DDoS-Angriffe gegen Server

Dieses Thema im Forum "Technischer Support" wurde erstellt von MineDrake, 21. September 2016.

  1. MineDrake
    Offline

    MineDrake

    Registriert seit:
    9. September 2016
    Beiträge:
    17
    Minecraft:
    MineDrake
    Hallo,
    seit der Eröffnung unseres Servernetzwerkes werden wir ständig Opfer von DDoS Angriffe gegen unsere Server. Wir haben bereits neue Server mit einer Voxiliti DDoS Protection (500 GBit) aber trotzdem werden wir permanent angegriffen. Selbst dann wenn wir nur 4 Spieler online haben - oder wenn der Server in der Nacht leer ist aber auch bei vollem Betrieb. Wir haben eine Vermutung, welcher Serverbetreiber dahinter steckt können aber nichts nachweisen. Da wir aktuell keine Möglichkeit haben die IPs etc. zu loggen.

    Hat jemand vielleicht gleiche Erfahrungen gemacht und ggf. Lösungsvorschläge?
     
    #1
  2. jensIO
    Offline

    jensIO

    Registriert seit:
    28. Juli 2015
    Beiträge:
    602
    Ort:
    Internet, im Neuland
    Minecraft:
    jens1o
    Während des Angriffes folgendes ausführen und dann per iptables o.ä. die IPs blocken, die im Moment viele Anfragen verzeichnen. (NICHT DICH SELBST!)

    Code (Text):
    1. netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
     
    #2
  3. MineDrake
    Offline

    MineDrake

    Registriert seit:
    9. September 2016
    Beiträge:
    17
    Minecraft:
    MineDrake
    Das wird durch unseren Hoster und auf anderen Servern durch den DDoS Schutz erledigt, wir suchen eine Möglichkeit die IPs zu loggen.
     
    #3
  4. jensIO
    Offline

    jensIO

    Registriert seit:
    28. Juli 2015
    Beiträge:
    602
    Ort:
    Internet, im Neuland
    Minecraft:
    jens1o
    Dazu müsstest du entweder a) deinen Hoster kontaktieren oder b) den DDOS Schutz deaktivieren, damit du die IPs loggen kannst.
     
    #4
  5. Baba43
    Offline

    Baba43 Ehem. Teammitglied

    Registriert seit:
    5. November 2012
    Beiträge:
    589
    Wie und wo hostet ihr denn?
    Es kann auch sein, dass ihr die Angriffe abbekommt, auch wenn ihr gar nicht Ziel dieser seid.
     
    #5
    MrJack_15 gefällt das.
  6. stopfi
    Offline

    stopfi

    Registriert seit:
    6. April 2016
    Beiträge:
    154
    Leider gibt es im Internet so Seiten, die "Server-stress-tests" anbieten. Dahinter versteckt sich nichts anderes als eine DDoS Maschine, die auf diese Weise "missbraucht" werden kann.

    Wurde vor kurzem ein Spieler gebannt, der sich nun auf diese miese Weise rächen könnte?
     
    #6
    MrJack_15 gefällt das.
  7. MineDrake
    Offline

    MineDrake

    Registriert seit:
    9. September 2016
    Beiträge:
    17
    Minecraft:
    MineDrake
    Wir hosten unsere Server bei OVH, Contabo & Host-Unlimited. Der Server gegen den die meisten Angriffe gehen ist der bei OVH.
    Wir bekommen dort regelmässig bzw. teilweise laufend E-Mails bzgl. eines Angriffs gegen unsere Server.

    Die Angriffe gab es schon am ersten Abend der Eröffnung, man muss dazu sagen für einen neuen Server hatten wir einen perfekten Start mit guten Besucherzahlen. Unser Serverteam besteht größtenteils aus Ex-Teamlern eines anderen Servers.

    Da wir mit einigen Teamlern noch gut in Kontakt stehen, kam es mehrfach dazu das einzelne Personen gefragt haben was mit dem Server los sei. Kurz nachdem der DDoS gestartet ist, da OVH die Zeiten mit loggt - können wir davon ausgehen, das es sich um den Betreiber dieses Servers handelt, aber uns fehlen Beweise da OVH keine IP-Daten rausgibt.
     
    #7
  8. 可愛い
    Offline

    可愛い

    Registriert seit:
    19. Mai 2014
    Beiträge:
    654
    Echte Stresstests verlangen einen Beweis, dass du Betreiber des Servers bist, der getestet werden soll. Das ist in der Regel eine HTML Datei auf einem Webserver mit einer bestimmten Nachricht, die der Dienst dir gibt. Das kurz vorweg.

    Nun zum eigentlichen Problem. Also erstmal ist man an DDoS Angriffen oft nicht selbst ganz unschuldig. Auch wenn die entsprechenden Dienste jetzt nicht unbedingt teuer sind, muss trotzdem erst mal jemand bereit sein dafür Geld zu bezahlen, dass euer Server down ist. Du machst zwar den Eindruck, dass du nicht zu der Sorte gehörst, die grundlos Leute provoziert oder sich sonst wie unnötige Feinde macht, aber ich möcht das trotzdem kurz erwähnt haben. Eventuell haben sich auch Teammitglieder in der Vergangenheit daneben benommen, sich an Servern "gerächt", die Fremdwerbung gemacht haben oder ähnliches. Das sollte dir als Erstes klar werden. Das ist natürlich keine Garantie, dass man nicht angegriffen wird, aber man sollte das immer im Hinterkopf behalten: Irgendwer bezahlt einen anderen Dienst dafür, dass ihr Angegriffen werden.

    Das bringt dir auch absolut nichts. Wenn dir nicht klar ist, wie ein DDoS Angriff funktioniert, dann les es dir durch. Ansonsten glaube mir einfach, dass die IPs dir absolut nichts bringen werden und dich auch von den Anschlüssen hinder den IPs nichts holen kannst. Das sind infizierte Server oder Private Computer deren Besitzer keine Ahnung davon haben, dass ihr Computer für Angriffe missbraucht wird. Der eigentliche Verursacher taucht dabei nicht ein einziges mal in den Logs auf, da er den Angriff nur koordiniert. Der eigentliche Auftraggeber taucht erst Recht nicht auf. Außerdem ist das auch vollkommen korrekt von OVH nicht die IPs von beliebigen Verbindungen rauszugeben, da es sich hierbei ggf. um private Daten handelt, die dich gar nichts angehen. Ansonsten kannst du natürlich IP Verbindungen auf deinem Server protokollieren, du wirst dabei nur feststellen, dass das deinen Server überlasten würde. Wie gesagt, les dir durch was ein DDoS Angriff ist, wenn du mehr wissen willst.

    Was mich sehr stutzig macht ist das übliche "Wir wissen wer es ist, wir haben nur keine Beweise". Das ist genau die Umgebung, in der man sich Feinde macht. Grundlose Anschuldigungen, ggf. noch Kontaktaufnahmen im geheimen oder sogar dumme Anmerkungen des Teams im Chat "wir wissen doch eh wer dahinter steckt". Das schafft eine extrem feindliche Umgebung. Wie du selbst sagst: Du hast keine Beweise, also beschuldige nicht andere. Vor allem handelt es sich hierbei um Computersabotage, da wirft man nicht einfach mit Anschuldigungen um sich.

    Du hast ansonsten wenig Chancen etwas dagegen zu machen, das ist das große Problem mit DDoS Angriffen. Das einfachste ist die Sache auszusitzen, sofern du nicht bereit bist mehrere hundert Euro in Netzwerkequipment zu investieren. Dabei ist es vor allem wichtig nicht weitere Provokationen zu starten. Verbiet dem Team sich im Serverchat über DDoS zu äußern, verbiete sämtliche Anschuldigungen gegen andere Server, egal ob direkt oder indirekt. Wenn du der Meinung bist, dass du die Schuldigen kennst, dann banne sie von deinem Server, das verhindert, dass sie sich darüber freuen können, wie ihr euch aufregt. Der Angreifer hat selbst nichts vom Angriff außer eure Aufregung, also stell sicher, dass er genau das nicht bekommt. Absolut kontraproduktiv sind da öffentliche Statements über den Angriff. Beispiele:
    • "Scheiß Kiddies, in der Schule nix gelernt und dann Server ddosen"
    • "Irgendwer hat wieder kein Leben und greift unsere Server an"
    Damit lieferst du nur exakt das, was der Angreifer von dir möchte. Das beste ist einfach die Angriffe in jeder Hinsicht zu ignorieren.
     
    #8
    Xhadius, jensIO und stopfi gefällt das.
  9. stopfi
    Offline

    stopfi

    Registriert seit:
    6. April 2016
    Beiträge:
    154
    @ [Dev]SpiritWalker,
    leider gibt es Grauzonen im Internet und dort findet man Stress-Tester, die man ohne Nachweis auf den eigenen Server missbrauchen kann.
    Ansonsten schliesse ich mich Deinem Post an.

    Aber es besteht Hoffnung. Denn der Verursacher will wissen, ob sein herbeigeführter Angriff erfolgreich war. Die wenigsten belassen es mit der Feststellung, dass der betroffene Server down ist. Er muss seine Schadenfreude mit Infos nähren. Meistens werden Vasallen geschickt, die ihn mit Infos füttern sollen. Daher alles protokollieren, Screenshots machen, Server-Log aufbewahren.

    Erst wenn viele Beweise auf einen bestimmten Angreifer deuten, mit einem neuen Zweitaccount dessen eventuell vorhandenen Server joinen und unauffällig spielen. Werden dort Bemerkungen im Chat geschrieben, die auf kürzliche Angriffe des Servers hindeuten? Screenshot machen aber sich nicht an der Thematik beteiligen. Es ist wichtig, über einen längeren Zeitraum Beweise zu sammeln.

    Sind genug Beweise beisammen, den Verursacher kontaktieren und ihn mit den Beweisen konfrontieren. Fakten vorlegen, keine subjektiven Vermutungen. Mit Anzeige drohen, sollte er sein Treiben nicht sofort einstellen. Oder einen Anwalt einschalten, der den Verursacher mit den Beweisen konfrontiert. Das wirkt Wunder.
     
    #9
  10. DASPOT
    Offline

    DASPOT Moderator

    Registriert seit:
    1. November 2011
    Beiträge:
    1.445
    Ort:
    minecraftnews.de
    Minecraft:
    DASPOOT
    Ich habe in der Vergangenheit auch unfreiwillig Erfahrung mit DDOS gemacht. Bei mir ging es zwar nur um meine Satire Seite, die vielleicht einige hier können dürften. Allerdings wurde die Seite über Wochen täglich, fast stündlich, angegriffen. Mein Hoster meint, das waren keine billigen Angriffe. Also da hatte jemand richtig viel ausgegeben, um meine Seite zu DDOSen. Ich hatte und habe keine anderen Teammitglieder. Auch sonst wüsste ich nicht, dass ich mir vor allem mit der Seite Feinde gemacht habe. Nach 1-2 Wochen hatte ich dann einen DDOS Schütz auf der Seite, dann hat man nichts mehr gespürt, derjenige hat dann wohl auch die Lust verloren.

    Was ich damit sagen will: vielleicht hat auch einfach jemand zu viel Geld und ein Problem mit eurem Erfolg. Ist die Einzige Möglichkeit, die ich bei mir sehe. Würde also garnicht so wirklich drüber nachdenken. Wenn man den DDOS, weil er schlecht ist, nachverfolgen kann, hat da oft der Hoster auch selbst ein Interesse dran und kümmert sich darum, ist ja auch für ihn schlecht, wenn dauernd DDOS reinkommt. Ansonsten abwarten und Tee trinken. ;)
     
    #10
  11. caveclown
    Offline

    caveclown

    Registriert seit:
    15. Juni 2015
    Beiträge:
    11
    Der aufmerksame Leser wird wissen, das man uns bzw. mich in Verdacht hat.

    "mehrfach gegen unseren Server geschossen" ?

    Es gibt einen Thread der sich mit der Eula befasst, genau in dem Thread hat euer Admin einen Beitrag verfasst um für euren Server mit angeblicher Eulakonformität zu werben, ich habe lediglich in einer Antwort aufgezeigt das euer Server zu dem Zeitpunkt nicht Eulakonform war/ist, mit Quellennachweis zu eurem Store. Also kann ja nicht von "mehrfach" die Rede sein, kennst ja den Glashaus Spruch.

    Dann mal zum Thema Werbung: Es wurde bei eurem Serverstart massiv Werbung von euch auf anderen Servern mit Multiaccounts vollzogen, dabei wurde von euch die Schuld auf andere User geschoben wo ihr ja nichts für könnt ?! Merkwürdig wenn die User bei Serverstart zu 90% aus Teamlern bestehen.
    zudem kam noch Abwerbung von Bewerbern von euch in unserem Forum hinzu, woran du lt deiner keine Schuld trägst sondern besagter Admin, immer hin wurden aber dann diese Bewerber von dir, deinem Admin und einer dritten Person im TS empfangen.
    Was nicht nur bei uns passierte sondern auch auf anderen Servern, da gibt es auch Foreneinträge wo du persönlich offiziell wegen Abwerbung gebannt bist.

    Wir haben auf diese Aktionen reagiert, nicht mit DDOS sondern mit Wortfiltern usw. das jegliche Kombination eures Servers von uns erkannt wird bevor es im Chat erscheint.

    Zur Information, unser Bungee liegt auch bei OVH und auch wir bekommen Regelmässig diese Emails über DDOS, über Netstat kann man Auffälligkeiten kurz bevor man von OVH in die sichere Zone verschoben wird feststellen, aber die IPs führen meistens ins Nirwana.

    Wer aber so Aggressiv versucht einen Server zu starten muss damit Rechnen das es einigen bitter Aufstösst und die dann die niedrigste Form der Servermanipulation wählen und euch DDOSen.

    Auf dieses Niveau lassen wir uns aber nicht herab, von daher möchte ich bitten weiter eindeutige Anschuldigungen in unsere Richtung zu unterlassen. Versucht wie hier schon im Thread beschrieben Beweise zu sammeln.

    Weiterhin Viel Erfolg mit eurem Projekt

    LG cave
     
    #11
    Baba43 gefällt das.
  12. 可愛い
    Offline

    可愛い

    Registriert seit:
    19. Mai 2014
    Beiträge:
    654
    Tjo, da haste deinen Grund. Und ich meine Bestätigung, dass man meist selbst schuld ist.
     
    #12
    Baba43 gefällt das.
  13. MineDrake
    Offline

    MineDrake

    Registriert seit:
    9. September 2016
    Beiträge:
    17
    Minecraft:
    MineDrake
    Erst einmal danke für die Hilfreichen Beiträge

    @caveclown
    Wir hatten am 1. Tag im Schnitt rund 30-40 Spieler online, welche unsere Teamler kennen da Sie auf deinem Server in allen Positionen Supporter, Moderator, Admin & Developer vertreten waren, es gab einen Screenshot unserer Tableiste den du mir geschickt hast, in der die betroffende Person, kein Teammitglied war und bis heute nicht geworden ist.

    Nach deiner ersten Beschwerde über die "angebliche" Serverwerbung, haben wir dir mitgeteilt das wir jeden Spieler bannen, welcher Werbung betreibt wenn du uns diesbezüglich Screenshots sendest. Bis heute kam kein einziger Screenshot diesbezüglich sondern immer nur willkürliche Anschuldigungen aber nie Beweise. Dabei ist es laut euren internen Regeln so, das bei Serverwerbung ein Screenshot gemacht werden muss. Wieso liegen uns bis heute keine vor?

    Zu der Anmerkung über Forenbeiträge auf anderen Foren bzgl. eines Banns solltest du auf das Datum achten, zu dem Zeitpunkt war ich noch bei dir im Team und es gibt Serverbetreiber für die ist es Werbung wenn man per /msg erwähnt das man in einem Serverteam ist - selbst wenn der Name oder die IP nicht genannt wird. Das dein Server viele Feinde hat, brauche ich dir wohl nicht erklären - das wirst du wissen.

    Und mit der Abwerbung über euer Forum habe ich persönlich rein gar nichts zu tun, und als wir diesbezüglich Screenshots (nicht von dir) sondern von dem betroffenen Spieler selbst bekommen haben - haben wir reagiert und seit dem ist der besagte Admin nicht mehr in unserem Serverteam. Wir haben auch dir mehrfach mitgeteilt, das wir uns von den Aktionen distanzieren. Ebenso habe ich bis heute, nicht einen deiner Bewerber im Teamspeak begrüßt, von daher bitte ich einfach mal um Beweise gerne per PN.

    Wir erfahren von euren Spielern & Teamlern das rund um die Uhr über unseren Server gesprochen & geschrieben wird. Ich habe Screenshots wo geschrieben wurde, das ihr sogenannte Minecraft-ALTs nutzt um auf eurem Server zu werben, damit unser Server in ein schlechtes Licht gerückt wird. Zudem muss ich dazusagen, das der Name caveclown auf diesen Screenshots nicht abgebildet ist. Aber vielleicht gehst du dem mal Teamintern auf den Grund, die Screenshots sende ich dir gerne alle per PN, E-Mail oder Whatsapp zu.

    Wieso fragen eure Teamler, unmittelbar nachdem der DDoS eingetroffen ist warum unser Server down ist, wenn er bloß offline angezeigt wird und im Betrieb weiter läuft? Mit unmittelbar ist exakt 1 Minute gemeint, bei Whatsapp steht die Uhrzeit der Nachricht und in der E-Mail von OVH wird beschrieben zu welchem Zeitpunkt ein Angriff startete & geendet hat. Ich bezweifle das es Zufall sein kann, da dieses Szenario mehrfach so aufgetreten ist und ich denke nicht, das ihr ständig unsere Serverprofile auf Voteseiten aktualisiert um zu gucken, ob der Server online oder offline ist?!


    Das eigentliche Ziel dieses Beitrags war nicht diese Diskussion, daher bitte ich dich alles was nichts mit einer Problemlösung zu tun hat privat mit mir zu besprechen, du hast meine Handynummer und weitere Kontaktdaten, falls nicht - du weißt wo du Sie finden kannst.

    Gruß
     
    #13
    BuildingDave gefällt das.
  14. stopfi
    Offline

    stopfi

    Registriert seit:
    6. April 2016
    Beiträge:
    154
    Stop stop stop !!!
    Es bringt nichts, wenn Ihr hier Erklärungen abgebt. Macht bitte etwas in TS / Skype / Handy ab und redet wie vernünftige Leute ohne Agressionen miteinander. Sollte wer anders hinter den Angriffen stecken, freut er sich um so mehr, wenn er hier mitliest.
     
    #14
    jensIO und caveclown gefällt das.
  15. DASPOT
    Offline

    DASPOT Moderator

    Registriert seit:
    1. November 2011
    Beiträge:
    1.445
    Ort:
    minecraftnews.de
    Minecraft:
    DASPOOT
    Eben. Das ganze obere ist Offtopic. Es interessiert hier keinen, wer jetzt wem einen auf den Deckel gegeben hat und wer nicht. Hier geht es darum, dass ein Server angegriffen wird und um Rat gefragt worden ist, ob man dies nachverfolgen kann. Die Antwort wurde auch bereits gegeben und diskutiert. Es ist wohl nicht möglich, den Schuldigen ausfindig zumachen. Es bleibt nur, abzuwarten. Sollte noch jemand was zum Thema DDOS haben, kann er das sagen. Alles andere ist Offtopic und muss und wird im Interesse aller zur besseren Übersicht gelöscht werden.
     
    #15
  16. Baba43
    Offline

    Baba43 Ehem. Teammitglied

    Registriert seit:
    5. November 2012
    Beiträge:
    589
    Es ist nicht Offtopic, wenn darüber geredet wird, dass ein Server möglicherweise selbst Schuld an solchen Attacken ist, wenn er sich Feinde gemacht hat. Schließlich wäre das die einzig sinnvolle und effiziente Möglichkeit, derartigen Konflikten aus dem Weg zu gehen: niemandem ans Bein pissen und man hat sein Ruhe ;)
     
    #16
    jensIO gefällt das.
  17. Klexo
    Offline

    Klexo

    Registriert seit:
    24. Juni 2015
    Beiträge:
    7
    Das hatte ich auch mal. Das klingt hart, doch schalte für ne Weile die Server down, dann verliert er die Lust und haut ab bzw hört meist auf. Oder du kennst die IP des DDoS'ser dann kannst du dies der Polizei melden, sollte es sich um einen Deutschen handeln. Wenn ein DDoS Attacker(engl.) an seinem eigenen PC/Server macht, ist es legal. Doch wenn es jemand macht, der andere damit schadet, ist es illegal. Also versuch alles, und protokolliere alle Spieler ihre IP's = Wenn du weißt, wers war, gehst du zur Polizei und hast die IP. So können die den Standort des Attackers(engl.) herausfinden. Er müsste soweit ich weiß Geldstrafe zahlen.
     
    #17
  18. 可愛い
    Offline

    可愛い

    Registriert seit:
    19. Mai 2014
    Beiträge:
    654
    Und die Polizei schreibt dann ein GUI-Interface in Visual Basic und lokalisiert den Übeltäter!!!11
     
    #18
    Xhadius gefällt das.
  19. softx
    Online

    softx

    Registriert seit:
    7. November 2013
    Beiträge:
    49
    Minecraft:
    softx
    Die Polizei komtaktiert den ISP und der muss früher oder später die Adresse rausgeben.
    Kein Grund hier irgend welche unnötigen ironischen Antworten zu geben.
     
    #19
  20. stopfi
    Offline

    stopfi

    Registriert seit:
    6. April 2016
    Beiträge:
    154
    Die Herausgabe der IP nützt in 99,9% nichts. Kein Angreifer startet die Attacke direkt von seinem Rechner auf das Opfer. Dazu verfügt seine Internetverbindung oder sein Rechner nicht über die erforderliche Kapazität, den Angriff erfolgreich zu machen.

    Infos lesen hier - https://de.wikipedia.org/wiki/Denial_of_Service
     
    #20