BF42 Server-Querys

[Sven 134]

Habs gerade gesehen, irgendwie ist das noch bei Google im Cache, der Server scheint umgezogen zu sein.

[Sven 134]

Ich sehe gerade, es sind einige Server, bei denen das so ist.

[Oldtime 0]

Habs gerade gesehen, irgendwie ist das noch bei Google im Cache, der Server scheint umgezogen zu sein.

Das war auf jeden Fall bis vor ein paar Tagen noch deren Server. Hab die Seite über Google chache geöffnet. Das Abbild ist vom 9. Jan. 2011 04:19:56 GMT und da ist der Server noch ganz normal drin. Vielleicht haben die den abgeschaltet, weil er ruckelte, da der server die ganze Zeit damit beschäftigt war unsere Lahmzulegen.

Denn das Problem hatten wir ja auch schon vor dem 09.01.2011. Auch wenn man jetzt nicht hundertprozentig sagen kann, dass es auch damals das gleiche Problem war.

Wenn jemand von euch gut englisch kann, kann er ja dort mal anfragen, was aus dem Server geworden ist. Vielleicht ist der ja noch in deren Besitz und flutet jetzt lustig vor sich hin. Ich brech mir bei englischen anfragen immer einen ab.

http://dovgaming.net/forums/index.php

[Jeronimo 0]

Guter Hinweis, das. Ein zweiter Server im selben 24-Bit-Subnetz (66.150.214.94:27015) schein ja sogar noch aktiv zu sein...

[Stefan1990 0]

hoffe die bekommen das demnächst hin....

[gonzo_the_great 0]

unsere server laufen seit gestern ohne probleme bei geaendertem gamespyport. dennoch ist ein blocken der "angreifer" per firewall besser. leider bekomme ich das lua skript nicht zum laufen um eventuelle attacken erkennen zu koennen.

der demoserver ist seit 23:01 wieder sichtbar, dort kann man den gamespy nicht aendern. fragt der server 66er denn noch ab?

[Jeronimo 0]

Du kannst es ja auch mit Wireshark oder MS Network Monitor prüfen, sofern du die auf eurem Server zum Laufen kriegst?

Nach einem kurzen Check auf unserem Server scheint sich's erledigt zu haben - HLSW muss ich heute abend mal prüfen.

edit: HLSW zeigt weiterhin Timeouts...

[HerrRossi 0]

Ich habe mal den Support von NFOservers.com angeschrieben, um zumindest abzuklären, ob die Source IP evtl. nicht einfach nur gefaked ist. Der Verweis des Supports auf einen entsprechenden Thread in deren Forum läßt mich vermuten, dass sie eben genau davon ausgehen. Ein wirklich konkretes "Das ist nicht unser Server" habe ich allerdings nicht erhalten.

[Jeronimo 0]

Jo, schöner Mist...

http://www.nfoservers.com/forums/viewtopic...f=25&t=4960

Die Info hab ich von Grabbi (PFC) bekommen, der das wohl in Erfahrung gebracht hat:

http://www.pixel-fighter.com/modules.php?n...opic&t=4122

"Kurz und knapp" funzt das ganze so:

1. Der "Böse" liest von gamespy die Liste der aktiven BF42-Internet-Server aus.

2. An alle diese schickt er nun UDP-Pakete an den Query-Port mit dem Inhalt "\\players\\status\\packets\\rules\" - sprich, er fragt alles ab, was nur irgendwie möglich ist. Das Anfragepaket ist damit etwa 50 Byte klein. Bei einem etwas volleren Server hat das entsprechende Antwortpaket locker schon die 10- bis 20-fache Größe.

3. Bevor er die Anfragepakete rausschickt, ändert er im IP-Paket den Wert der Absender-IP auf die des eigentlichen Opfers: 66.150.214.185

4. Der BF42-Server erhält das Anfragepaket, generiert daraufhin das (deutlich größere) Antwortpaket und schickt es an die vermeintliche Quelle der Anfrage zurück: 66.150.214.185.

5. Die Folge davon ist, dass die Leitung des Servers mit der betreffenden IP komplett überlastet ist. Das war ursprünglich ein CSS-Server des DOV-Clans (wie Oldtime herausfand). Laut Aussage des Admins dort wurde denen daraufhin von NFO (dem Serverhoster) eine neue IP zugeteilt - daher ist die 66.150.214.185 jetzt auch nicht mehr bei DOV im Forum zu finden.

DOV bzw. NFO sind also die Opfer, alle BF42-Server quasi "Mittäter", und der eigentliche Übeltäter sendet derweil gemütlich weiter seine gespooften UDP-Pakete ins Internet an alles, was ihm von gamespy so angeboten wird.

Rauszukriegen, wo die gespooften Pakete tatsächlich herkommen, scheint offenbar äußerst schwierig zu sein. Das im NFO-Forum erwähnte "reverse path filtering" verhindert quasi, dass der durchschnittliche Heimanschluss sowas durchziehen kann, sprich Telekom und co. prüfen also, bevor sie die Pakete rausschicken, ob sie wirklich aus ihren IP-Netzen kommen. Das macht aber leider offenbar nicht jeder so...

Um die BF42-Server wieder lauffähig zu kriegen reicht definitiv, die besagte IP zu bannen bzw. überhaupt den Traffic regelmäßig mal zu überprüfen, ob was auffällig ist.

Für das Ziel des DRDoS können wir aber sicher weniger tun, da man leider nicht alle BF42-Serveradmins erreichen wird, geschweige denn, dass diese dann alle auch noch genügend Know-How haben, die IP zu filtern...

So long...

[HerrRossi 0]

Ich vermute mal, dass sobald die IP die Runde gemacht hat, der kleine Hosenscheisser von Hacker die Source-IP ändern wird. Vielleicht sollten wir uns daher besser mal eine iptables Regel basteln, die auf die Anzahl der Anfragen reagiert. Ich hatte mir sowas mal fuer den ssh port gebastelt, muesste es aber nochmal raussuchen. Auf lange Sicht stehen wir damit sicherlich besser da als nur mit dem Blocken einer einzelnen IP.

[Rainer Wahnsinn 0]

Da DOV offensichtlich alle Server beim selben Serveranbieter gemietet haben wird der Angreifer immer eine IP von NFOServers faken. Wenn die BF42-Server nicht die eigentlichen Angriffsziele sind wird er mit einer anderen gefaketen Adresse nichts anfangen können. Somit sollte es vorerst doch ausreichen, wenn man die komplette IP-Range des Anbieters blockt. Zumindest fällt mir kein Grund ein, warum einer unserer Server direkt mit den Servern des Anbieters kommunizieren müsste. Mittelfristig müssen wir uns aber wohl darauf einstellen, dass dieses Vorgehen in Mode kommt.

[HerrRossi 0]

OK, in dem Fall wird dann wohl echt die eine IP reichen. Trotzdem könnte auf lange Sicht eine Regel, die schlichtweg die Anzahl der Anfragen beschränkt, etwas robuster sein.

Damit wäre man dann auch für die Zukunft gegen ähnliche Angriffe abgesichert.

[Sven 134]

Daher werden auch manchmal diese Minilags kommen, wenn man auf irgendeinem Server spielt. Ist natürlich blöd, daß die Serversoftware nicht blockiert, wenn mehrere UDP-Anfragen pro Sekunde kommen, sondern brav versucht, diese zu beantworten, aber damit hat damals wohl niemand gerechnet.

Warum macht der dämliche Cracker das nicht mit BFBC2 und läßt uns in Ruhe?

[Jeronimo 0]

Genau die Frage hab ich mir auch schon mehrfach selbst gestellt xD

Immerhin hat kein Clan Rootrechte auf ihren BC2-Servern, sodass ein IP-Ban gar nicht erst möglich wär, sofern sowas nicht in der Managementsoftware des Spiels direkt integriert ist.

Des Weiteren könnte er die Pakete an die BC2-Server viel besser verteilen, da das viel mehr sind. Es würde am einzelnen Server damit vielleicht gar nicht auffallen (so wie uns hier), sodass auch niemand nach der Ursache suchen würde... Aber ich will gar nicht erst wissen, was an anderen Spieleservern derartiges vielleicht tatsächlich schon so los ist x/

[Rainer Wahnsinn 0]

Tja, vielleicht scheut er sich ein wenig davor, Sich mit den Ranked-Server-Providern anzulegen

Oder die Serversoftware von BC2 verfügt doch über einen Schutz gegen solche Aktionen ... who knows ...