BF 1942: DDoS-Angriffe auf aktive Server [Update]

Seit Tagen tauchen im Bereich Battlefield 1942 immer die gleichen Probleme auf: Die Server werden im internen oder externen Serverbrowser nicht gefunden und wenn, dann ist oft der Ping hoch, oder es wird Timeout angezeigt. Wenn man dann spielt kommt es unregelmäßig zu Minilags. Die Symptome sind vielfältig und haben wohl auch zur Folge, dass manche Server leer sind, weil sie nicht mehr gefunden werden. Im Servertool HLSW ist sehr gut sichtbar, dass bei den Servern, die gerade betroffen sind, die Auslastung zu fast 100% und damit rot angezeigt wird (Cursor auf den Server).

DDoS-Attacken
Nun haben einige Betreiber, die auch hier im Forum mitlesen, die Sache unter die Lupe genommen und zuallererst herausgefunden, dass die Server eine hohe Zahl von Anfragen auf Port 23000 (dem Gamespyport, auf dem normalerweise abgefragt wird, was auf dem Server läuft), den Server lahmlegen. Nachdem das bei allen Servern gleich war und die Attacken kurzeitig aufhörten, wenn der Port zum Beispiel auf 22000 oder 23001 geändert wurde wurde untersucht, ob man herausfinden kann, woher die Attacken kommen. Das Ändern des Portes ist aber nur einen schneller "hotfix", weil die Attacke fest auf zuvor gescannte Ports läuft und durchaus angepasst werden kann.

Gekaperter Server?
In der Diskussion hat sich dann herausgestellt, dass die Attacke von einer festen IP (66.150.214.185) kommt, auf der bis vor kurzem noch ein CS:S Server lief. Zumindest im Google-Cache ist das noch sichtbar. Zur Zeit hilft deshalb gegen die Attacke eine gezielte Blockung dieser IP in den Firewallregeln des Servers. Scheinbar wird vom Angreifer gezielt nach aktiven Servern über diverse Server-Suchseiten und mittles Tools (z.B. gslist) gesucht und dann der Reihe nach an diese massive Serveranfragen mit gefälschten Absender-IPs geschickt, die der Server natürlich versucht, zu beantworten, sich dabei aber mächtig verschluckt.

Ernstes Problem auch rechtlich gesehen
Das Problem scheint zuerst nur die Server und Spieler darauf zu betreffen, wie aber aus dem verlinkten Artikel bei heise.de hervorgeht (der ist schon aus dem Jahre 2003!), ist es schwerwiegender: Mittels der gefälschten (gespooften) Absender-IP kann man die Server dazu bringen, ihre Antworten an diese IPs zu senden und wenn das gleichzeitig von mehreren Servern aus passiert, kann man damit auch diese IPs lahmlegen, also einen ganz anderen Internet-Server oder auch einen Benutzer. Die Spieleserver werden quasi zu einer DDoS-Attacke mißbraucht und schlimmstenfalls kann der Spiele-Serverbetrieber zur Verantwortung gezogen werden, wenn sich eine der attackierten IPs sich dagegen wehrt.

Update: Attacken setzen aus
Wie es der Zufall will, scheinen die Attacken kurz vor Veröffentlichung dieser News verebbt zu sein. Dennoch stellt diese Attacke unter Beweis, wie verwundbar selbst die Battlefield 1942 Server, welche losgelöst von EAs Kontoservern existieren, gegenüber Angriffen sind.

Thx Jeronimo

Update: neues Ziel - ein Mailserver
Wie es scheint, haben die Angriffe ein neues Ziel, die IP 208.86.154.248, die zu einem Mailserver in den USA gehört.