DDosen vom Server Hilfe

[0oDestinyo0]

Hallo zusammen

Bin seit einer weile hir.
Hätte mal eine frage zum DDosen

Mich würde mal interesieren ob das bei uns immer eine atacke ist. ?
Schreibe mal alles in denn Spoiler.
Fals das der fall ist, kann mir wer sagen wie man es unterbinden kann.
Und ob der angezeigte User im Spoiler der ist der was damit zutun hat,
weil irgendwie hat der User die gleiche ip ausser der Port weicht ab,

Sage schonmal danke

Spoiler

14:46:59 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
14:50:01 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
14:50:01 [INFO] /217.85.122.85:4279 lost connection
>
14:50:11 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
14:50:11 [INFO] /176.9.50.8:48700 lost connection
>
14:50:17 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
14:505 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
14:51:22 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
14:55:01 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
14:55:15 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
14:55:26 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
14:56:24 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
14:56:24 [INFO] /217.171.124.22:53577 lost connection
>
14:57:11 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
15:00:02 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
15:00:09 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
15:00:09 [INFO] /176.9.50.8:58977 lost connection
>
15:00:18 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
15:05:04 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
15:05:18 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
15:06:00 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
15:06:27 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
15:09:40 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
15:10:01 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
15:10:09 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
15:10:10 [INFO] /176.9.50.8:40971 lost connection
>
15:10:17 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
15:10:26 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
15:10:26 [INFO] /78.52.155.15:51516 lost connection
>
15:13:46 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
15:15:01 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
15:15:12 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
15:19:59 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
15:19:59 [INFO] /78.52.155.15:51592 lost connection
>
15:20:06 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
15:20:06 [INFO] /176.9.50.8:51642 lost connection
>
15:20:11 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
15:25:19 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
15:251 [WARNING] Can't keep up! Did the system time change, or is the server overloaded?
>
15:251 [INFO] /78.52.155.15:51732 lost connection
>

PS:

Die Grünen Ip's sagen mir jetzt nichts.!
Die Roten dagegen schauen schon sehr gleich aus :S
Habe denn Spieler mal XXX genannt.

Spoiler 2 folgt

 

[Benni1000]

Can't keep up sagt nur das der Server überlastet ist.
Betreibst du den Server von deinem Pc aus, oder hast du einen Hoster?

 

[0oDestinyo0]

Der server läuft über einen hoster, besser gesagt über einen root

 

[Benni1000]

Wieviele plugins hat er?
Welche Plugins hat er?
Wieviel Ram hat er?
Ist die CPU ausgelastet?
Wie viele Spieler sind drauf?
Wo ist er gehostet?

 

[little_psycho11]

Die Pings sind in nem Abstand von über 5 Minuten... DDos wären knapp 10 Pings pro MS

 

[0oDestinyo0]

plugins 35

user ^^ 5

das problem ist jetzt ist er on und es spielen auch welche drauf..
und es passiert nichts....

Was hat es dann mit der gleichen ip zu tun wo sich nur der port ändert

Plugins sind alle standart, ausser War Casino Vanish spout und sowas

 

[Matthias]

Die IP 176.9.50.8 ist unsere Serverliste, die den Onlinestatus alle 10 Minuten prüft. Das dürfte zu keinen Problemen führen.

 

[0oDestinyo0]

meinte eigentlich die

[INFO] XXX [/217.85.122.85:4740] logged in with entity id 1963 at ([Shadowcraft]

im 2 spoiler steht sie immer weiter drinne mit disconect, nur dder Port ist dann immer verschieden

 

[Benni1000]

im 2 spoiler steht sie immer weiter drinne mit disconect, nur dder Port ist dann immer verschieden

Der Port ist verschieden, weil der Benutzer hinter einem Router sitzt der SNAT benutzt, das ist ganz normal.

 

[Cabraca]

Wenn du nen Root hast warum checkst du dann nicht direkt über den netzwerkverkehr ob da ne DDoS rein kommt?
Gibt doch mittlerweile tolle tools für sowas.
Außerdem würden wir uns über GENAUE angaben zu deinem root freuen wenn wir dir wirklich helfen sollen.
MFG

 

[0oDestinyo0]

weil es nicht mein root ist, ist vom kollegen...

Also kann ich das problem beseitigen ?
liegt es am bukkit das er mit zuwenig ram gestartet wird ?

An die player zahl kann es ja nicht liegen

 

[zh32]

Der Root ist mit dem MC-Server einfach überlastet (Disk I/O oder CPU).
Eine genaue Übersicht über deine Konfiguration wär hilfreich (mit WorldGuard einfach mal wg report -p machen und den Link posten).
Bei einem (D)DoS könnten eigentlich auch keine Leute spielen, da der Root mit den Paketen der Attacke zu tun hätte.

Der Port ist verschieden, weil der Benutzer hinter einem Router sitzt der SNAT benutzt, das ist ganz normal.

Das hat nix mit (S)NAT oder so zu tun, sondern mit dem TCP bei dem der Client einen zufälligen Port erzeugt (meist sehr hoch).

 

[neolizzard2000]

Wenn es ein Linux Server ist: http://www.heise.de/newsticker/meldung/Verlaengertes-Wochenende-1629612.html
und http://www.heise.de/newsticker/meldung/Verlaengertes-Wochenende-kann-Linux-einfrieren-1629683.html
Deswegen waren die letzten Tage auch mehrere Server down und laufen immer noch nicht ganz stabil.
Das hat nichts mit der Hardware zu tun

 

[zh32]

Dann hätte der TE aber pünktlich um 01:59:59 MESZ diese Meldung im Log gehabt: Time ran backwards! Did the system time change?

Und nebenbei waren die Probleme mit einem Reboot oder einem kleinen Script sofort behoben und Server liefen wieder stabil.

 

[alfredo]

aptitude install ntp (für Debian 6.0)

Config einstellen und schon gibts die Probleme nicht mehr.. oder hast du besondere Freunde mit einem Botnetz die Dir was wollen? :whistling: Das hat mit dDoS nichts zu tun dein Problem

 

[0oDestinyo0]

Eine genaue Übersicht über deine Konfiguration wär hilfreich (mit WorldGuard einfach mal wg report -p machen und den Link posten).

Hir ist mal ein link zur logfile.
Hätte sie ja gern gepostet aber ist mehr als 10000 zeichen

WorldGuard Configuration Report

 

[ThoLav]

Hi,

habt ihr WorldEdit auf dem Server und arbeitet vielleicht einer der Spieler damit? Wenn sehr große Bereiche mittels copy/cut und paste kopiert und eingefügt werden, oder mit replace Sachen ersetzt werden dann kommt das schon mal vor.

 

[0oDestinyo0]

haben wir zwar, aber war ein admin online wo sich jedes mal der server verabschiedet hat, also daran kann es nicht liegen