会影响游戏的公正性，如何阻止外挂程序的增加和应对外挂程序已经成为游戏制造商和运营商最头疼的任务之一。防火墙是互联网中基于网络安全的基本设置，从防火墙的角度增加一些防治措施达到监测游戏外挂并报警的目的。该文提出了一种在防火墙处设置陷阱的方法，在游戏服务器收到外挂传来的篡改数据或有人想攻击服务器获取游戏信息制作外挂时，利用位于防火墙上的陷阱及时检测服务器受到的攻击，并将此消息反馈给网络平台运营商，使其能及时发布有效应对措施，从而达到提高防火墙安全性及游戏公平性的目的。

关键词：防火墙；反外挂；陷阱；网络游戏；网络安全

中图分类号：TP393 文献标识码：A

文章编号：1009-3044（2019）12-0030-03

开放科学（资源服务）标识码（OSID）：

1 引言

计算机技术不断普及、进步，电脑游戏也在快速发展，游戏模式从单机游戏的方式逐渐过渡到网络游戏。网络游戏可以容纳两人或多人进行在线实时游戏互动，可以以合作、对抗等多种形式进行游戏，增强了游戏的可玩性，也给玩家带来了更丰富、更立体的游戏体验，从而能吸引到更多玩家。大量玩家的加入，使网络游戏运营商拓宽了盈利道路，也推动了网络游戏行业的迅速发展。2003年11月18日，电子竞技成为正式体育项目，国家体育总局承认电子竞技为我国正式开展的99个运动项目[1]之一。然而，随着网络游戏的发展，外挂也亦步亦趋地发展着。游戏外挂其实就是一种可以在游戏中进行作弊的一组程序，它可以欺骗服务器或者对游戏数据进行篡改，从而达到使自己获利的目的。外挂使得游戏者不用投入时间、精力就能获得优于他人的游戏体验以及心理方面的满足，而某些虚拟装备能够换取现实货币的游戏激励措施驱使更多的投机取巧者加入使用外挂的队伍中。但外挂影响了游戏的公正性和其他玩家的游戏体验，对网络游戏来说是一个重要隐患。外挂破坏了游戏的平衡，给游戏运营商会造成巨大的经济损失，甚至有可能会摧毁网络游戏。目前的外挂，往往具有技术含量高、隐蔽性好、实时更新和商业化等特点[2]。

根据游戏外挂所应用的游戏类型，可以将游戏外挂分为两大类[3]。一类是动作模拟技术，用于简化玩家的操作。这类外挂的基本作用是将游戏中某些动作使用外挂来自动完成，让玩家摆脱枯燥的操作，开发较为简单。比如很多升级爆装备的游戏中，原本需要玩家控制自己的角色打怪来获得经验，这种操作需要玩家进行长时间重复才能达到目的，十分枯燥乏味。而在使用了例如“按键精灵”这类外挂后，可减少玩家的时间消耗，使其摆脱枯燥的反复工作。另一类是封包技术。即利用一些外挂程序来攻击游戏服务器，从而截取到服务器与客户端之间的数据包信息，对其破解并将数据值修改后，再模拟客户端将修改过的数据包发回服务器。通过这种伪造加工过的数据信息来欺骗服务器，从而在游戏中达到获得更优于自身的能力或物品。黑客常用装载组件和hook系统函数两种方式来实现这类外挂[4]。

外挂的快速发展，也加快了反外挂技术的发展脚步。目前，常见的反外挂方法大致可分为3类：

（1）利用人机交互的方式来人工认证[5]。即通过计算机输入、输出设备来实现玩家与网游的对话。具体做法是在游戏过程中嵌入响应网游特定信息，由玩家做出输入信息的反馈。由于外挂的智能程度不高，因此无法响应网游的输入请求，从而达到甄别外挂的目的。但是，该技术一方面会降低玩家的游戏体验，另一方面也无法应对当前外挂种类的高速开发现状。

（2）自动反外挂技术。该类技术主要利用密码技术[6-7]和过程完整性保护技术[8]来实现。通过对数据包的加密来增加对数据包解析伪造的难度，从而能够对那些修改游戏封包的外挂进行有效的防御。但该方法会增加处理环节从而增加服务器负担，并且会让网络游戏的通信流畅性受到影响。而对于游戏玩家主动使用的那些外挂，该类方法的适用性不强。

（3）利用游戏自身固有的逻辑特征来识别外挂[5]。这种方法是通过人工认证和根据网游的逻辑特征来针对性地开发反外挂系统的方法。但此类方法只适用于某些同类型的网游，并且需要人工主动进行反外挂的设计并不能有效地适应目前网游的发展，其通用性及自动性有待增强。

上述三类方法虽然能在一定程度上解决外挂问题，但随着外挂制作水准以及技术的不断提升，上述反外挂方法也暴露出了一些问题：

（1）反外挂系统不安全、不高效，没有真正做到把数据安全通信技术和客户端保护技术有机结合起来。

（2）应对外挂多为被动应付，往常做法通常是对于某种特定类型外挂制定防御措施，当有新类型的外挂出现时，之前的防御办法可能不再起作用，又得重新思考解决，不能做到未雨绸缪。

（3）兼容性比较差，在反游戏外挂的过程中有着大量的兼容性问题。

综上所述，本文在封包技术的基础上，提出防火墙陷阱主要针对第二类外挂。其基本思想是从外挂截取数据包信息这一步就进行阻碍，从根源上防止该类外挂的入侵。

2 针对封包技术攻击游戏服务器手段的陷阱装置

对于采用封包技术攻击游戏服务器这一类的外挂系统，本文提出一种位于防火墙的陷阱检测技术。如图1所示是一个入侵检测系统的结构图[10]，主要由数据存储器和处理器组成。处理器有四个功能：处理活跃数据，警报数据，配置数据和參考数据。

以往的针对防火墙的入侵手段都是在侵入数据攻击到游戏数据存储的地方时，处理器判断数据是否存在异常，若无异常则正常处理该数据。若判断为异常数据，处理器就会发出警报数据触发警报。当外挂系统试图攻击服务器获取或篡改数据时，一定会经过防火墙。本文所述装置主要特点为在防火墙处建立数个开口，用户端的数据会自动通过所设立的正确通道，而其他妄图通过非正常手段入侵服务器的数据则会被数个接口感知到。如图2所示为陷阱装置的位置情况和工作时的关系图。

从图2中可知，在本文提出的陷阱装置中，数据只有通过特定的正确路线（接口）才能成功的穿过防火墙到达服务器。反之，当数据包通过其他非特定路线妄图穿过防火墙将会直接触发警报器。外挂在入侵系统前，通常会使用漏洞检测程序[9]，检测防火墙上是否存在漏洞或是开发时留下的后门，若有则会利用该漏洞翻越防火墙到达游戏服务器从而达到篡改游戏数据的目的。本文提供的方法是在游戏信息处理服务器的防火墙上除正确接口外的每个接口后均设置一个针对漏洞检测程序的陷阱。当漏洞检测程序对防火墙进行扫描时，陷阱会使检测程序误以为此处是漏洞。陷阱接口集中连接至一个特定数据存储区，该区域不存储任何游戏相关数据。漏洞监测程序在将陷阱误认为漏洞后，若要通过防火墙入侵游戏系统，则会通过陷阱在特定数据存储区上留下数据痕迹。判断是否有外挂入侵系统，只需在特定数据存储区设置检测点，检测数据变化即可。在没有外挂入侵的正常情况下，该检测点不会检测到数据变化，一旦外挂程序入侵系统则会触发陷阱，进而通过非正确路线传送数据过来，该存储区就会有数据变化。所以，在特定数据存储区只要检测到数据变化，就说明有外挂在攻击服务器。一旦发现攻击，系统会启动警报程序向游戏服务器管理者反应他所管理的游戏服务器正受到攻击，提醒此游戏服务器管理者尽快转移重要资料，及时将重要资料保护起来。同时启动数据隔离程序，阻止攻击者侵入正确游戏数据存储区篡改游戏数据。借助于陷阱，游戏运营商还能够对外挂进行反追踪，通过分析在特定数据存儲区中由外挂发来的数据包，有可能得出使用外挂的用户的相关信息，如：外挂用户想更改的游戏数据所属的游戏账号，外挂用户的IP地址，外挂用户想更改哪些数据等。针对外挂用户信息，游戏运营商可以提前采取一系列预防措施，在下一次攻击前提前做好防范。

综上所述，本文提出的防火墙陷阱方法，是使攻击的异常数据在服务器外的防火墙处就能被感知。当异常数据从非正确通道通过防火墙时，就会落入陷阱，该通道直接连接报警器。一旦发现数据状态变化，就会触发报警程序，及时提醒管理人员此时正有人妄图攻击游戏服务器，管理人员也能及时做出反应。

3 陷阱装置的实用性分析

本文提出的陷阱装置能侦测到系统受到的攻击并示警，使管理人员能够在第一时间将受攻击服务器中的重要资料进行转移。游戏运营方可对外挂数据包信息进行反入侵解析，查出该攻击者的网络地址，位置信息等数据，给后续追究损失赔偿行动提供数据证据支持。

本陷阱装置不仅仅可以使用在游戏服务器上，也能适用于使用防火墙的其他领域。比如，个人电脑上的防火墙主要用来保护私人信息不被暴露。若在个人电脑的防火墙上使用该陷阱装置，也会使我们的个人信息更加安全。当电脑受到黑客攻击时，用户能及时获知该情况，并做出关机、拔网线等举动来阻止黑客获取私人信息。如果个人电脑中有重要的公司资料，如：客户名单、产品配方或者公司战略等，及时的正确反应能很大程度上降低损失。

而从企业方面讲，一个企业的办公系统的防火墙也可以使用该陷阱装置。如果能及时察觉到办公系统被攻击，或者员工的个人设备被攻击，则能及时采取方式保护重要资料或进行资料转移。就算最后资料还是被窃取了，公司也能在第一时间做出相应措施，将损失减少到最小。如果外挂用户在第一次外挂使用失败后，再次发动攻击，游戏运营方也可以使用非定期更新正确通道的做法使攻击方无法确切获知入侵途径。

4 结论

在这个离不开计算机、网络的时代，网络中的入侵与反入侵一向是关注的焦点。本文主要以网络游戏反外挂为例介绍了装在防火墙上的陷阱装置，加强防火墙的防护能力，提高了在防火墙的保护下信息的安全度。网络游戏，是当今年轻人热衷的一项娱乐活动。而游戏外挂的使用能让使用者迅速获利而受到追捧，但是外挂使用破坏了游戏的公平性和游戏体验。因此，及时侦测到游戏外挂对于维护游戏和谐生态有重要意义。陷阱装置能及时检测到攻击，通过防火墙的错误通道，吸引入侵者进入操作，从而暴露其正在攻击系统的行为，达到对信息安全进行保障、及时减少用户损失的目的。

参考文献：

[1] 万洪波.大型多人在线游戏安全解决方案的设计和实现[D].复旦大学，2012.

[2] 高海涛.游戏外挂与反外挂技术的研究与应用[D].内蒙古大学，2014.

[3] 李锋.在线游戏外挂检测技术的研究与方案设计[D].东北师范大学，2012.

[4] 罗平，徐倩华.网络游戏外挂技术及检测[J].计算机工程与设计，2007，6：1273-1276.

[5] 余艳玮，周学海，许华杰.网游自动反外挂系统的设计与实现[J].通信技术，2012，45（06）：17-20.

[6] 王新颖.网络游戏中的数据交互安全性问题研究[D].西南交通大学，2007.

[7] 蔡莉，孙兴.网络游戏安全登录环境的研究与设计[J].信息安全与通信保密，2010，10：95-97+100.

[8] 王海军.网络游戏中外挂防御技术的研究与设计[D].沈阳工业大学，2007.

[9] 巫冬.互联网+网络安全入侵检测技术分析[J].电脑迷，2018，1：41.

[10] 韦丽莉.人工智能技术在计算机网络入侵检测中的应用[J].电子世界，2018，15：171-172.

【通联编辑：代影】