Abuse-Meldung

Die den Outgoing betreffende Mail war Hetzners automatischer Standard-Textbaustein für solche Vorfälle.
Die den Incoming betreffende Mail war hingegen individualisiert und wurde manuell veranlasst. Somit bezieht sich diese auf die Ursache, während die Andere lediglich automatisches Beiwerk für die Rechtsabteilung ist.

Ursache->Wirkung

Ohne die eingehenden Paketflut (Ursache) gäbe es auch keine ausgehende Paketflut (Wirkung).

Daher ist es auch völlig sinnfrei, sich über die ausgehende Paketflut Gedanken zu machen.

Ist die Ursache beseitigt, dann ist auch automatisch die Wirkung beseitigt. Andersrum funktioniert das hingegen nicht.


Und wenn der OP die Ursache wirklich ernsthaft hätte beseitigen wollen, so hätte er längst bei den Beteiligten angefragt und auch weiterführende Hinweise bei $Suchmaschine gefunden (Selbstinitiative). Stattdessen wartet er in Ruhe ab, bis ihm hier eine Lösung vorgekaut auf dem Silbertablet serviert wird, ohne jedoch jemals eine Bestellung (Ursache) aufgegeben zu haben.

Hinzu kommen dann etliche Off-Topics, weil offensichtlich keiner die zitierten Mails gelesen beziehungsweise verstanden hat, und den ohnehin völlig überforderten OP zusätzlich verunsichern.


Wo ist nur die Moderation wenn sie wirklich mal benötigt wird...
 
Joe User said:
Die den Outgoing betreffende Mail war Hetzners automatischer Standard-Textbaustein für solche Vorfälle.
Die den Incoming betreffende Mail war hingegen individualisiert und wurde manuell veranlasst. Somit bezieht sich diese auf die Ursache, während die Andere lediglich automatisches Beiwerk für die Rechtsabteilung ist.
Click to expand...
Falsch. Beide sind Standard-Textbausteine die automatisch vom System verschickt werden. Ich hab hier vom Kollegen auch so eine Mail rumliegen. Bei jedem Angriff auf den eigenen Server kriegt man eine Mail von Hetzner, mit der Information, das der eigene Server vermutlich gerade angegriffen wird. Das passiert bei jedem DDoS! Und gegen eingehende Pakete kann man - laut meinem Stand - nichts machen. Wie schon mehrfach gesagt, ist es wichtig, das mein Server nicht auf diese Paketflut antwortet, denn das ist die Ursache für die 2. Mail von Hetzner und die Wirkung das ich warscheinlich jemanden floode. Und das gilt zu verhindern.

Joe User said:
Daher ist es auch völlig sinnfrei, sich über die ausgehende Paketflut Gedanken zu machen.

Ist die Ursache beseitigt, dann ist auch automatisch die Wirkung beseitigt. Andersrum funktioniert das hingegen nicht.
Click to expand...
Siehe oben....

Joe User said:
Und wenn der OP die Ursache wirklich ernsthaft hätte beseitigen wollen, so hätte er längst bei den Beteiligten angefragt [...]
Click to expand...
ymmd.... Dazu fällt mir nichts mehr ein. Bei den Beteiligten anfragen. :D Schöne Scheinwelt in der Du lebst, wo man bei den bösen Scriptkiddys doch mal anfragt, ob sie das nicht lassen könnten, was sie machen... :D

Joe User said:
Wo ist nur die Moderation wenn sie wirklich mal benötigt wird...
Click to expand...
Das frage ich mich bei Deinen Posts schon lange.. :rolleyes:


MfG
 
Joe meint bei den beteiligten Providern anfragen, nicht bei den von dir "Scriptkiddys" genannten. Das hast du viel zu spät gemacht.

Aber bitte kommt doch in eurem Ton wieder runter!!!!!!


Ich geh mir mal Popcorn holen.


Cheers
 
NRG21 said:
Falsch. Beide sind Standard-Textbausteine die automatisch vom System verschickt werden.
Click to expand...
In Hetzners Standard-Textbausteinen steht garantiert nicht, dass sie bei Hosteurope und anderen Beteiligten angefragt haben. Nur weil in der Mail auch ein Standard-Textbaustein steckt, heisst es noch lange nicht, dass die gesamte Mail ein Standard-Textbaustein ist.

Die eingehenden Pakete waren ursächlich für eine manuelle Sichtung und die Nachricht an Dich. Die zweite Nachricht zu den ausgehenden Paketen wurde daraufhin vom System automatisch generiert und verschickt.
Wären die ausgehenden Pakete ursächlich, hättest Du nur eine Nachricht erhalten, nämlich die zu den ausgehenden Paketen.

Aber bitte, Du hast ja mit Deinem "Kollegen" zusammen mehr Erfahrung damit als ich und kannst das somit besser beurteilen. Also liege ich mit meiner Einschätzung falsch und Du solltest sämtliche Hinweise, Hilfestellungen und sonstigen Kommentare von mir ausnahmslos und auch künftig ignorieren.
Setze mich bitte im Kontrollzentrum dieses Forums auf die Ignore-Liste, danke.

*PLONK*
 
Zeig mir bitte mal wo HE erwähnt wird (s. Anhang)...
 

Attachments

  • Abuse1.PNG
    Abuse1.PNG
    75.2 KB · Views: 216
  • Abuse2.PNG
    Abuse2.PNG
    72 KB · Views: 208
Joe User said:
In Hetzners Standard-Textbausteinen steht garantiert nicht, dass sie bei Hosteurope und anderen Beteiligten angefragt haben. Nur weil in der Mail auch ein Standard-Textbaustein steckt, heisst es noch lange nicht, dass die gesamte Mail ein Standard-Textbaustein ist.
Click to expand...

Richtig. Allerdings kann ich das auch in den Zitaten nicht wiederfinden.
 
Mr.Check said:
Richtig. Allerdings kann ich das auch in den Zitaten nicht wiederfinden.
Click to expand...

Er hat wohl die Ripe-Datenbank durchsucht:

inetnum: 88.80.223.128 - 88.80.223.255
netname: DYNAMIC-NET-VPS
descr: Virtual Private Servers
country: DE
admin-c: EJ1007-RIPE
tech-c: EJ1007-RIPE
status: ASSIGNED PA
mnt-by: HOSTEUROPE-MNT
remarks: formerly managed by IUG-MNT
source: RIPE #Filtered
Click to expand...
 
rauppe31 said:
Er hat wohl die Ripe-Datenbank durchsucht:
Click to expand...

Yo, dass die Absender-IP (ob echt oder gefälscht) von HostEurope ist wurde ja auch nicht bestritten. Dadurch wird aber aus einer Textbaustein-Mail noch keine individuelle Mail.

Ich fand die Theorie mit der Werbung ganz interessant ;)
 
Ich kann hier nicht ganz folgen.
Erklärt mit doch mal bitte, wie man sich gegen ankommende Pakete als Mieter eines Servers zur Wehr setzen soll.

Den Provider lieb fragen, ob der die IP oder noch besser (jetzt kommts) den ganzen Block nullroutet?

Ursache und Wirkung ist schon klar. Ich würde erst nachsehen woher der Traffic kam, welche Ports betroffen sind und welches Protokoll.

Bei Clans sind es oft die Gameserver. Die lassen sich besonders gut für Angriffe ausnutzen. Teamspeak-Server nimmt man zum Hacken und die restlichen Lücken findet man bei den generell schlecht gepatchten Systemdiensten (Rootserver mit Gameserver drauf), um die sich die Admins meistens als letztes kümmern. Anstatt hier im Forum zu fragen, hättest du wahrscheinlich sogar noch weitere wichtige Informationen bekommen.

Komischerweise wird sofort etwas unternommen, wenn mal ein Gameserver ein bisschen laggt.

Hier steht aber immer noch die Frage im Raum, wie man sich wehren soll. Meine erste Reaktion wäre der Griff zum Telefon gewesen.

Joe User said:
Wo steht dass es UDP-Pakete waren?
Wo steht dass es gespoofte Pakete waren?

Liest hier überhaupt noch Jemand, oder wird nur noch blind irgendeine Antwort abgegeben und der Thread in gleich mehrere falsche Richtungen Off-Topic gelenkt?
Letzteres ist mein Job, falls Ihr es vergessen haben solltet... (SCNR!)
Click to expand...

Das ist eine Mutmaßung. Trifft häufig bei Gameservern zu. Kann aber auch was anderes sein.
Die Tage über hat ein GS-Provider Probleme mit dDos-Attacken gehabt. Als das aufhörte, haben sie Bots auf die Server gejagt, die mit Brutforce versuchten sich als Root einzuloggen. Ich wusste gar nicht, dass man SSH so leicht ausschalten kann. Zwischendurch bekam dann noch ein anderer Provider heftig Dampf. Ich glaube es sind zur Zeit Leute unterwegs, die ziemlich angepisst sind und alles angreifen, was irgendwas mit Gameservern zu tun hat.

BTW: Ist das jetzt schon OT?
 
Last edited by a moderator:
Ich habe jetzt ersteinmal folgendes als Lösung:

Code: 
iptables -A INPUT -m limit --limit 250/s --limit-burst 400 -j ACCEPT
iptables -A INPUT -j DROP

Ich warte noch auf eine Antwort von Hetzner, vielleicht gibt es ja Mitschnitte von dem Abend...
 
Es gibt sowas wie ein Telefon.
Ich selbst nutze das Internet exzessiv, aber bei solchen Sachen telefoniere ich doch lieber direkt mit dem Anbieter.
 
NRG21 said:
Und nochmals: Es geht nicht darum, ob Keys oder Passwörter sicherer sind, sondern wie ich die Pakete limitiere!...
Click to expand...
Paketlimitierungen bei Gameserver insbesondere CS sind tödlich für ein flüssiges Gameplay. Für die Traffic-Analyse brauchst Du nicht auf Deinen Hoster zu warten. Ich würde erstmal selbst mit htop und Konsorten eine erste Analyse vornehmen. Mglw. kannst Du da schon eine bestimmte CS:S-Instanz eingrenzen.

Denkbar ist auch, dass evtl. eine ungünstige Fehlersituation aufgetreten ist und eine Instanz Amok läuft - nobdoy is perfect und Software schon gar nicht. Sowas kann sich dann gegenseitig aufschaukeln. Hier wäre nach Updates/Patches zu schauen. Auch spezielle Addons/Mods können einen derartigen Effekt verursachen, da müsste man sich langsam rantasten.

Mein Vorschlag: erstmal alles herunterfahren und dann Stück für Stück wieder aktivieren und dabei die Traffic-Entwicklung beobachten.
 
TerraX said:
Ich würde erstmal selbst mit htop und Konsorten eine erste Analyse vornehmen. Mglw. kannst Du da schon eine bestimmte CS:S-Instanz eingrenzen.
Click to expand...
Der "Vorfall" ging nur ca. 2h, und das ist jetzt schon ein paar Tage her. Das heißt das ich jetzt nichts mehr selbst analysieren kann.

TerraX said:
Mein Vorschlag: erstmal alles herunterfahren und dann Stück für Stück wieder aktivieren und dabei die Traffic-Entwicklung beobachten.
Click to expand...
Die Gameserver laufen schon >1 Woche und es ist nichts aufgetreten. Der Angriff ging nur 2h am Freitag Abend. Davor und danach läuft alles einwandfrei. Das Testen bringt jetzt also nichts.
Ich halte es auch eher für unwarscheinlich das da eine Instanz amok lief, da das wirklich gezielt eine einzige IP war die die Menge an Paketen schickte und die mein Server beantwortet hat. Und die IP gehört zu einem vServer von HostEurope, der nie den Gameserver betreten hat.

Updates sind alle installiert.

Was die Paketlimitierung angeht habe ich gestern abend gemerkt das es ab einer gewissen Spieleranzahl angefangen hat zu laggen. Ob das jetzt mit der Limitierung zusammenhängt weiß ich nicht, wäre aber vielleicht denkbar. Eine andere Lösung sehe ich jetzt aber irgendwie nicht..
 
Bitte keine Paketlimitierung bei Gameservern!
Du hast mindestens 66 Pakete pro Spieler und Sekunde.
Ist es ein "ereignisreicher" Tick sind es auch 2 oder mehr.
Dazu kommt noch Chat und Voice und die Pingpakete.
 
Wird er schon merken :-D
Lass ihn das doch mal ausprobieren. Aus Erfahrung lernt man.
 
Das Paketlimitieren fällt dann wohl flach...
Was kann ich sonst machen? Hier im Forum werden doch sicher einige Gameserver-Betreiber sein, die mir sagen können was sie gegen solche Attacken machen.
 
Die meisten Regeln dienten eigentlich dazu die Gameserver von außen vor Angriffen zu schützen. Zuerst sind UDP-Pakete bestimmter längen gefiltert worden, was nicht besonders schlau gewesen ist, aber einen großteil der Kiddies abgehalten hat. Danach kamen einige mit besseren Regeln, die nach Strings in den Paket suchten und diese ggf. filterten.

Letzendlich wäre es von Vorteil zu wissen, was überhaupt für ein Angriff gefahren worden ist, damit man dann etwas unternehmen kann. Jetzt ziellos noch irgendeiner Lösung zu suchen, bringt nicht viel.

Wichtig ist, Protokoll (TCP/UDP), angegriffener Port, ggf. betroffene Anwendung ausfindig machen, Inhalt der Pakete. Deswegen hätte ich einen Anruf bei Hetzner für sinvoll gehalten. Nicht alles an Informationen muss automatisiert weitergeleitet werden und vielleicht haben die Techniker sogar noch einen Tip für dich.

Du solltest dich nicht auf einen einzigen Dienst versteifen, auch wenn das Topic in die Richtung Gameserver geht.

Hobbymäßig helfe ich einem GS-Provider bei seiner Arbeit. Alles was bis jetzt an Angriffen reinkam, kostete den Angreifer viel Geld (Aussage eines RZ-Betreibers) und war zielgerichtet. Die Gameserver waren für die Angreifer eher uninteressant.

Angriffe auf GS findet man eher bei befeindeten Clans (muss am Alter liegen).
 
Danke für deine Hilfe. :)
Telefonsupport ist leider bei mir nicht enthalten (Server aus Serverbörse), deswegen das Ganze per Mail.

Was hat es mit den Längen filtern auf sich? Bzw. warum ist es nicht schlau?
 
You must log in or register to reply here.
Back
Top