DDoS... Was nun

    Hey!


    Wir sind zu netcup gezogen und haben heute unseren Gameserver eröffnet.
    Nur leider wurden wir direkt geddost und die IP auf 0 geroutet. Hat jemand eine Idee, wie Ich den Server gegen erneute Angriffe schützen kann? Habe ein Script im Internet gefunden, welches alle paar Sekunden alle IPs mit mehr als 150 Connections für eine gewisse Dauer bannt. Nur leider half dieses auch nichts.


    Hat jemand eine Ahnung, was der DDoS Schutz von netcup kostet? Denn allzuviel ist nicht drin, da der Server momentan noch nichts abwirft.


    Wir haben uns auch mal überlegt, ob man nicht einfach einen billigen Server von einem anderen Anbieter mit entsprechendem Inklusivschutz mieten könnte und einfach Bungeecoord und TSDNS etc etc darauf laufen lässt und einfach alles auf den Netcuproot weiterleitet, auch wenn mir eine andere Lösung lieber wäre.




    Falls jemand Ideen hat, immer her damit!


    MfG Simon

    Wenn der Server von Netcup genullrouted wird kann ein Script auf dem Server selbst nichts mehr ausrichten, soviel ist sicher. Mir ist allerdings nicht klar weshalb Netcup das macht, da es doch einen automatischen DDoS-Filter gibt. Reicht dieser nicht mehr aus (Netcup bietet den bis zu einer gewissen Bandbreite kostenlos an) muss entsprechende Hardware gebucht werden, die in der Lage ist, die Angriffe zu filtern. Dies ist für den normalen Privatkunden in der Regel nicht bezahlbar, aber soweit sollte es bei ein paar Skriptkiddies die einen Gameserver lahmlegen wollen eigentlich nicht kommen müssen.

    Du hast standartmäßig den 5Gbit DDoS Schutz bei netcup, in dem Fall hat die IDE sich dazu entschieden deine IP auf nullrouting zu setzten bis der Angriff wieder nachlässt. Soweit ich hier irgendwo aufgegabelt habe kannst du glaub ich bei Netcup mehr DDoS Schutz kaufen was für dich nicht wirtschaftlich ist. Ich verstehe sowie so nicht wieso alle Gameserverbetrieber die her kommen immer(übertrieben) direkt unter DDoS stehen, hab ihr so schlechte Commnuitys?


    Dazu ist nicht mal gesagt ob solche omniösen Anbieter dir erlauben mit den Bungecord in die Aussenwelt zu routen...


    Nimm doch etwas Geld in die Hand und bau dir ein Bungeecord Verbund bei Netcup: Nimmste den mini-server für 3,99€ und bügelst dahinter zwei spigots und syncst die world Verzeichnisse wäre ne Idee aber doof und teuer.

    Der Angreifer kam erstmal nicht von einer IP. Ich vermute stark, das ein Botnetz dahinter stand. Laut E-Mail wurde mit ~130Mbyte/s geddost. Von einer ellenlangen Liste an IPs ging alles auf Port 25565... Den Gameserver. Immer 1000 Pakete mit 40000 Bytes. (Daher wirds schwer ne Anzeige aus den Details von netcup heraus zu basteln. Jedoch gibt es ein aufgezeichnetes Gespräch aufm Teamspeak, wo einer doch sehr sehr deutliche Anspielungen macht, dass er jemanden auf uns gehetzt hat; ob das als Beweis ausreicht wissen wir jedoch nicht.)


    (zu dem script: Checkt alle 60Sek die Verbindungen in bannt alles für 30min was mehr als 60 Verbindungen offen hat. Das soll, so der Plan, alles abwehren, nevor es zu spät ist.)


    Jaja... Minecraftcommunities können schlimm sein. Als Grund nannte uns der Angreifer, dass wir angeblich eine Idee, also sein Eigentum, geklaut haben. (Es ging darum, die Anordnung von Items in einem Teleporter, falls einem das was sagt.) Hört sich lächerlich an, ist es auch.




    Nur bei dem 4€ Server hätten wir das Problem, dass wenn wir die MC und TS Records darauf legen per BungeeCord und TSDNS weiterleiten müssen. Wird wieder geddost, fällt halt unsere Weiterleitung aus, sprich: Es kann trotzdem keiner mehr auf den Server. Also wäre der Notafllpan, dass wir einen Server von einem Anbieter mieten, von dem wir wissen, dass dieser einen "besseren" Schutz liefert und leiten alle kritischen Programme weiter. (Z.B. einen Anbieter der sich gerade an Gamingcommunities richtet und somit ständig unter Angriff steht.)




    MfG. Simon

    Zitat von 03simon10

    (zu dem script: Checkt alle 60Sek die Verbindungen in bannt alles für 30min was mehr als 60 Verbindungen offen hat. Das soll, so der Plan, alles abwehren, nevor es zu spät ist.)

    Jo, nur muss Dein Server trotzdem jeden Zugriff verarbeiten, auch wenn der Quellrechner gebannt ist. Das verursacht Rechenlast und beeinträchtigt die Netzwerkanbindung, daher kann man DDoS ab einem bestimmten Level nur noch per vorgeschalteter Hardware abwehren.

    Zitat von 03simon10

    Also wäre der Notafllpan, dass wir einen Server von einem Anbieter mieten, von dem wir wissen, dass dieser einen "besseren" Schutz liefert und leiten alle kritischen Programme weiter.

    Wie gesagt, Netcup hat eigentlich einen DDoS-Filter, der für Angriffe in genannter Größenordnung mehr als ausreicht. Ich würde also zunächst mal fragen, weshalb dieser nicht gegriffen hat.

    Naja... Der MC Server wird wachsen, so auch die eintreffenden Angriffe...


    Und das Script wird trotzdem mehr bringen, als wenn man kein Script hat.

    Zitat von 03simon10

    Der Angreifer kam... nicht von einer IP. Ich vermute stark, das ein Botnetz dahinter stand. Laut E-Mail wurde mit ~130Mbyte/s geddost. Immer 1000 Pakete mit 40000 Bytes.
    zu dem script: Checkt alle 60Sek die Verbindungen in bannt alles für 30min was mehr als 60 Verbindungen offen hat.


    Das ist, ehrlich gesagt, Unfug zur Abwehr dieses Angriffs sowie fast jedes anderen Angriffs. Netcup sagt, Du nutzt zu viel Bandbreite auf der (geteilten) Hardware. Daher müsste das Script vor dieser Hardware Verbindungen verhindern. Also brauchst Du eine/mehrere dedizierte NICs und dahinter die (v)Server-Infrastruktur um mit dem Traffic fertig zu werden.

    Zitat von 03simon10

    Und das Script wird trotzdem mehr bringen, als wenn man kein Script hat.

    Nochmal: Das ist schlicht falsch. Ist sicher nicht verkehrt sowas zu haben, bei Angriffen ab einer bestimmten Größe ist es trotzdem wirkungslos. Grund steht in mehreren vorangegangenen Posts.

    Zitat von 03simon10

    Der MC Server wird wachsen, so auch die eintreffenden Angriffe...

    Achso, weil DDoS-Angriffe immer proportional zur Bekanntheit eines Gameservers zunehmen? Im Ernst, was für eine Logik soll denn hinter dieser Aussage stehen? Abgesehen davon ist ein Angriff einer Größe, bei der der kostenlose DDoS-Filter von Netcup an seine Grenzen stoßen würde, wohl kaum von ein paar Skriptkiddies zu erwarten.

    Naja... Wenn mehr leute vom Gameserver wissen, gibt es auch mehr Leute, die ihn nicht mögen und darunter immer mehr "böse" Leute.


    Ein unbekannter zB 4 Slot Server wird wohl nicht so oft angegriffen, wie ein 20.000Slot Netzwerk, welches bekannt ist...



    Diese "Skriptkiddies" haben es gestern geschafft, dass meine IP genullroutet wurde ^^

    Zitat von 03simon10

    Und das Script wird trotzdem mehr bringen, als wenn man kein Script hat.


    Du missverstehst da etwas. Beim Angriff handelt es sich wahrscheinlich um UDP-Pakete. Wie Du wahrscheinlich weißt, handelt es sich dabei um ein Protokoll, bei dem kein Verbindungsaufbau notwendig ist. Der Angreifer kann Dich also schön mit Paketen (vielleicht sogar mit gefälschten Source-IP-Adressen) zumüllen, er braucht auf keinerlei Antwort zu warten. Das ist ihm auch völlig egal, weil er einfach Deine Leitung vollständig füllen möchte, bis nichts mehr durchgeht, oder eine beteiligte Hardware ans CPU Limit kommt.


    Es bringt also rein gar nichts, wenn Dein Server nicht mehr auf die Pakete reagiert, da er Dich trotzdem weiter mit Datenmüll bombardiert! ;)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Zitat von killerbees19

    Du missverstehst da etwas. Beim Angriff handelt es sich wahrscheinlich um UDP-Pakete. Wie Du wahrscheinlich weißt, handelt es sich dabei um ein Protokoll, bei dem kein Verbindungsaufbau notwendig ist.


    Das ist zwar leicht nützlich für diesen Angriffstyp, leider jedoch nicht Voraussetzung. Mit ausreichend Ressourcen kann ich Deine Leitung auch TCP-SYN flooden. Auch hier nutzt das Skript wieder nichts.