一、流量型攻击:DDoS与端口洪水
1. 带宽消耗型DDoS
攻击者控制大量“肉鸡”向服务器IP发送海量垃圾数据包,瞬间占满网络带宽。表现为所有玩家集体掉线、登录器卡在“正在连接服务器”界面、Ping值飙升甚至超时。这是最直接导致服务瘫痪的手段,通常针对7000(登录)、7200(游戏)等核心端口进行无差别轰炸。
2. SYN Flood洪水攻击
利用TCP三次握手漏洞,伪造IP发送大量半连接请求,耗尽服务器的连接队列资源。服务器任务管理器或资源监视器中会出现成千上万的“SYN_RECEIVED”状态连接,导致CPU占用率100%,M2Server引擎无响应甚至自动关闭。
二、协议级攻击:CC与假人连接
1. CC攻击(应用层)
模拟正常玩家行为,高频请求登录、创建角色或访问NPC脚本。虽然单次流量小,但极耗CPU和数据库资源。症状为服务器不卡顿,但玩家登录极慢、NPC对话延迟、M2提示“脚本执行超时”。攻击者常针对网关(如LoginGate)进行协议级CC攻击。
2. 假人连接攻击
利用协议模拟工具,批量创建“假玩家”账号并登录游戏,占满服务器线程上限。在M2的在线人物列表中会出现大量无意义ID的角色,导致真实玩家无法登录(提示“服务器人数已满”)。这种攻击直接消耗游戏引擎的处理线程,而非单纯消耗带宽。
三、数据篡改与漏洞利用
1. 数据库拖库与注入
通过弱口令或SQL注入漏洞,直接连接数据库端口(如3306),窃取或篡改玩家账号、元宝数据。表现为玩家装备丢失、元宝异常增加、GM后台出现未知管理员账号。若服务端未修改默认密码(如1234),极易被批量扫描入侵。
2. 端口扫描与弱口令爆破
攻击者扫描服务器开放端口(如21/FTP、3389/远程桌面),通过字典爆破弱口令获取服务器控制权。一旦成功,攻击者可上传木马、删除服务端文件或直接关闭引擎进程,造成版本数据彻底丢失。
四、被攻击时的紧急排查步骤
1. 查看资源监视器:打开任务管理器→性能→打开资源监视器,检查“网络”标签下的TCP连接数。若单个外部IP建立大量连接,即为攻击源。
2. 分析M2日志:检查 Mir200\Log\ 目录下的日志文件,搜索“Exception”、“Error”或“Timeout”关键词,定位崩溃原因。
3. 封禁IP段:在路由器或服务器防火墙中,对异常IP段(如来自海外的未知IP)进行IP黑名单封禁,并关闭非必要的远程端口(如21、23、135-139、445)。
4. 启用高防服务:若为云服务器,立即开启DDoS高防IP或云防火墙,将流量引流至清洗中心过滤恶意流量。
防御核心:务必修改所有默认密码(数据库、FTP、远程桌面),关闭非必要端口,定期备份 Envir 文件夹,避免使用来源不明的破解版引擎。
