Warm anziehen: DoS-Angriffe über Game-Server Kostenfalle!!

[doc]

Diesen Artikel sollte man sich mal zu Gemüte führen:


DoS-Angriffe über Game-Server gefährden Internet-Nut
http://www.heise.de/newsticker/data/ju-18.01.03-001/

Ein paar Zitate:
"Das Konzept der Angriffe ist so einfach, dass man sich fast schon fragt, warum diese Gefahr nicht schon früher erkannt wurde. "

"So kann ein Angreifer selbst mit einer verhältnismäßig schmalbandigen Internet-Verbindung enorme Datenmengen in Richtung seines Opfers lenken. Nach einer Beispielrechnung von PivX genügt eine Modemverbindung mit 56 KBit/s, um zwei T1-Standleitungen mit jeweile 1,56 MBit/s so zu überfluten, dass nichts mehr geht."

"Das Opfer eines solchen DoS-Angriffs kann sich nicht einmal mit einer Firewall dagegen schützen"

" muss sich die Internet-Gemeinde auf eine Welle von Angriffen gefasst machen, die bisherige DoS-Attacken harmlos erscheinen lassen."

[kase]

scheinbar erscheint dieser Artikel jetzt in jedem Forum

Nur leider kann man dagegen 0,nix machen, wie übrigens auch in dem Artikel steht.

[lambras]

Klar doch, UDP-Port firewallen und/oder Gameserver so lange runterfahren, bis der Hersteller das Problem in den Griff bekommen hat.
Ohne weitere Massnahmen wuerde ich keinen Gameserver momentan anbieten.

[doc]

Klar doch, UDP-Port firewallen und/oder Gameserver so lange runterfahren, bis der Hersteller das Problem in den Griff bekommen hat.
Ohne weitere Massnahmen wuerde ich keinen Gameserver momentan anbieten.

Darum ging es mir z.B. auch. Ist bei 1und1 UDP möglich oder kann man wenn ja die dazu bewegen aus Sicherheitsgründen im Bedarf dichtzumachen.

Wen trifft die Verantwortung im Falle?

[floschi]

Ist bei 1und1 UDP möglich oder kann man wenn ja die dazu bewegen aus Sicherheitsgründen im Bedarf dichtzumachen.

Warum sollten die Ports dichtmachen, die andere vielleicht brauchen?

Wen trifft die Verantwortung im Falle?

Den Serverbetreiber, wen denn sonst?

[kase]

Klar doch, UDP-Port firewallen

Das Opfer eines solchen DoS-Angriffs kann sich nicht einmal mit einer Firewall dagegen schützen, da diese die Pakete erst verwirft, nachdem sie bereits übertragen wurden

Des weiteren können die Provider natürlich präventiv tätig werden und Pakete mit offensichtlich gefälschten Absenderadressen verwerfen -- was zum Teil auch schon geschieht.

[floschi]

Warum beschweren sich eigentlich alle, das die Provider handeln müssten?

Wer einen Gameserver betreibt, der unsicher ist, ist doch der eigentliche Schuldige. Wenn es jetzt rausgekommen ist, dass 90% aller Gameserver zur Zeit nicht internetfähig sind, weil große Sicherheitslücken da sind, ist doch die Konsequenz nicht, dass die Provider handeln müssen, sondern die Gameserverbetreiber ihre Kisten abschalten sollten.

Ich sehe da kein Problem.

[ghaslbe]

gibts/gabs eigentlich irgendwo hier eine umfrage/Statistik was die rootserverbesitzer die sich auch hier rumtreiben so mit ihren servern machen?

Wär mal ganz interessant.

[frosty]

meine fresse, was macht ihr euch sorgen?

es gibt weiss gott größere sicherheitslöcher welche ausgenutzt werden können. falls ihr auf nummer sicher gehen wollt limitiert auf eurem server den traffic

wenn z.B. auf einem server 100 slots laufen hat man bei vollauslastung etwa 450k/sec
alles was drüber geht sollte gnadenlos geblockt werden. primär haben wir uns für einen solchen schutz entschieden damit der server nicht als ftp o.ä. missbraucht wird

[kase]

wie limitiert man denn die Bandbreite seinen Servers auf zB 500 kb/s ???

[frosty]

wir haben es in den port einstellungen des switches reduziert, eine softwarelösung via firewall ist aber ebenfalls möglich

[majortermi]

wie limitiert man denn die Bandbreite seinen Servers auf zB 500 kb/s ???

Das lässt sich (glaube ich) mit QoS realisieren.

[jtb]

die Bandbreite kann man durch einen s.g. Traffic-Shaper begrenzen..

siehe: http://www.tldp.org/HOWTO/Net-HOWTO/x1416.html

[nyxus]

die Bandbreite kann man durch einen s.g. Traffic-Shaper begrenzen..

Das lässt sich (glaube ich) mit QoS realisieren.

Es geht hier um UDP-Traffic, nicht TCP! Sieht also schlecht aus ...


Gruß, Nyx

[banshy]

... Ist bei 1und1 UDP möglich oder kann man wenn ja die dazu bewegen aus Sicherheitsgründen im Bedarf dichtzumachen ...

lol

Wen trifft die Verantwortung im Falle?

Vielleicht kannste den Software-Publishern Fahrlässigkeit nachweisen und sie dann in den USA zu Millionen von $$$ Schadensersatz verklagen - aber in Deutschland würde ich mal sagen sieht das schlecht aus.
Du kannst hier eigentlich nur den Verklagen der den Angriff gestartet hat und den findest du ja gerade nicht.

[doc]

... Ist bei 1und1 UDP möglich oder kann man wenn ja die dazu bewegen aus Sicherheitsgründen im Bedarf dichtzumachen ...

lol

Wen trifft die Verantwortung im Falle?

Vielleicht kannste den Software-Publishern Fahrlässigkeit nachweisen und sie dann in den USA zu Millionen von $$$ Schadensersatz verklagen - aber in Deutschland würde ich mal sagen sieht das schlecht aus.
Du kannst hier eigentlich nur den Verklagen der den Angriff gestartet hat und den findest du ja gerade nicht.

Vergiss es. Ich hatte mal (meine Server stehen bei Tiscalli einen Angriff aus dem dänischen Forschungsnetz, wo 2000 Win PCs, die ne Sicherheitslücke gehabt haben gefeuert haben. 8mbit/sec. Dort hat man sehr schnell reagiert und nach 2 Stunden das dänische Netz zentral gesperrt bis zur Klärung am nächsten Tag. Aber wenn bei 1und1 im Netz tausende Gameserver stehen und plötzlich mal auf die Nachbarn feuern ist alles zu spät.

IP-Spoofing verhindern? Findet das statt? ip verify unicast reverse-path

hmm hab mir ein Exploid besorgt. Funktioniert tatsächlich. Mist. Testet es doch mal gegen Euren eigenen Server durch.

[jtb]

die Bandbreite kann man durch einen s.g. Traffic-Shaper begrenzen..

Das lässt sich (glaube ich) mit QoS realisieren.

Es geht hier um UDP-Traffic, nicht TCP! Sieht also schlecht aus ...

sicher??
ein Traffic-Shaper arbeitet doch AFAIK auf einem niedrigeren OSI-Layer als die Protokollschicht..

[banshy]

jops- im endeffekt kann dem ganzen problem NUR so entgegengewirkt werden werden, wie doc es schon gesagt hat.
die pflicht die packete zu überprüfen liegt aber bei den jeweiligen dial-in-providern bzw. carriern (weil es ja anders nicht möglich wäre).

[doc]

jops- im endeffekt kann dem ganzen problem NUR so entgegengewirkt werden werden, wie doc es schon gesagt hat.
die pflicht die packete zu überprüfen liegt aber bei den jeweiligen dial-in-providern bzw. carriern (weil es ja anders nicht möglich wäre).

Ausgehende UDP Pakete werden bei 1und1 gefiltert. Aber nur ausgehende.

[nyxus]

Ausgehende UDP Pakete werden bei 1und1 gefiltert. Aber nur ausgehende.

aber ganz sicher nicht!


Gruß, Nyx

[floschi]

Tja, wie schon mehrfach gesagt, die derzeit mangels Patches wohl einzige Option ist, sämtliche betroffenen Gameserver sofort vom Netz zu nehmen - doch leider wird wohl niemand so uncool sein.

Also bleibt alles beim alten und die unschuldigen anderen User sind die dummen

[majortermi]

Ausgehende UDP Pakete werden bei 1und1 gefiltert. Aber nur ausgehende.

aber ganz sicher nicht!

Er meint nicht, dass ausgehende UDP-Pakete geblockt werden, sondern das von 1&1 Servern aus kein Spoofing erfolgen kann, weil die 1&1 Router überprüfen, ob die Pakete mit der richtigen Absender-Adresse versehen sind. Für eingehende Pakete ist das natürlich leider nicht möglich, aber wenn alle Provider Ihre Router richtig konfigurieren würden, könnte es das gar nicht mehr geben...

[doc]

Tja, wie schon mehrfach gesagt, die derzeit mangels Patches wohl einzige Option ist, sämtliche betroffenen Gameserver sofort vom Netz zu nehmen - doch leider wird wohl niemand so uncool sein.

Also bleibt alles beim alten und die unschuldigen anderen User sind die dummen

Vielleicht nicht ganz. Habe mal nachgefragt. Es sieht so aus, wenn ein Gameserver anfängt zu spinnen und aus dem schlund netz kommt, dann lässt sich der verursacher eindeutig identifizieren und auch haftbar machen.

[nyxus]

Er meint nicht, dass ausgehende UDP-Pakete geblockt werden, sondern das von 1&1 Servern aus kein Spoofing erfolgen kann, weil die 1&1 Router überprüfen, ob die Pakete mit der richtigen Absender-Adresse versehen sind.

achso, das habe ich falsch verstanden. BTW: hat das jemand überprüft?

Aber wie Du schon schreibst hilft einem das eh nichts, die Anfragen an den Server sind ja gespooft und nicht dessen Antworten.


Gruß, Nyx

[kase]

Vielleicht nicht ganz. Habe mal nachgefragt. Es sieht so aus, wenn ein Gameserver anfängt zu spinnen und aus dem schlund netz kommt, dann lässt sich der verursacher eindeutig identifizieren und auch haftbar machen.

Problem ist nur, dass ja die GameServer die Opfer sind, und nicht die Verursacher...

Wie in dem Artikel beschrieben könnte zB der Verursacher ein 56K Modem User sein...