Zum Inhalt springen

Archiviert

Dieses Thema ist jetzt archiviert und für weitere Antworten gesperrt.

Jeronimo

BF42 Server-Querys

Von Jeronimo, in BF1942 Help

Empfohlene Beiträge

Poow    893

Poow
Geschrieben
Tja, vielleicht scheut er sich ein wenig davor, Sich mit den Ranked-Server-Providern anzulegen

Hätte er mal lieber. Etwas dümmeres, als sich mit uns bf42 Nerds anzulegen kann man doch gar nicht tun! :shifty:

simpson    0

simpson
Geschrieben

Da ich gerade überhaupt keine Zeit habe, wäre es da möglich, die generellen, wichtigen Threads hier im BF42 Forum noch mal kurz rekapitulieren und dann Pinnen, oder so was, sodass man weiß´, das dieses wirklich ein wichtiges Thema ist ?

Btw, good job :daumenhoch:

Jeronimo    0

Jeronimo
  • Autor
Geschrieben

Liebe BF42-Community,

eine seit einigen Tagen ausgeführte Distributed-Reflected-Denial-of-Service-Attacke missbraucht alle aktiven BF42-Internet-Server dazu, das Ziel mit der IP-Adresse 66.150.214.185 zu überlasten und lahmzulegen.

Dabei kommt es als Nebenwirkung zur Überlastung der BF42-Server, wodurch die üblichen Abfrage-Tools (Ingame/HLSW/xFire, qTracker,...) überwiegend Timeouts auf diesen Servern anzeigen, obwohl ein Spielen auf den Servern teilweise mit, teilweise ohne Minilags durchaus noch möglich ist. Des Weiteren tauchen im Log des Battlefield Server Managers (BFSM) jede Menge Fehlermeldungen auf und die Fernsteuerung per BFRM wird schwierig bis unmöglich, da der BFSM keine Verbindung zum überlasteten Gameserver bekommt.

Prinzip:

Die Methodik und die Verwundbarkeit nicht nur der BF42-Server, sondern prinzipiell aller gamespy-gestützten Systeme wurden bereits 2003 u.a. durch PivX erläutert, gemeldet und sogar mit Beispielcode belegt - EA bzw. Gamespy bieten jedoch bis heute keine Patches hierfür an.

Grundsätzlich läuft es so ab, dass Anfragepakete mit gefälschter Absender-IP an alle BF42-Server verschickt werden, welche daraufhin die vergleichsweise großen Antwortpakete an das Ziel der DRDoS-Attacke "zurücksenden", sodass es dort zur Überlastung kommt. Der Hoster bzw. dessen Kunde, auf den die IP-Adresse registiert ist, sind daher selber NICHT dafür verantwortlich.

Behebung:

Um euren Server wieder zu entlasten, genügt es momentan, eingehende Pakete der betreffenden IP-Adresse 66.150.214.185 zu blockieren. Das sind etwa 20 bis 30 größere Anfragen pro Sekunde, welche zur Überlastung der Spieleserver führen, sofern dieser versucht, diese zu verarbeiten.

  • Windows: "gpedit.msc" ausführen => Computerkonfiguration => Windowseinstellungen => Sicherheitseinstellungen => IP-Sicherheitsrichtlinien. Dort einen neuen Eintrag anlegen und zuweisen.
  • Linux: # iptables -A INPUT -s 66.150.214.185 -j DROP

Bitte Hinweise für Ergänzungen geben, wer kann. Danach kommt der Text in den Eröffungspost.

Speziellen Dank an Grabbi (-=PFC=-) für die Recherche der Links!

Sven    134

Sven
Geschrieben

Ich habs mal in die Newsredaktion reingestellt und denke, daß wir morgen im Laufe des Tages, Zeit dafür haben.

Stefan1990    0

Stefan1990
Geschrieben

hab die ip bei uns bannen lassen. muss der rootserver neu gestartet werden? denn noch merk ich nichts :(

gonzo_the_great    0

gonzo_the_great
Geschrieben

zur zeit ist wohl nix. auch werden die gamespyabfragen des angreifers nicht geparst und nur ports um die 23000 abgefragt. im moment reicht es also den gamespyport zu aendern und danach weiterfuehrende masnahmen zu ergreifen.

wie schon mal vor jahren angefragt wurde muesste ein patch die anfragen/s reduzieren. ob das ine firewall leisten kann; who knows?

Sven    134

Sven
Geschrieben

So, News ist fast fertig und den Heise-Artikel sollte man sich mal durchlesen, der ist zwar von 2003, beschreibt aber sehr gut die Sache und ich sehe auch mögliche Folgen für den Betreiber eine Gameservers, sollte eine der attackierten IPs sich per Abuse wehren (Abschaltung des Servers, möglicherweise auch rechtliche Folgen).

HerrRossi    0

HerrRossi
Geschrieben

Ich glaube nicht, dass es etwas bringt den Gamespy Port zu ändern. Das bringt vielleicht kurzfristig Ruhe, aber wohl kaum auf lange Sicht. Ich habe z.B. bei 4 von 5 Servern einen abweichenden Port in Verwendung. Betroffen waren dennoch alle.

gonzo_the_great    0

gonzo_the_great
Geschrieben

wie? heute? immer noch? sind die port >> verschieden 23000?? entgegen der news waren ja auch ports 23000 + 1 betroffen. jeronimo hat iptalbes veroeffentlicht. dass sollte reichen.

Poow    893

Poow
Geschrieben

Ich hatte mal mit Jeronimo gesprochen. Bei dem Angriff wurden wohl alle Server mit gslist abgefragt und aus der Anfrage (Port und IP) gezogen. Dann wurde eine statische Liste erstellt, die auf die bestehende Konfiguration der Server einen Angriff ausführt (UDP Abfrage floooding). Auch nur durch den Umstand, dass dies eben eine statische Liste war konnte man durch das Anpassen der Q Ports eine Verbesserung herbeiführen. Würde die Liste jedoch regelmäßig aktualisiert, dann wäre das eben keine Lösung. Da hilft nur nur das Blocken der Ip(s) mittles bestimmter Regeln.

Und was ich jetzt nicht ganz mitbekommen habe: Das eigentliche Ziel war wohl der Server dessen Ip gespooft wurde und nicht die 1942 server oder? Dann wäre die Anzahl der Pakete aber etwas dumm gewählt gewesen.

Jeronimo    0

Jeronimo
  • Autor
Geschrieben

Sieht zumindest so aus. Der betreffende CS-Server hatte unter der Attacke jedenfalls deutlich mehr zu leiden.

Und hätte man die Abfragen pro Server pro Sekunde geringer gewählt, hätte das sicher auch gereicht, den CS zu DDoSn - es wär uns dann aber vielleicht gar nicht aufgefallen. Von daher => dumm, ja.

Hat aber wahrscheinlich nicht viel interessiert. Das Ziel wurde ja erreicht, der CS ist nun wech. Naja... zumindest von der IP. ^^

Gast LangFingFong   

Gast LangFingFong
Geschrieben

????????:

208.86.154.242

Sven    134

Sven
Geschrieben
????????:

208.86.154.242

Laut Google windtree, die vermieten Server, ist aber tot.

HerrRossi    0

HerrRossi
Geschrieben

Aktuell habe ich folgende Source-IP: 208.86.154.248

Hat evtl. jemand mittlerweile eine funktionierende iptables Regel mittels -m recent zur Hand? Habe mich daran mal versucht, aber irgendwie bin ich wohl zu blöd dafür.

Gast LangFingFong   

Gast LangFingFong
Geschrieben
Laut Google windtree, die vermieten Server, ist aber tot.

...klar ist der nun tot nach 6 Stunden dauerbeschuss von über 300 BF42 Servern, die wieder als Reflektor herhalten müssen.......

das sind die Glückszahlen für´s Wochenende !

Denke mal das Jeronimo das besser erklären kann.

Aber vorsichtshalber würd´ ich sie mal in die Firewall oder in die Filterregel reinsetzen, FALLS jemand einen BF1942 Server am Wochenende betreiben möchte !

:addicted:

Zur Themenübersicht

  • Wer ist Online   0 Benutzer

    • Keine registrierten Benutzer online.
×
×
  • Neu erstellen...

Wichtige Information

Wir haben Cookies auf Deinem Gerät platziert. Das hilft uns diese Webseite zu verbessern. Du kannst die Cookie-Einstellungen anpassen, andernfalls gehen wir davon aus, dass Du damit einverstanden bist, weiterzumachen.