dos attacke durch gameserver

[frosty]

hallo,

ich habe seit gestern abend das problem das einer meiner cs-server aus unerfindlichen gründen einen anderen server mit dns abfragen bombardiert (und umgekehrt)

hier ein auszug aus tcpdump

02:57:09.453916 62.4.84.202.domain > mein.server.de.27055: 65535 zoneRef NoChange*|% [29301q] 27749/29440/0 (10)
02:57:09.453961 62.4.84.202.domain > mein.server.de.27055: 65535 zoneRef NoChange*|% [29301q] 27749/29440/0 (10)
02:57:09.453992 62.4.84.202.domain > mein.server.de.27055: 65535 zoneRef NoChange*|% [29301q] 27749/29440/0 (10)
02:57:09.454006 62.4.84.202.domain > mein.server.de.27055: 65535 zoneRef NoChange*|% [29301q] 27749/29440/0 (10)
02:57:09.454019 62.4.84.202.domain > mein.server.de.27055: 65535 zoneRef NoChange*|% [29301q] 27749/29440/0 (10)
02:57:09.454029 62.4.84.202.domain > mein.server.de.27055: 65535 zoneRef NoChange*|% [29301q] 27749/29440/0 (10)
02:57:09.454039 62.4.84.202.domain > mein.server.de.27055: 65535 zoneRef NoChange*|% [29301q] 27749/29440/0 (10)
02:57:09.454048 62.4.84.202.domain > mein.server.de.27055: 65535 zoneRef NoChange*|% [29301q] 27749/29440/0 (10)
02:57:09.454059 62.4.84.202.domain > mein.server.de.27055: 65535 zoneRef NoChange*|% [29301q] 27749/29440/0 (10)
02:57:09.454068 62.4.84.202.domain > mein.server.de.27055: 65535 zoneRef NoChange*|% [29301q] 27749/29440/0 (10)
02:57:09.471774 mein.server.de.27055 > 62.4.84.202.domain: 65535 zoneRef NoChange*|% [17736q][|domain] (DF)
02:57:09.471842 mein.server.de.27055 > 62.4.84.202.domain: 65535 zoneRef NoChange*|% [17736q][|domain] (DF)
02:57:09.471895 mein.server.de.27055 > 62.4.84.202.domain: 65535 zoneRef NoChange*|% [17736q][|domain] (DF)
02:57:09.471958 mein.server.de.27055 > 62.4.84.202.domain: 65535 zoneRef NoChange*|% [17736q][|domain] (DF)
02:57:09.472019 mein.server.de.27055 > 62.4.84.202.domain: 65535 zoneRef NoChange*|% [17736q][|domain] (DF)
02:57:09.472068 mein.server.de.27055 > 62.4.84.202.domain: 65535 zoneRef NoChange*|% [17736q][|domain] (DF)
02:57:09.472125 mein.server.de.27055 > 62.4.84.202.domain: 65535 zoneRef NoChange*|% [17736q][|domain] (DF)
02:57:09.472225 mein.server.de.27055 > 62.4.84.202.domain: 65535 zoneRef NoChange*|% [17736q][|domain] (DF)
02:57:09.472329 mein.server.de.27055 > 62.4.84.202.domain: 65535 zoneRef NoChange*|% [17736q][|domain] (DF)
02:57:09.472433 mein.server.de.27055 > 62.4.84.202.domain: 65535 zoneRef NoChange*|% [17736q][|domain] (DF)
02:57:09.493706 62.4.84.202.domain > mein.server.de.27055: 65535 zoneRef NoChange*|% [29301q] 27749/29440/0 (10)
02:57:09.493711 62.4.84.202.domain > mein.server.de.27055: 65535 zoneRef NoChange*|% [29301q] 27749/29440/0 (10)
02:57:09.494008 62.4.84.202.domain > mein.server.de.27055: 65535 zoneRef NoChange*|% [29301q] 27749/29440/0 (10)
02:57:09.494012 62.4.84.202.domain > mein.server.de.27055: 65535 zoneRef NoChange*|% [29301q] 27749/29440/0 (10)

sobald ich den gameserver abstelle ist alles gut, aber sobald dieser aktiv ist macht er 300kb/sec traffic!!!

was kann man hiergegen tun? auf besagter kiste (mein.server.de, name geändert;)) läuft kein dns-server...

[dea]

CS runterschmeißen. Leider sind Gameserver und "Sicherheit" zwei Themen die anscheinend nicht zusammenpassen. Bei UT/UT2k3 sieht's zum Beispiel ähnlich aus :(

[frosty]

das kann aber keine lösung sein zumal es der einzigste von über 20 servern ist wlecher betroffen ist. wenn ich das teil auf n anderen port lege (von 27055 auf 27025) besteht das problem nichtmehr

komisch komisch. die leute von szsoft (auf die ist besagte ip angemeldet) sind auch nicht erreichbar

[majortermi]

Schau mal hier:
http://www.heise.de/newsticker/data/ju-18.01.03-001/

[floschi]

Wie der Link auch besagt:

Wer Gameserver derzeit betreibt, ist selber schuld. Meiner Ansicht nach sollten diese Leute im Schadensfalle generell sämtliche Kosten übernehmen müssen, ähnlich wie bei Unfällen mit Autofahrern und Fußgängern. Anders kapieren die es nicht, leider.

Und erst dann werden sich die ach so tollen Gameserverentwickler hinsetzen und ihre buggy-Software verbessern ;)

[dea]

Danke für Deinen Standpunkt olfi ;)

Ich werd' mich dann freundlich an Dich wenden, wenn es soweit ist ... ;)

[frosty]

jop, der bug ist bekannt. das problem hat man aber mit so ziemlich jedem dienst der UDP nutzt.

ich hab jetzt die bandbreite pro port soweit beschränkt das eine attacke nichtsmehr ausmachen kann...

[grinch]

ich möchte an dieser stelle einfach mal bemerken, dass man in den neuen hlds versionen darauf reagiert hat.. man kann dort nämlich die im heise artikel erwähnte bandbreite beschränken, bzw. die abfragen pro ip.. alle weiteren anfragen werden ignoriert

genauso lassen sich die abfragen insgesamt auch beschränken.. standard ist hier glaub ich 10 pro sekunde.. der nachteil, wenn der server sehr beliebt ist und viele versuchen auf den vollen server zu kommen, dann stellen die soviel abfragen in der sekunde, dass der server dann auf einmal offline zu sein scheint obwohl er einfach nur das limit erreicht hat..

aber ich denke mal jeder einigermassen verantwortungsbewusste gameserver betreiber macht auch gebrauch von diesen möglichkeiten

[rootmaster]

aktuelles zur sicherheit von gameservern, siehe

http://www.cstrike.net/

8)

"back to the roots"

[grinch]

hm.. jo.. die sind scho seit mehrern tagen putt :D

[rootmaster]

hm.. jo.. die sind scho seit mehrern tagen putt :D

war auch eher witzig gemeint und nichts gegen verantwortungsbewusste, selbstkritische gameserverbetreiber ;)

"back to the roots"

[/dev/game]

Code: Select all

ich hab jetzt die bandbreite pro port soweit beschränkt das eine attacke nichtsmehr ausmachen kann...

Würde mich als verantwortungsbewusster, selbstkritischer gameserverbetreiber interessieren wie ich das ganze mit
CS Server und meinem BF1942 Server anstelle

Beide @ Debian woody
CS Steam Beta Server -> kernel-image-2.4.20-grsec-ipv6_01_i386 - DebianHowTo
BF1942 DC .38 Server -> kernel-image-2.6.0-test1_comeandgetsome0815.2_i386.deb - Testkernel

Wäre nett wenn ich da infos bekommen würde

[captaincrunch]

@ /dev/game :
Ganz kurz OffTopic : wie kommst du bisher mit dem DebianHowTo-Kernel klar ?

[/dev/game]

Ach nu weis ich zumindest was er im bezug auf
Counterstrike meint.

Die neuen cvars:

Code: Select all

max_queries_sec 30
max_queries_sec_global 60 
max_queries_window 100

In Sachen BF Server bin ich aber noch nicht weiter.

@ CaptainCrunch

Wunderbar

Habe grade die alte "L" Kiste auch auf
kernel-image-2.4.20-grsec-ipv6_01_i386 - DebianHowTo
"gedowngraded" *lol* der Testkernel war noch nicht so das wahre.

Läuft also auf Rootserver "L" und "XL" einwandfrei stabil
performance ist auch okay.

Wie siehts mit nem 2.4.21-grsec Kernel aus?
So wie ich auf der grsecurity Seite gelesen habe
wird der doch unterstützt und stable ist er mittlerweile auch

Habe aber keinen Plan was ich mit dieser .patch Datei
anstelle 8O

[grinch]

jo genau die cvars hatte ich gemeint..
wie es beim bf server aussieht.. ka, hab ich keinen :(
hatte nur irgendwann mal die beta ausprobiert.. damals hies es aber in der mailinglist dass er (ryan) sowas implementieren wolle.. ob er es denn gemacht hat oder nicht entzieht sich meiner kenntnis.. inwzischen macht ja auch dice am linux server rum..
also ich spekuliere mal, dass sie wohl etwas ähnliches integriert haben.. lässt sich ja theoretisch einfach rausfinden, da es ja scheinbar ein proof of concept gibt.. wenns noch klappt isses nicht integriert :D

aber wie gesagt, ich hab keinen bf1942 server (nicht mal das spiel selber :))

[captaincrunch]

Wie siehts mit nem 2.4.21-grsec Kernel aus?

Den 2.4.21er teste ich jetzt seit ein paar Tagen (aber nur zuhause auf einem Testsystem), und bin bisher eigentlich recht zufrieden, was die Stbilität angeht. Daher ist die Chance, dass es den bald inkl. GRSecurity für's DebianHowTo geben wird relativ groß.

[/dev/game]

@ Captain Crunch

Ich kann ihn auch gerne auf meinem Testsystem in Karlsruhe testen.

[frosty]

@/dev/game

ist n cisco switch, da kann man die bandbreite limitieren.

[dodolin]

ist n cisco switch, da kann man die bandbreite limitieren.

Wenn der Cisco IOS drauf hat, sollte man sich schnellestens hier schlaumachen:
http://www.heise.de/newsticker/data/ju-18.07.03-001/

[dopefish]

bei CatOS siehts auch net besser aus ;)
http://packetstormsecurity.nl/0307-advi ... oCatOS.txt

[mutombo]

tja, das hat cisco nun von ihrer dämlichen werbung :)