Warm anziehen: DoS-Angriffe über Game-Server Kostenfalle!!

Lesenswerte Artikel, Anleitungen und Diskussionen
doc
Posts: 80
Joined: 2003-01-02 05:47
Location: Mainz

Warm anziehen: DoS-Angriffe über Game-Server Kostenfalle!!

Post by doc » 2003-01-18 20:17

Diesen Artikel sollte man sich mal zu Gemüte führen:


DoS-Angriffe über Game-Server gefährden Internet-Nut
http://www.heise.de/newsticker/data/ju-18.01.03-001/

Ein paar Zitate:
"Das Konzept der Angriffe ist so einfach, dass man sich fast schon fragt, warum diese Gefahr nicht schon früher erkannt wurde. "

"So kann ein Angreifer selbst mit einer verhältnismäßig schmalbandigen Internet-Verbindung enorme Datenmengen in Richtung seines Opfers lenken. Nach einer Beispielrechnung von PivX genügt eine Modemverbindung mit 56 KBit/s, um zwei T1-Standleitungen mit jeweile 1,56 MBit/s so zu überfluten, dass nichts mehr geht."

"Das Opfer eines solchen DoS-Angriffs kann sich nicht einmal mit einer Firewall dagegen schützen"

" muss sich die Internet-Gemeinde auf eine Welle von Angriffen gefasst machen, die bisherige DoS-Attacken harmlos erscheinen lassen."

kase
RSAC
Posts: 1041
Joined: 2002-10-14 22:56

Re: Warm anziehen: DoS-Angriffe über Game-Server Kostenfalle!!

Post by kase » 2003-01-18 21:26

scheinbar erscheint dieser Artikel jetzt in jedem Forum :D :D

Nur leider kann man dagegen 0,nix machen, wie übrigens auch in dem Artikel steht.

lambras
RSAC
Posts: 90
Joined: 2002-05-29 16:35
Location: Frankfurt am Main

Re: Warm anziehen: DoS-Angriffe über Game-Server Kostenfalle!!

Post by lambras » 2003-01-18 21:49

Klar doch, UDP-Port firewallen und/oder Gameserver so lange runterfahren, bis der Hersteller das Problem in den Griff bekommen hat.
Ohne weitere Massnahmen wuerde ich keinen Gameserver momentan anbieten.

doc
Posts: 80
Joined: 2003-01-02 05:47
Location: Mainz

Re: Warm anziehen: DoS-Angriffe über Game-Server Kostenfalle!!

Post by doc » 2003-01-18 22:12

LamBras wrote:Klar doch, UDP-Port firewallen und/oder Gameserver so lange runterfahren, bis der Hersteller das Problem in den Griff bekommen hat.
Ohne weitere Massnahmen wuerde ich keinen Gameserver momentan anbieten.
Darum ging es mir z.B. auch. Ist bei 1und1 UDP möglich oder kann man wenn ja die dazu bewegen aus Sicherheitsgründen im Bedarf dichtzumachen.

Wen trifft die Verantwortung im Falle?

floschi
Userprojekt
Userprojekt
Posts: 3388
Joined: 2002-07-18 08:13
Location: München

Re: Warm anziehen: DoS-Angriffe über Game-Server Kostenfalle!!

Post by floschi » 2003-01-18 22:56

Doc wrote:Ist bei 1und1 UDP möglich oder kann man wenn ja die dazu bewegen aus Sicherheitsgründen im Bedarf dichtzumachen.
Warum sollten die Ports dichtmachen, die andere vielleicht brauchen?
Doc wrote:Wen trifft die Verantwortung im Falle?
Den Serverbetreiber, wen denn sonst?

kase
RSAC
Posts: 1041
Joined: 2002-10-14 22:56

Re: Warm anziehen: DoS-Angriffe über Game-Server Kostenfalle!!

Post by kase » 2003-01-18 23:55

LamBras wrote:Klar doch, UDP-Port firewallen
Das Opfer eines solchen DoS-Angriffs kann sich nicht einmal mit einer Firewall dagegen schützen, da diese die Pakete erst verwirft, nachdem sie bereits übertragen wurden
Des weiteren können die Provider natürlich präventiv tätig werden und Pakete mit offensichtlich gefälschten Absenderadressen verwerfen -- was zum Teil auch schon geschieht.

floschi
Userprojekt
Userprojekt
Posts: 3388
Joined: 2002-07-18 08:13
Location: München

Re: Warm anziehen: DoS-Angriffe über Game-Server Kostenfalle!!

Post by floschi » 2003-01-19 10:29

Warum beschweren sich eigentlich alle, das die Provider handeln müssten?

Wer einen Gameserver betreibt, der unsicher ist, ist doch der eigentliche Schuldige. Wenn es jetzt rausgekommen ist, dass 90% aller Gameserver zur Zeit nicht internetfähig sind, weil große Sicherheitslücken da sind, ist doch die Konsequenz nicht, dass die Provider handeln müssen, sondern die Gameserverbetreiber ihre Kisten abschalten sollten.

Ich sehe da kein Problem.

ghaslbe
Posts: 12
Joined: 2002-08-30 12:05
Location: Minga

Re: Warm anziehen: DoS-Angriffe über Game-Server Kostenfalle!!

Post by ghaslbe » 2003-01-19 13:23

gibts/gabs eigentlich irgendwo hier eine umfrage/Statistik was die rootserverbesitzer die sich auch hier rumtreiben so mit ihren servern machen?

Wär mal ganz interessant.

frosty
Posts: 123
Joined: 2003-01-06 17:42
Location: Heilbronn

Re: Warm anziehen: DoS-Angriffe über Game-Server Kostenfalle!!

Post by frosty » 2003-01-19 13:49

meine fresse, was macht ihr euch sorgen?

es gibt weiss gott größere sicherheitslöcher welche ausgenutzt werden können. falls ihr auf nummer sicher gehen wollt limitiert auf eurem server den traffic

wenn z.B. auf einem server 100 slots laufen hat man bei vollauslastung etwa 450k/sec
alles was drüber geht sollte gnadenlos geblockt werden. primär haben wir uns für einen solchen schutz entschieden damit der server nicht als ftp o.ä. missbraucht wird

kase
RSAC
Posts: 1041
Joined: 2002-10-14 22:56

Re: Warm anziehen: DoS-Angriffe über Game-Server Kostenfalle!!

Post by kase » 2003-01-19 14:00

wie limitiert man denn die Bandbreite seinen Servers auf zB 500 kb/s ???

frosty
Posts: 123
Joined: 2003-01-06 17:42
Location: Heilbronn

Re: Warm anziehen: DoS-Angriffe über Game-Server Kostenfalle!!

Post by frosty » 2003-01-19 16:21

wir haben es in den port einstellungen des switches reduziert, eine softwarelösung via firewall ist aber ebenfalls möglich

majortermi
Userprojekt
Userprojekt
Posts: 930
Joined: 2002-06-17 16:09

Re: Warm anziehen: DoS-Angriffe über Game-Server Kostenfalle!!

Post by majortermi » 2003-01-19 17:58

kase wrote:wie limitiert man denn die Bandbreite seinen Servers auf zB 500 kb/s ???
Das lässt sich (glaube ich) mit QoS realisieren.
Erst nachlesen, dann nachdenken, dann nachfragen... :)
Warum man sich an diese Reihenfolge halten sollte...

jtb
Posts: 599
Joined: 2002-08-18 16:41
Location: Darmstadt

Re: Warm anziehen: DoS-Angriffe über Game-Server Kostenfalle!!

Post by jtb » 2003-01-19 18:32

die Bandbreite kann man durch einen s.g. Traffic-Shaper begrenzen..

siehe: http://www.tldp.org/HOWTO/Net-HOWTO/x1416.html

User avatar
nyxus
RSAC
Posts: 697
Joined: 2002-09-13 08:41
Location: Lübeck

Re: Warm anziehen: DoS-Angriffe über Game-Server Kostenfalle!!

Post by nyxus » 2003-01-19 22:03

Jtb wrote:die Bandbreite kann man durch einen s.g. Traffic-Shaper begrenzen..
Das lässt sich (glaube ich) mit QoS realisieren.
Es geht hier um UDP-Traffic, nicht TCP! Sieht also schlecht aus ...


Gruß, Nyx

banshy
RSAC
Posts: 16
Joined: 2002-07-11 20:10

Re: Warm anziehen: DoS-Angriffe über Game-Server Kostenfalle!!

Post by banshy » 2003-01-19 23:33

Doc wrote:... Ist bei 1und1 UDP möglich oder kann man wenn ja die dazu bewegen aus Sicherheitsgründen im Bedarf dichtzumachen ...
lol :p
Doc wrote:Wen trifft die Verantwortung im Falle?
Vielleicht kannste den Software-Publishern Fahrlässigkeit nachweisen und sie dann in den USA zu Millionen von $$$ Schadensersatz verklagen - aber in Deutschland würde ich mal sagen sieht das schlecht aus.
Du kannst hier eigentlich nur den Verklagen der den Angriff gestartet hat und den findest du ja gerade nicht.

doc
Posts: 80
Joined: 2003-01-02 05:47
Location: Mainz

Re: Warm anziehen: DoS-Angriffe über Game-Server Kostenfalle!!

Post by doc » 2003-01-20 02:31

banshy wrote:
Doc wrote:... Ist bei 1und1 UDP möglich oder kann man wenn ja die dazu bewegen aus Sicherheitsgründen im Bedarf dichtzumachen ...
lol :p
Doc wrote:Wen trifft die Verantwortung im Falle?
Vielleicht kannste den Software-Publishern Fahrlässigkeit nachweisen und sie dann in den USA zu Millionen von $$$ Schadensersatz verklagen - aber in Deutschland würde ich mal sagen sieht das schlecht aus.
Du kannst hier eigentlich nur den Verklagen der den Angriff gestartet hat und den findest du ja gerade nicht.
Vergiss es. Ich hatte mal (meine Server stehen bei Tiscalli einen Angriff aus dem dänischen Forschungsnetz, wo 2000 Win PCs, die ne Sicherheitslücke gehabt haben gefeuert haben. 8mbit/sec. Dort hat man sehr schnell reagiert und nach 2 Stunden das dänische Netz zentral gesperrt bis zur Klärung am nächsten Tag. Aber wenn bei 1und1 im Netz tausende Gameserver stehen und plötzlich mal auf die Nachbarn feuern ist alles zu spät.

IP-Spoofing verhindern? Findet das statt? ip verify unicast reverse-path

hmm hab mir ein Exploid besorgt. Funktioniert tatsächlich. Mist. Testet es doch mal gegen Euren eigenen Server durch.

jtb
Posts: 599
Joined: 2002-08-18 16:41
Location: Darmstadt

Re: Warm anziehen: DoS-Angriffe über Game-Server Kostenfalle!!

Post by jtb » 2003-01-20 06:45

Nyxus wrote:
Jtb wrote:die Bandbreite kann man durch einen s.g. Traffic-Shaper begrenzen..
Das lässt sich (glaube ich) mit QoS realisieren.
Es geht hier um UDP-Traffic, nicht TCP! Sieht also schlecht aus ...
sicher??
ein Traffic-Shaper arbeitet doch AFAIK auf einem niedrigeren OSI-Layer als die Protokollschicht..

banshy
RSAC
Posts: 16
Joined: 2002-07-11 20:10

Re: Warm anziehen: DoS-Angriffe über Game-Server Kostenfalle!!

Post by banshy » 2003-01-20 14:13

jops- im endeffekt kann dem ganzen problem NUR so entgegengewirkt werden werden, wie doc es schon gesagt hat.
die pflicht die packete zu überprüfen liegt aber bei den jeweiligen dial-in-providern bzw. carriern (weil es ja anders nicht möglich wäre).

doc
Posts: 80
Joined: 2003-01-02 05:47
Location: Mainz

Re: Warm anziehen: DoS-Angriffe über Game-Server Kostenfalle!!

Post by doc » 2003-01-20 14:19

banshy wrote:jops- im endeffekt kann dem ganzen problem NUR so entgegengewirkt werden werden, wie doc es schon gesagt hat.
die pflicht die packete zu überprüfen liegt aber bei den jeweiligen dial-in-providern bzw. carriern (weil es ja anders nicht möglich wäre).
Ausgehende UDP Pakete werden bei 1und1 gefiltert. Aber nur ausgehende.

User avatar
nyxus
RSAC
Posts: 697
Joined: 2002-09-13 08:41
Location: Lübeck

Re: Warm anziehen: DoS-Angriffe über Game-Server Kostenfalle!!

Post by nyxus » 2003-01-20 21:16

Doc wrote:Ausgehende UDP Pakete werden bei 1und1 gefiltert. Aber nur ausgehende.
aber ganz sicher nicht!


Gruß, Nyx

floschi
Userprojekt
Userprojekt
Posts: 3388
Joined: 2002-07-18 08:13
Location: München

Re: Warm anziehen: DoS-Angriffe über Game-Server Kostenfalle!!

Post by floschi » 2003-01-20 21:20

Tja, wie schon mehrfach gesagt, die derzeit mangels Patches wohl einzige Option ist, sämtliche betroffenen Gameserver sofort vom Netz zu nehmen - doch leider wird wohl niemand so uncool sein.

Also bleibt alles beim alten und die unschuldigen anderen User sind die dummen :(

majortermi
Userprojekt
Userprojekt
Posts: 930
Joined: 2002-06-17 16:09

Re: Warm anziehen: DoS-Angriffe über Game-Server Kostenfalle!!

Post by majortermi » 2003-01-20 21:30

Nyxus wrote:
Doc wrote:Ausgehende UDP Pakete werden bei 1und1 gefiltert. Aber nur ausgehende.
aber ganz sicher nicht!
Er meint nicht, dass ausgehende UDP-Pakete geblockt werden, sondern das von 1&1 Servern aus kein Spoofing erfolgen kann, weil die 1&1 Router überprüfen, ob die Pakete mit der richtigen Absender-Adresse versehen sind. Für eingehende Pakete ist das natürlich leider nicht möglich, aber wenn alle Provider Ihre Router richtig konfigurieren würden, könnte es das gar nicht mehr geben...
Erst nachlesen, dann nachdenken, dann nachfragen... :)
Warum man sich an diese Reihenfolge halten sollte...

doc
Posts: 80
Joined: 2003-01-02 05:47
Location: Mainz

Re: Warm anziehen: DoS-Angriffe über Game-Server Kostenfalle!!

Post by doc » 2003-01-20 21:59

olfi wrote:Tja, wie schon mehrfach gesagt, die derzeit mangels Patches wohl einzige Option ist, sämtliche betroffenen Gameserver sofort vom Netz zu nehmen - doch leider wird wohl niemand so uncool sein.

Also bleibt alles beim alten und die unschuldigen anderen User sind die dummen :(
Vielleicht nicht ganz. Habe mal nachgefragt. Es sieht so aus, wenn ein Gameserver anfängt zu spinnen und aus dem schlund netz kommt, dann lässt sich der verursacher eindeutig identifizieren und auch haftbar machen.

User avatar
nyxus
RSAC
Posts: 697
Joined: 2002-09-13 08:41
Location: Lübeck

Re: Warm anziehen: DoS-Angriffe über Game-Server Kostenfalle!!

Post by nyxus » 2003-01-20 22:07

MajorTermi wrote: Er meint nicht, dass ausgehende UDP-Pakete geblockt werden, sondern das von 1&1 Servern aus kein Spoofing erfolgen kann, weil die 1&1 Router überprüfen, ob die Pakete mit der richtigen Absender-Adresse versehen sind.
achso, das habe ich falsch verstanden. BTW: hat das jemand überprüft?

Aber wie Du schon schreibst hilft einem das eh nichts, die Anfragen an den Server sind ja gespooft und nicht dessen Antworten.


Gruß, Nyx

kase
RSAC
Posts: 1041
Joined: 2002-10-14 22:56

Re: Warm anziehen: DoS-Angriffe über Game-Server Kostenfalle!!

Post by kase » 2003-01-20 23:05

Doc wrote:Vielleicht nicht ganz. Habe mal nachgefragt. Es sieht so aus, wenn ein Gameserver anfängt zu spinnen und aus dem schlund netz kommt, dann lässt sich der verursacher eindeutig identifizieren und auch haftbar machen.
Problem ist nur, dass ja die GameServer die Opfer sind, und nicht die Verursacher...

Wie in dem Artikel beschrieben könnte zB der Verursacher ein 56K Modem User sein...