Nabend,
letzten Sonntag hatte ich auf meinem Root-Server M einen Sauerbraten-Gameserver installiert weil mir das Spiel gefällt und ich auch einen eigenen Server bereitstellen wollte (und ich sowieso noch genügend Ressourcen dafür frei hatte). Am Montagabend um 22:20 Uhr kam dann die erste automatisierte E-Mail von Netcup rein, die mich über einen massiven DDoS-Angriff über UDP auf den Standardport des Sauerbraten-Servers informiert hat. In der darauffolgenden Nacht um 04:15 Uhr kam dann eine weitere automatisierte Mail mit der Information, dass der Angriff nachgelassen hat und man meine IP wieder direkt auf meinen Server geroutet hat.
Das UDP-Flooding von diversen IP-Adressen ging allerdings den ganzen Tag noch weiter, nur lief auf dem angegriffenen Port gar kein Service mehr da ich den Port geändert hatte. Am Dienstagabend um 22:50 Uhr kam dann wieder ein massiver Angriff auf den neuen Port rein, und ich habe den Port natürlich wieder geändert und der Sauerbraten-Server lief wieder latenzfrei weiter. Und in der Nacht auf Mittwoch um 04:15 Uhr dann wieder die automatisierte Mail mit der Information, dass der Angriff nachgelassen hat – das UDP-Flooding ging natürlich trotzdem noch weiter. Bis am Mittwochnachmittag um 14:00 Uhr natürlich wieder eine automatisierte Mail kam mit der Information, dass der DDoS-Filter aktiviert wurde. Dieser wurde dann wiederum in der Nacht auf Donnerstag um 03:35 Uhr deaktiviert.
Dann war mit den Mails über einen massiven DDoS-Angriff erst einmal Ruhe; das UDP-Flooding lief aber immer noch weiter und ich habe mich entschlossen ein paar Abuse-Mails an die ISP's der Angreifer-IP's zu schicken. Mir ist natürlich bewusst, dass die IP-Adressen möglicherweise gespooft sind, aber kann ja nicht schaden. Naja, das UDP-Flooding läuft durchgehend seit dem ersten Angriff am Montag und heute Morgen hatte ich schon gedacht, dass es jetzt langsam aufhört weil es nur noch eine einzige IP-Adresse war die UDP-Flooding auf einen längst geschlossenen Port gefahren hat.
Bis ich heute Nachmittag um 17:00 Uhr mit einem Bekannten auf dem Server war und wir beide runtergeflogen waren. Ein Blick auf den Netzwerktraffic zeigte, dass gerade mit 60 MByte/s Daten reingekommen sind und wieder einmal massiv der aktuelle Port des Sauerbraten-Servers mit UDP-Paketen zugemüllt wurde. Ein paar Minuten später kam dann natürlich wieder eine automatisierte E-Mail mit der Information, dass der DDoS-Filter aktiviert wurde. Der ist bis jetzt auch immer noch aktiv aber der Sauerbraten-Server läuft natürlich latenzfrei wieder unter einem anderen Port.
Hier ein paar Auszüge über die Bandbreite des Angreifers aus den automatisierten E-Mails von Netcup:
Montagabend:
ZitatDirection: IN
Destination IP: xxx.xxx.xxx.xxx
Treshold Packets: 30000 packets/s
Sum Packets: 107753000 packets/300s (359176 packets/s)
Sum Bytes: 105.21 GByte/300s (2.81 GBit/s)
Dienstagabend:
ZitatDirection: IN
Destination IP: xxx.xxx.xxx.xxx
Treshold Packets: 30000 packets/s
Sum Packets: 125016000 packets/300s (416720 packets/s)
Sum Bytes: 122.06 GByte/300s (3.25 GBit/s)
Mittwochnachmittag:
ZitatDirection: IN
Destination IP: xxx.xxx.xxx.xxx
Treshold Packets: 30000 packets/s
Sum Packets: 112463000 packets/300s (374876 packets/s)
Sum Bytes: 109.76 GByte/300s (2.93 GBit/s)
Samstagnachmittag [heute]:
ZitatDirection: IN
Destination IP: xxx.xxx.xxx.xxx
Treshold Packets: 30000 packets/s
Sum Packets: 97731000 packets/300s (325770 packets/s)
Sum Bytes: 95.34 GByte/300s (2.54 GBit/s)
Da fragt man sich doch wirklich wie bescheuert ein Mensch überhaupt sein kann. Ich habe niemandem etwas getan und trotzdem muss man einfach mal seinen E-Penis auspacken und damit meinen Sauerbraten-Server penetrieren. Ich habe auch keine "Feinde" oder so etwas. Ich habe auch keine E-Mail von einem Angreifer bekommen in der steht, was sein Problem ist. Keine Forderungen oder Ähnliches. Ich hatte kurz überlegt ob ich Strafverfolgungsbehörden über die Angriffe informieren soll, aber die werden das auch nur zu Protokoll nehmen und das war es dann. Deswegen hatte ich mich dann entschieden mal ein paar Logfiles zu erstellen und Abusemails an die ISP's der (eventuell gespooften) IP-Adressen zu senden. Von denen habe ich aber auch noch keine Rückmeldungen erhalten.
Naja, wollte nur mal darüber schreiben weil mir die Dämlichkeit von manchen Menschen langsam auf die Nerven geht. Was haltet ihr von so was? Denkt ihr, dass das irgendein unterbelichtetes Skriptkiddie ist? Jemand aus der Fraudszene? Jemand der sich DDoS-Service gemietet hat? Ich weiß es nicht. Ich weiß nur, dass dieser Mensch oben im Hirn nicht ganz normal sein kann …