Distributed Denial of Service auf Sauerbraten-Gameserver

    Nabend,


    letzten Sonntag hatte ich auf meinem Root-Server M einen Sauerbraten-Gameserver installiert weil mir das Spiel gefällt und ich auch einen eigenen Server bereitstellen wollte (und ich sowieso noch genügend Ressourcen dafür frei hatte). Am Montagabend um 22:20 Uhr kam dann die erste automatisierte E-Mail von Netcup rein, die mich über einen massiven DDoS-Angriff über UDP auf den Standardport des Sauerbraten-Servers informiert hat. In der darauffolgenden Nacht um 04:15 Uhr kam dann eine weitere automatisierte Mail mit der Information, dass der Angriff nachgelassen hat und man meine IP wieder direkt auf meinen Server geroutet hat.


    Das UDP-Flooding von diversen IP-Adressen ging allerdings den ganzen Tag noch weiter, nur lief auf dem angegriffenen Port gar kein Service mehr da ich den Port geändert hatte. Am Dienstagabend um 22:50 Uhr kam dann wieder ein massiver Angriff auf den neuen Port rein, und ich habe den Port natürlich wieder geändert und der Sauerbraten-Server lief wieder latenzfrei weiter. Und in der Nacht auf Mittwoch um 04:15 Uhr dann wieder die automatisierte Mail mit der Information, dass der Angriff nachgelassen hat – das UDP-Flooding ging natürlich trotzdem noch weiter. Bis am Mittwochnachmittag um 14:00 Uhr natürlich wieder eine automatisierte Mail kam mit der Information, dass der DDoS-Filter aktiviert wurde. Dieser wurde dann wiederum in der Nacht auf Donnerstag um 03:35 Uhr deaktiviert.


    Dann war mit den Mails über einen massiven DDoS-Angriff erst einmal Ruhe; das UDP-Flooding lief aber immer noch weiter und ich habe mich entschlossen ein paar Abuse-Mails an die ISP's der Angreifer-IP's zu schicken. Mir ist natürlich bewusst, dass die IP-Adressen möglicherweise gespooft sind, aber kann ja nicht schaden. Naja, das UDP-Flooding läuft durchgehend seit dem ersten Angriff am Montag und heute Morgen hatte ich schon gedacht, dass es jetzt langsam aufhört weil es nur noch eine einzige IP-Adresse war die UDP-Flooding auf einen längst geschlossenen Port gefahren hat.


    Bis ich heute Nachmittag um 17:00 Uhr mit einem Bekannten auf dem Server war und wir beide runtergeflogen waren. Ein Blick auf den Netzwerktraffic zeigte, dass gerade mit 60 MByte/s Daten reingekommen sind und wieder einmal massiv der aktuelle Port des Sauerbraten-Servers mit UDP-Paketen zugemüllt wurde. Ein paar Minuten später kam dann natürlich wieder eine automatisierte E-Mail mit der Information, dass der DDoS-Filter aktiviert wurde. Der ist bis jetzt auch immer noch aktiv aber der Sauerbraten-Server läuft natürlich latenzfrei wieder unter einem anderen Port.


    Hier ein paar Auszüge über die Bandbreite des Angreifers aus den automatisierten E-Mails von Netcup:


    Montagabend:

    Zitat

    Direction: IN
    Destination IP: xxx.xxx.xxx.xxx
    Treshold Packets: 30000 packets/s
    Sum Packets: 107753000 packets/300s (359176 packets/s)
    Sum Bytes: 105.21 GByte/300s (2.81 GBit/s)

    Dienstagabend:

    Zitat

    Direction: IN
    Destination IP: xxx.xxx.xxx.xxx
    Treshold Packets: 30000 packets/s
    Sum Packets: 125016000 packets/300s (416720 packets/s)
    Sum Bytes: 122.06 GByte/300s (3.25 GBit/s)

    Mittwochnachmittag:

    Zitat

    Direction: IN
    Destination IP: xxx.xxx.xxx.xxx
    Treshold Packets: 30000 packets/s
    Sum Packets: 112463000 packets/300s (374876 packets/s)
    Sum Bytes: 109.76 GByte/300s (2.93 GBit/s)

    Samstagnachmittag [heute]:

    Zitat

    Direction: IN
    Destination IP: xxx.xxx.xxx.xxx
    Treshold Packets: 30000 packets/s
    Sum Packets: 97731000 packets/300s (325770 packets/s)
    Sum Bytes: 95.34 GByte/300s (2.54 GBit/s)

    Da fragt man sich doch wirklich wie bescheuert ein Mensch überhaupt sein kann. Ich habe niemandem etwas getan und trotzdem muss man einfach mal seinen E-Penis auspacken und damit meinen Sauerbraten-Server penetrieren. Ich habe auch keine "Feinde" oder so etwas. Ich habe auch keine E-Mail von einem Angreifer bekommen in der steht, was sein Problem ist. Keine Forderungen oder Ähnliches. Ich hatte kurz überlegt ob ich Strafverfolgungsbehörden über die Angriffe informieren soll, aber die werden das auch nur zu Protokoll nehmen und das war es dann. Deswegen hatte ich mich dann entschieden mal ein paar Logfiles zu erstellen und Abusemails an die ISP's der (eventuell gespooften) IP-Adressen zu senden. Von denen habe ich aber auch noch keine Rückmeldungen erhalten.


    Naja, wollte nur mal darüber schreiben weil mir die Dämlichkeit von manchen Menschen langsam auf die Nerven geht. Was haltet ihr von so was? Denkt ihr, dass das irgendein unterbelichtetes Skriptkiddie ist? Jemand aus der Fraudszene? Jemand der sich DDoS-Service gemietet hat? Ich weiß es nicht. Ich weiß nur, dass dieser Mensch oben im Hirn nicht ganz normal sein kann …

    Sicherlich hat einer aus deinem Team irgendwann mal jemand in der Community ans Bein gepisst und der prollt jetzt mit sowas rum.


    Wenn der Traffic so hoch ansteigt das die Automatik von netcup greift kannst Du da wenig machen. Hättest Du eine echte Hardware Maschine könntest Du bei entsprechender Bandbreite und Leistung einfach iptables Regeln setzen und gut wäre es. Was natürlich auch nur bis zu einem gewissen Grad funktioniert.


    Ansonsten kannst Du dir nur die Logs schnappen und Anzeige erstatten.

    eventuell könnten iptables limits etwas bringen.
    damit hat dann jede ip nur ein bestimmtes kontingent an paketen die an dich geschickt werden dürfen pro zeiteinheit und noch einen burst. alles darüber solltest du droppen.
    allerdings hast du bei mehreren gbit/s eher das problem der bandbreite zu deinem server.


    je nachdem wer dahinter steckt könntest du doch auch mal fragen, ob dir netcup eine andere ip geben könnte? Dann vielleicht noch die website vom server trennen. aber wenn es da jemand direkt auf dich angelegt hat, wird das leider auch nicht lang helfen.

    Morgen,

    Zitat von Mainboarder

    je nachdem wer dahinter steckt könntest du doch auch mal fragen, ob dir netcup eine andere ip geben könnte? Dann vielleicht noch die website vom server trennen. aber wenn es da jemand direkt auf dich angelegt hat, wird das leider auch nicht lang helfen.

    dass man es direkt auf mich abgesehen hat zeigt sich ja schon daran, dass der Kerl immer wieder den Port ändert. Zwar schießt er jetzt immer noch auf den alten Port aber der wird wohl bald den Port wieder auf den aktuellen ändern. Und dann ändere ich den Port wieder. Eine andere IP wird da auch nichts bringen. Und die angegriffenen Ports werden in der Firewall auch gedroppt bzw. rejected – der Traffic kommt natürlich trotzdem an (bis auf das, was der DDoS-Filter wegfiltert; der jetzt in der Zwischenzeit wieder deaktiviert wurde).

    Wenn er gezielt den Port des Gameservers angreift, muss er den ja von irgendwo immer aktuell her haben. Ich kenne das Spiel nicht im Detail, aber da gibt es doch sicher einen Masterserver, an dem sich alle Gameserver anmelden? Deaktiviere diese Funktion einmal. Dann kennen nur noch zugelassene User den echten Port. Und mittels iptables sperrst Du einmal alle, außer bestimmte IP-Ranges von Freunden vom echten Port aus, damit ein Portscan auch nichts mehr bringt. Dabei musst Du aber darauf achten, dass sich das Verhalten vom gefilterten Port nicht von denen unterscheidet, die es gar nicht gibt. Stichwort DROP vs REJECT.


    Das hilft zwar nichts gegen die eigentlichen Angriffe, die kann er weiterhin auf x-beliebige Ports durchführen, aber vielleicht vergeht es ihm nach einiger Zeit, wenn er glaubt, dass es den Gameserver gar nicht mehr gibt.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Hallo,

    der Sauerbraten-Server meldet sich natürlich beim Masterserver damit er in der Serverliste auftaucht. So soll es ja auch sein. Wenn ich ihn nicht am Masterserver anmelden lasse dann kann ja keiner mehr den Server finden. Der war auch eher dazu gedacht öffentlich zu sein und nicht um nur mit Freunden zu spielen. Da gibt es sowieso nicht viele, die das spielen. Ich werde einfach mal abwarten ob der sich noch irgendwann gibt. :)

    Ich kann mich noch daran erinnern, das es bei CoD4 ein ähnliches Problem gab. Dort wurde es mit einem Flooding geschafft in den Server einzubrechen. Daraufhin gab es dann noch einmal einen Patch, wonach man in der Config des CoD4-Servers eine Funktion zum Begrenzen der Pakete an den Game-Server hatte. In dem Clan, in welchem ich zu der Zeit spielte, hatten wir kurz hintereinander 2 Einbrüche auf den Root. Nach dem letzten Patch und der Paket-Begrenzung lief dann alles einandfrei.


    Ich will keine Angst verbreiten, aber erkundige dich doch bitte, ob eine Sicherheitslücke in dem Game-Server bekannt ist. Das ist u.U. kein gezielter Angriff gegen deine Person oder einem deiner Mitspieler, sondern eher der Versuch eine Lücke im Server auszunutzen. Sollte dies so sein, dann wäre es eher ratsam den Game-Server umgehend abzuschalten.

    9 von 10 Stimmen in meinem Kopf sagen ich bin nicht verrückt, die letzte summt ständig die Melodie von Tetris.

    Nabend,


    wollte nur mitteilen, dass der DDoS-Angriff vor über einer Woche aufgehört hat. In der Zwischenzeit hat er aber auf einen Server von einem Bekannten geschossen. Es gibt ein paar Leute, die mich unterstützt haben und alle parallel Sauerbraten-Server aufgesetzt haben. Selber Servername nur mit einer anderen Nummer. Aber bei ihm hat es jetzt auch aufgehört. Vermutlich hat der Typ jetzt gemerkt, dass er sowieso nicht viel ausrichten kann und hat aufgegeben.