Server plötzlich aus einigen Ländern nicht mehr erreichbar


M

mariozankl

New Member
Hallo,

seit einigen Tagen habe ich das Problem das mein Server aus einigen Ländern nicht mehr erreichbar ist. Es handelt sich um einen managed Rootserver auf dem nur CS:S und CS:GO Gameserver laufen. Der Support ist natürlich dran und hat mir in der Zwischenzeit eine weitere IP Adresse zugewiesen mit der alles Problemlos funktioniert aber trotzdem würde ich gerne die alte IP weiter verwenden.

Mich würde nur interessieren was da los sein kann.
http://check-host.net/check-report/5f0d7b

Gruß,
Mario
 
der Traffic für deine IP scheint über einen DDOS Traffic-Filter zu laufen, von OVH's Saarlouis RZ aus:
traceroute to 46.228.196.246 (46.228.196.246), 30 hops max, 60 byte packets
1 XXXXX
2 XXXXX
3 fra-5-6k.fr.eu (91.121.128.124) 3.073 ms * *
4 rbx-g2-a9.fr.eu (178.33.100.244) 16.991 ms 17.687 ms 17.661 ms
5 * ams-5-6k.nl.eu (91.121.131.174) 20.579 ms ams-5-6k.nl.eu (94.23.122.190) 18.929 ms
6 xe1-amsix-v4.ams1-nl.myloc.de (80.249.208.219) 45.822 ms 44.778 ms 44.787 ms
7 gscrub-0.noc.myloc.de (80.82.221.130) 40.317 ms 39.214 ms 39.711 ms
8 46.228.196.246 (46.228.196.246) 39.466 ms 39.420 ms 39.588 ms
Click to expand...

Der vollständige Traffic welcher über Telefonica / Cogentco geroutet wird scheint nicht an zu kommen, dazu gehört Traffic aus Teilen der USA, Großbritannien, China, Thailand, Russland, ...
=> http://tracert.com/traceroute
=> http://www.super-ping.com/

Beispiel eines blockierten Traceroute (USA)
traceroute.exe to 89.13.207.253 (89.13.207.253), 30 hops max, 38 byte packets
1 209.132.180.92 (209.132.180.92) [AS31976] [email protected] 0.358 ms 0.477 ms 1.321 ms
2 transit-2-180-132-209.redhat.com (209.132.180.2) [AS31976] [email protected] 0.713 ms 0.717 ms 0.647 ms
3 ip-163-181-132-209.redhat.com (209.132.181.163) [AS31976] [email protected] 0.678 ms 0.437 ms 0.443 ms
4 te0-0-1-0.nr11.b019174-0.phx02.atlas.cogentco.com (38.88.238.29) [AS174] [email protected] 1.257 ms 1.028 ms 0.870 ms
5 154.24.18.21 (154.24.18.21) [(null)] [email protected] 1.518 ms 1.533 ms 1.415 ms
6 te0-4-1-6.ccr21.phx02.atlas.cogentco.com (154.54.24.146) [AS174] [email protected] 1.870 ms 1.841 ms 1.669 ms
7 be2254.ccr21.elp01.atlas.cogentco.com (154.54.7.34) [AS174] [email protected] 10.570 ms 9.845 ms 9.808 ms
8 be2301.ccr21.sat01.atlas.cogentco.com (154.54.5.173) [AS174] [email protected] 20.895 ms 20.623 ms 20.436 ms
9 be2292.ccr22.iah01.atlas.cogentco.com (154.54.1.81) [AS174] [email protected] 26.295 ms 26.137 ms 26.059 ms
10 be2173.ccr42.atl01.atlas.cogentco.com (154.54.29.117) [AS174] [email protected] 40.630 ms 40.715 ms 40.622 ms
11 be2171.mpd22.dca01.atlas.cogentco.com (154.54.31.110) [AS174] [email protected] 51.844 ms 51.832 ms 51.760 ms
12 be2112.ccr41.iad02.atlas.cogentco.com (154.54.5.233) [AS174] [email protected] 52.664 ms 53.073 ms 52.490 ms
13 213.140.53.105 (213.140.53.105) [AS12956] no SOA record 53.114 ms 100.617 ms 102.758 ms
14 Xe5-1-0-0-grtnycpt3.red.telefonica-wholesale.net (94.142.127.133) [(null)] [email protected] 101.625 ms 111.576 ms 102.671 ms
15 Xe0-4-0-1-grtlontlw1.red.telefonica-wholesale.net (213.140.43.30) [AS12956] [email protected] 201.622 ms Xe9-2-0-0-grtlontc2.red.telefonica-wholesale.net (94.142.126.74) [(null)] [email protected] 207.563 ms Xe-7-2-0-0-grtlontc1.red.telefonica-wholesale.net (94.142.126.70) [(null)] [email protected] 200.557 ms
16 Xe2-0-5-0-grtfraix4.red.telefonica-wholesale.net (94.142.117.226) [(null)] [email protected] 199.883 ms Xe5-0-3-0-grtdusix1.red.telefonica-wholesale.net (94.142.120.237) [(null)] [email protected] 202.540 ms Xe2-1-1-0-grtfraix4.red.telefonica-wholesale.net (84.16.14.121) [AS12956] [email protected] 148.446 ms
17 HANSENET-0-0-grtfraix4.red.telefonica-wholesale.net (84.16.7.186) [AS12956] [email protected] 151.299 ms 157.016 ms 146.235 ms
18 et-4-3-0-0.02.xd.0001-01.fra.de.net.telefonica.de (62.53.11.230) [AS15444] [email protected] 148.348 ms eth-trunk2.92.brun.0001-02.fra.de.net.telefonica.de (62.53.12.7) [AS15444] [email protected] 199.513 ms 177.823 ms
19 eth-trunk2.92.brun.0001-02.fra.de.net.telefonica.de (62.53.12.7) [AS15444] [email protected] 181.949 ms 150.894 ms 146.792 ms
20 x590dcffd.dyn.telefonica.de (89.13.207.253) [AS13184] [email protected] 168.868 ms 165.473 ms 168.571 ms
Click to expand...

Allerdings ist die "x590dcffd.dyn.telefonica.de" doch eine sehr seltsame Endstelle für den Traffic - entweder wird hier Traffic nullrouted oder (falsch) geroutet?
Spekulation: bei einem DDoS-Angriff auf die IP / IP-Range ist Telefonica als Uplink-Provider entweder auf Aufforderung durch das RZ oder selbstständig aktiv geworden. Allerdings sollte dein Gameserver-Support das mindestens erkennen wenn nicht sogar intern an die zuständige Webtropia/Myloc/wasauchimmer Abteilung weitergeben können!!
 
Last edited by a moderator:
Viele Hoster haben entsprechende BGP-Communities bei ihren Carriern, mit denen eine IP nullgeroutet werden kann.
Aus dem Netz der DTAG bricht das Routing dann meist schon nach 1-2 Routern ab, andere Carrier wenden die Nullrouten manchmal erst an den Edge-Routern an, manche Carrier bieten das garnicht an.

In deinem Fall scheint da schlicht und ergreifend der Traffic per Nullroute/Blackholing blockiert werden zu sollen - Traceroute von der DTAG aus:

Code: 
~# traceroute -U -p 27500 -q 1 -A 46.228.196.246
traceroute to 46.228.196.246 (46.228.196.246), 30 hops max, 60 byte packets
 1  87.186.224.133 (87.186.224.133) [AS3320]  18.312 ms
 2  *
 3  *
 4  *
 5  *
 6  *

Das ist das Verhalten was ich von denen in dieser Situation kenne. Vielleicht wurde da eine Nullroute nicht vernunftig per BGP verworfen oder lebt in manchen Routern/Route-Reflectors weiter.
Da soll mal der RZ-Betreiber in seine Routingtabelle gucken und aufräumen ;)
 
Code: 
route-server.phx1>sh ip bgp 46.228.196.246/32
% Network not in table

Der Prefix ist (zumindest bei Level3) blackholed. Anders verhält es sich mit dem announced /20 (46.228.192.0/20) - das ist wie zu erwarten, up:

Code: 
route-server.phx1>sh ip bgp 46.228.196.246
BGP routing table entry for 46.228.192.0/20, version 1703769018
Paths: (20 available, best #19, table default)
  Not advertised to any peer
  3356 24961 24961
    67.16.148.37 from 4.69.243.137 (4.69.243.137)
      Origin IGP, metric 100, localpref 201, valid, internal
      Community: 3549:2352 3549:30840
      Originator: 67.17.81.117, Cluster list: 0.0.6.7
 
virtual2 said:
Code: 
route-server.phx1>sh ip bgp 46.228.196.246/32
% Network not in table
Der Prefix ist (zumindest bei Level3) blackholed. Anders verhält es sich mit dem announced /20 (46.228.192.0/20) - das ist wie zu erwarten, up:
Click to expand...

Wenn du mit "show ip bgp A.B.C.D/X" suchst, werden nur die Routen gezeigt, die auch exakt mit dieser Präfixlänge empfangen wurden. Dass da kein Treffer in der Tabelle ist, spricht ja eigentlich dagegen, dass Level3 da eine Blackhole-Route aufgesammelt hat.

Hast du die Möglichkeit, mit "show ip route 46.228.196.246" zu suchen?
Falls der Route-Server da tatsächlich auch eine Routingtabelle zusammenknuppert könnte man sehen, ob da nicht vielleicht außerhalb von BGP (z.B. per OSPF oder von Hand) eine Blackhole-Route reingeworfen wurde.
 
Gut, da hast du Recht, mein Fehler - prinzipiell sollte der Route Server jedoch auch hier einen Output geben, wenn für den /32 Prefix ein "übergeordneter" Prefix verfügbar ist.

Zumindest handhabt es so FTOS u. div. Versionen von Quagga :-)

Code: 
route-server.phx1>sh ip bgp 46.228.196.246
BGP routing table entry for 46.228.192.0/20, version 1703769018
Paths: (20 available, best #19, table default)
  Not advertised to any peer
  3356 24961 24961

Der /32 Prefix scheint bei Level3 auch up zu sein. BTW: route-server.gblx.net - ganz nett, wenn man gerade keine Fulltable zur Hand hat.
 
Last edited by a moderator:
Bei meinem Quagga (0.99.22.4-1+wheezy1) nicht ;):
Code: 
pi-ipv4# sh ip bgp 8.8.8.8/32       
% Network not in table

Ohne /32 jedoch:
Code: 
pi-ipv4# sh ip bgp 8.8.8.8
BGP routing table entry for 8.8.8.0/24
Paths: (1 available, best #1, table Default-IP-Routing-Table)
  Not advertised to any peer
  (upstream) 51395 15169
    (Upstream IP) from (Upstream IP) (Upstream Router ID)
      Origin IGP, localpref 100, valid, external, best
      Last update: Fri Feb  6 15:20:21 2015
Dann meins Du wohl das, oder?

Auf brocade ists übrigens ähnlich:
Code: 
SSH@router#sh ip bgp 8.8.8.8/32
BGP4 : None of the BGP4 routes match the display condition

bzw.
Code: 
SSH@router#sh ip bgp 8.8.8.8 
Number of BGP Routes matching display condition : 3
Status codes: s suppressed, d damped, h history, * valid, > best, i internal
Origin codes: i - IGP, e - EGP, ? - incomplete
    Network            Next Hop        MED    LocPrf     Weight Path
*>  8.8.8.0/24         91.206.52.74    0      200        0      15169 i
 
Last edited by a moderator:
Also danke erstmal für die ganzen Antworten. Ich habe zwar nicht alles verstanden aber dank geweckter Neugierde und Google weiß ich jetzt schon sehr viel mehr zu dem Thema als vorher.

In der Zwischenzeit ist auch der Support meines Anbieters aktiv geworden und es scheint so als ob jetzt wieder alles in Ordnung währe. Ich habe zwar noch keine Rückmeldung erhalten wo genau jetzt das Problem lag aber es trat tatsächlich auf nachdem der Server wegen einer DDOS Attacke genullroutet wurde.
 
You must log in or register to reply here.

Back
Top