News Battlefield 1942 BF 1942: DDoS-Angriffe auf aktive Server [Update]
Battlefield 1942

BF 1942: DDoS-Angriffe auf aktive Server [Update]

BF 1942: DDoS-Angriffe auf aktive Server [Update]
von Sven 26.01.2011 34 Kommentare

Seit Tagen tauchen im Bereich Battlefield 1942 immer die gleichen Probleme auf: Die Server werden im internen oder externen Serverbrowser nicht gefunden und wenn, dann ist oft der Ping hoch, oder es wird Timeout angezeigt. Wenn man dann spielt kommt es unregelmäßig zu Minilags. Die Symptome sind vielfältig und haben wohl auch zur Folge, dass manche Server leer sind, weil sie nicht mehr gefunden werden. Im Servertool HLSW ist sehr gut sichtbar, dass bei den Servern, die gerade betroffen sind, die Auslastung zu fast 100% und damit rot angezeigt wird (Cursor auf den Server).

DDoS-Attacken Nun haben einige Betreiber, die auch hier im Forum mitlesen, die Sache unter die Lupe genommen und zuallererst herausgefunden, dass die Server eine hohe Zahl von Anfragen auf Port 23000 (dem Gamespyport, auf dem normalerweise abgefragt wird, was auf dem Server läuft), den Server lahmlegen. Nachdem das bei allen Servern gleich war und die Attacken kurzeitig aufhörten, wenn der Port zum Beispiel auf 22000 oder 23001 geändert wurde wurde untersucht, ob man herausfinden kann, woher die Attacken kommen. Das Ändern des Portes ist aber nur einen schneller "hotfix", weil die Attacke fest auf zuvor gescannte Ports läuft und durchaus angepasst werden kann.

Gekaperter Server? In der Diskussion hat sich dann herausgestellt, dass die Attacke von einer festen IP (66.150.214.185) kommt, auf der bis vor kurzem noch ein CS:S Server lief. Zumindest im Google-Cache ist das noch sichtbar. Zur Zeit hilft deshalb gegen die Attacke eine gezielte Blockung dieser IP in den Firewallregeln des Servers. Scheinbar wird vom Angreifer gezielt nach aktiven Servern über diverse Server-Suchseiten und mittles Tools (z.B. gslist) gesucht und dann der Reihe nach an diese massive Serveranfragen mit gefälschten Absender-IPs geschickt, die der Server natürlich versucht, zu beantworten, sich dabei aber mächtig verschluckt.

Ernstes Problem auch rechtlich gesehen Das Problem scheint zuerst nur die Server und Spieler darauf zu betreffen, wie aber aus dem verlinkten Artikel bei heise.de hervorgeht (der ist schon aus dem Jahre 2003!), ist es schwerwiegender: Mittels der gefälschten (gespooften) Absender-IP kann man die Server dazu bringen, ihre Antworten an diese IPs zu senden und wenn das gleichzeitig von mehreren Servern aus passiert, kann man damit auch diese IPs lahmlegen, also einen ganz anderen Internet-Server oder auch einen Benutzer. Die Spieleserver werden quasi zu einer DDoS-Attacke mißbraucht und schlimmstenfalls kann der Spiele-Serverbetrieber zur Verantwortung gezogen werden, wenn sich eine der attackierten IPs sich dagegen wehrt.

Update: Attacken setzen aus Wie es der Zufall will, scheinen die Attacken kurz vor Veröffentlichung dieser News verebbt zu sein. Dennoch stellt diese Attacke unter Beweis, wie verwundbar selbst die Battlefield 1942 Server, welche losgelöst von EAs Kontoservern existieren, gegenüber Angriffen sind.

Thx Jeronimo

Update: neues Ziel - ein Mailserver Wie es scheint, haben die Angriffe ein neues Ziel, die IP 208.86.154.248, die zu einem Mailserver in den USA gehört.

Links und Quellen
Mehr zum Thema Battlefield 1942
Schlagwörter
battlefield 1942 ddos gamespy
Kommentare
26.01.2011 09:42 Rupert_The_Bear
Das kappiere ich nie, wieso manche Leute einfach darauf aus sind, anderen mindestens den Spass zu ruinieren, wenn nicht gar finanziell oder rechtlich zu schaden.
Fängt bei Cheatern an, hört bei solchen Hackern auf. Sowas gehört einfach nur gesteinigt und zwar mit großen Felsen. -.-
26.01.2011 09:52 Poow
Update: Attacken scheinen momentan nicht mehr zu laufen.
26.01.2011 10:01 Jeronimo
!!! Mir war in meinem Beitrag ein Fehler bei der IP unterlaufen - die ist 66.150.214.185, also mit 185 statt 18 im 4ten Octett. Ist im Forum und hier bereits behoben (thx Poow).

Jo, seit heute morgen scheinbar alles wieder normal. Hoffen wir, dass es dabei bleibt...
26.01.2011 10:08 Sven
Nun, die Frage ist, ob demnächst eine andere IP dran ist. Wahrscheinlich haben die bemerkt, daß man ihnen auf die Schliche gekommen ist.
26.01.2011 10:10 =kettcar=
Die CS´ler greifen BF an?
26.01.2011 10:50 Corsair
Schon traurig das jetzt sogar Spiel-Server "gekapert" werden.
26.01.2011 11:23 Gast
wie Schwerverbrecher sollte man diese Typen behandeln, denn was haben die eigentlich davon, anderen den Spielspaß zu verderben???
26.01.2011 12:27 pnshr
dumme scriptkiddies... pc wegnehmen
26.01.2011 12:33 Gast
Was bringt das ganze BF42 Server anzugreifen ? Das Spielen doch eh nur noch Liebhaber. Bei BF2 oder BC2 könnte ich das ja noch verstehen aber bei BF42 ?

Sehr merkwürdig das ganze.
26.01.2011 12:37 nochmagraf
aber wenn man die ip doch hat, warum greift man sich den bengel nicht?

verstehe ich auch nicht warum man bf42 server angreift, wenn es denn ein angriff war...

aber wenn son 12jähriger rotzbengel mal was testen wollte ohne gleich größeren schaden anzurichten, dann sucht er sich was "kleines"
26.01.2011 12:53 Jeronimo
Die IP des Täters hat man eben leider nicht. Das, was man hat, ist die gespoofte IP, die der Täter in seine Pakete als Absenderadresse einträgt, damit die BF42-Server ihre Pakete dorthin zurückschicken und den betreffenden Server lahmlegen. Das Ziel mit dieser IP kann für den Angriff aber genauso wenig, wie die zum lahmlegen missbrauchten Gameserver.

Den Ursprung der gespooften Pakete zu finden würde ein aufwendiges Tracken erfordern, wo Informationen sämtliche Internet-Rooter, die dazwischen stehen, benötigt würden... erscheint mir auf den ersten Blick äußerst schwierig :/

Die Vorgehensweise zum DoSn der Ziel-IP war definitiv nicht die sinnvollste, da weniger Anfragen pro Gameserver dazu auch gereicht hätten, gleichzeitig aber nicht dazu geführt hätten, dass es an den Gameservern auffällt...
26.01.2011 13:14 OG Hase
Tja BF 1942 ist halt immer noch so populär dass es quasi bekämpft werden "muss" aus der Sicht gewisser Kreise - Ihr Zocker sollt doch andere Spiele kaufen und spielen! Sabotage und eine gezielte Aktion - und ja nicht die erste! Aber meiner Begeisterung und Treue wird es keinen Abbruch tun! BF 1942 forever! :-)
26.01.2011 13:25 Gast
Wie jetzt EA will BF42 abschießen damit sich BF3 besser verkauft :blink:
26.01.2011 13:36 Gast
Wo ich das im Forum gelesen war es mein erster gedanke das EA/Gamespy dahinter steckt! Erstmal alle vergraulen bzw. es unspielbar machen und dann sagen wegen mangelndem Intessere von Seiten der Spieler haben wir uns entschlossen den Server abzustellen!
26.01.2011 14:06 Chup
tja haters gonna hate.
26.01.2011 14:19 Sven
@Weap, @nochmagrafi: Lest mal den Heise-Artikel, das hat mit BF42 nicht viel zu tun, die benutzen die Spieleserver nur, um damit andere Server lahmzulegen, weil das relativ einfach ist und die eigentlichen Verursacher versteckt. Das geht auch mit anderen Spieleservern.

Ich denke auch, die IP, die genannt wurde, war gekapert (und ist vermutlich inzwischen abgeschaltet, weil wohl seit heute Ruhe ist). Nun ist es eine Frage der Zeit, bis das das nächste Mal passiert, denke ich.
26.01.2011 14:52 nochmagraf
aha, thx für die info
26.01.2011 15:15 Gast
Das EA auf die anfrage von PivX nicht reagiert hat wundert mich nicht. Die Masterserver sind ja nicht ihre Baustelle sondern die von Gamespy. Ich hoffe das Gamespy den Hotfix bald fertig stellt damit der Spuk bald vorbei ist.
26.01.2011 15:32 CamelNele
CS gegen BF ?? Was denken die sich denn, wir haben doch U-Boote !!1!

Hiermit verfluche ich den Täter zu einem ganzen weiteren Leben ohne Sex !
26.01.2011 16:27 fenderkicker
sehr kompetente news!
wie immer: danke für die berichterstattung.
26.01.2011 18:11 Playa3994
die cs leute sin nur auf die community eifersüchtig
26.01.2011 18:19 -l*sputnik-
das glaub ich jetzt weniger...
versteh nich warum immer wieder auf dem mod-urgestein rumgehackt wird. cs hat im gaming- bzw. fps-bereich geschichte geschrieben. so bin ich zu mp-shootern gekommen und letztendlich au zu bf
26.01.2011 18:31 Creep
Bei mir war es umgekehrt, durch BF auf CS:S gekommen ^.^
Hm! Schon fies was der eine oder andere so in seiner Freizeit verzapft. Egal ob es ein Game-Server, Webseite oder sonst was betrifft es ist jedesmal ein ärgernis. Pfui, Pfui und nochmal Pfui!
26.01.2011 18:47 Battle-F-15
Mhh, klingt heftig.
26.01.2011 18:49 Newsleser
Vielleicht hat sich der Hacker ja in der IP geirrt und ausvershen BF1942 lahmgelegt, deswegen hat das auch aufgehört :D
26.01.2011 19:57 Th3Z0n3
ich glaube kaum, das "hacker" so was machen.

waren sicherlich irgendwelche kiddies.....
26.01.2011 21:16 Gast
DAS WAR DOCH BESTIMMT WIEDER SON FETTES KIND AUFM SOFO DAS NIX ZU TUN HAT

echt mal ich hasse sone leute das ist betrug wenn du das mit der Bank machst bist du drann !!!! also einspeeren sone leute !!!!!

BF42 ist das geilst überhaupt :D
26.01.2011 21:37 JackONeill
Hoffentlich passierts nicht noch einmal. Vllt. wird ja auch von Gamespy irgendwas dagegen unternommen.
27.01.2011 08:01 Sven
Das war kein Hacker oder Scriptkiddie, denke ich und in dem Heise-Artikel von 2003 wird ein solches Szenario auch genau beschrieben. Auch wird mit Sicherheit kein Update für die alten Spiele mehr kommen, leider. Und das wird sicher wieder passieren, denn einfacher kann man den Urheber eines solchen Angriffes auf Dritte nicht verschleiern. Ich schätze mal, das war ein Test, ob das bemerkt wird und das nächste Mal machen die weniger Abfragen pro Zeiteinheit und dann merkt das keiner.
27.01.2011 18:27 gonzo_the_great
nur um das nochmal klazustellen: ein vermutlich auf dem cs-server gebannter spieler hat die bf42-server benutzt um einen angriff gegen o.g. server auszufuehren. dabei hat er sich ziemlich dumm angestellt, so dass die "angreifenden" bf-server ebenfalls beeintraechtig waren. hier im forum gibt es mehr darueber zu lesen.
27.01.2011 18:54 alterRasierschaum
Meine Freileitung spinnt immer wieder, vor allem bei dem Wetter, dacht schon dass da wieder irgendwo ein Krähennest entsteht...

@Spielverderber: Vierteilen und den Geiern zum Frass vorwerfen oder die Eier verdrahten und über ein öffentlich zugängliches Browserinterface nach belieben unter Strom setzen :ugly:
27.01.2011 19:57 Creep
"Eier verdrahten und über ein öffentlich zugängliches Browserinterface nach belieben unter Strom setzen" Glaub da müsste direkt noch ein oder zwei kraftwerke mehr gebaut werden um bei den ansturm nicht zusammen zu brechen ^.^
27.01.2011 20:30 Nightmare
Wisst ihr was?
Das ist mir alles Wumpe für die nächsten 2-3 Monate, denn ich kehre zu den Wurzeln meiner ersten 3 D Shooter und auch Modding erfahrungen in ein paar Wochen zurück.
Was zu einer Zeit war als Geordon Freeman noch als Kind in den Windeln war und Black Mesa noch nicht gebaut, als BF noch ein feuchter Traum war von Leuten (die meistens Simulatoren oder sowas wie Strike Commander oder Wing Commander spielten) die sich zu Lande zu Wasser in der Luft und das in einem First Person wünschten, mit Waffen die so eigentlich in keinem bekannten Spiel danach vor kamen (ok unreal tournament kam einige Jahre später na ran) und wo viele von euch so leit es mir tut das sagen zu müssen, gerade mal lesen und schreiben lernten.
Ich rede von einem Spiel das indiziert war und bis heute ist und es vermutlich wenn man es so umsetzt wie es war, auch wieder sein wird. (Zumindest in Deutschen Landen, obwohl es dort nur gegen Aliens geht)

Aber hey ich freu mir darauf jetzt schon ein Eis weil einfach meine Erwartungen nicht die höchsten sind, es reicht schon so cool wie damals + ein klein bisschen mehr bei halbwegs aktueller Grafick. (so BF2 Niveau reicht da schon vollkommen).
27.01.2011 22:13 Buggy McDermit
Wolf3D [1992] oder Doom [1993] fallen wohl raus, da du vermutlich Duke Nukeem meinst das ist aber erst 1996 erschienen [jedenfalls in 3D] ;-)