DDoS

Aus OWiki
Wechseln zu: Navigation, Suche

In der Vergangenheit und Gegenwart kam es immer wieder zu DDoS Attacken gegen einzelne OGame Universen oder das Forum. Hier soll darum aufgezeigt werden, was eine DDoS Attacke ist und was sie bewirkt. Für "Fortgeschrittene" Benutzer ist die Lektüre des Wikipedia Artikels zu empfehlen. Dieser Artikel soll eher auf die OGamespezifischen Belange eingehen und für alle Benutzer verständlich sein.

Geschichte

OGame hatte bereits vor einigen Jahren mit DDoS Attacken Probleme. Damals wurde jeweils eine Angriffssperre verhängt, mit dem Ziel, dass nicht ein User der es schafft seine Flotte abzuschicken Schaden anrichten kann, wogegen sich keiner wehren kann. Da die Angreifer diese News mitverfolgt haben, hörten die DDoS Attacken jeweils während der Angriffssperre auf und starteten nach deren Beendigung sofort von vorne. Zusätzlich gibt es das Problem, dass nach einer Angriffssperre hunderte bis tausende Benutzer gleichzeitig spionieren und angreifen, was den [Eventhändler] teilweise in die Knie zwingt und die Ausführung der einzelnen Events - je nach Auslastung - um bis zu einer Stunde verzögert.

Was ist eine DDoS Attacke und warum ist sie so schwer zu verhindern

Als Einstiegslektüre für fortgeschrittene User ist der Wikipedia Artikel zum empfehlen. Für Anfänger gibt es in verschiedenen Threads im OGameforum noch einige Hinweise. Die hilfreichen davon sollen hier gesammelt werden, damit sie nicht im Nirvana des Spams versinken.

Video Tutorials

Der Benutzer Audipower hat drei Youtubevideos gepostet, in denen die Theorie und zwei Beispiele solcher Angriffe aufgezeigt werden:

SYN Flood

Eine der häufigsten Attacken ist das so genannte SYN Flooding. Auf die Frage, warum man sowas nicht einfach mit einer Firewall filtern kam, gibt es diese Antwort:

Frage: 

Wieso? Man kann bei jeder Linux-Firewall ne einfache Maske definieren, bei der jede IP nach gewissen Schemata komplett gesperrt wird. Dann kommen auch keine defekten Pakete mehr an, die den Server so derbe überlasten.

Antwort: So leicht ist das ganze eben nicht. Denn es werden keine defekten Pakete, sondern reguläre Anfragen geschickt die der Server beantworten muss. Nachdem der Server die erste Anfrage beantwortet hat, geht er in den "erwarte Daten" Modus und der Client sendet seine Daten. Ein Botnetz stellt tausende solche Anfragen, was den Server tausendfach in den "erwarte Daten" Modus gehen lässt. Diese Rückfrage wird nun vom Botnetz nicht mehr beantwortet. Der Server bleibt somit über kurze Zeit auf den vielen Anfragen sitzen und muss sie "speichern". In dieser Zeit erstellt das Botnetz bereits wieder tausende Anfragen, was irgendwann den Server so belastet, dass dieser keine Antwort mehr geben kann, weil er einfach zuviel offene Anfragen hat.

Du kannst dies ganz einfach bei einem TCP Handshake sehen:

Tcp-handshake.png

Normalerweise läuft dieser so ab:

1. Der Client erstellt eine "syn" Anfrage 2. Der Server antwortet mit "syn ack". 3. Client sendet "ack + Daten"

Beim Botnetz geht das ganze dann so:


1. Der Client erstellt eine "syn" Anfrage 2. Der Server antwortet mit "syn ack". 3. Client sendet anstatt "ack + Daten" einfach eine erneute "syn" Anfrage

Dies machen dann hunderte Clients gleichzeitig und der Server bleibt auf seinen Anfragen sitzen. Das ganze nennt sich "syn Flod" und wird bei solchen Angriffen öfters mal verwendet. Es gibt - bis zu einem gewissen Masse - Möglichkeiten dies zu verhindern, ganz verhindern kann man es leider nicht.

Vergleich zwischen der Infrastruktur von Google und der von OGame (am Beispiel Kassiopeia)

Frage: 

google kann man nicht so zum fraggen bringen, warum? 
ganz einfach gefragt
von daher denk ich mal, dass es möglich wäre sich gegen ddos abzusichern
ogame hat schon schutzmechanismen
wenn man ddos auf die startseite macht, wird sie für einen bestimmten zeitraum auf einen anderen (weniger ausgelasteten) server geschoben ;D

Antwort: Du kannst die Kapazitäten von OGame niemals mit denen von Google vergleichen. Google arbeitet schon von Anfang an mit mehreren Clustern und vorgeschalteten Servern, welche die Last verteilen, als Proxy arbeiten und andere Aufgaben übernehmen:

OGame: 

;; QUESTION SECTION: 
;uni111.ogame.de. IN	A

;; ANSWER SECTION:
uni111.ogame.de.	235	IN	A	79.110.82.22

und Google: 

;; QUESTION SECTION:
;google.com. IN	A

;; ANSWER SECTION:
google.com. 300	IN	A	209.85.149.105
google.com. 300	IN	A	209.85.149.104
google.com. 300	IN	A	209.85.149.103
google.com. 300	IN	A	209.85.149.147
google.com. 300	IN	A	209.85.149.99
google.com. 300	IN	A	209.85.149.106

Sowas kann (und will) sich OGame nicht für jedes einzelne Uni leisten. Klar kann die GF mit Ausweichsservern, veränderten Routen und anderem reagieren, aber auch da gibts Grenzen. DDOS-Angriffe kann man leider nie ganz verhindern. Selbst Anbieter wie Paypal, grosse Banken und andere Institutionen, wie Behörden stossen ja bekanntlich irgendwann an ihre Grenzen. Ein vergleichsweise "kleines" Unternehmen wie die GF hat zwar theoretisch die gleichen Möglichkeiten, aber niemals diese Kapazitäten.

Das ganze kann man im OGameforum nachlesen (hilft eventuell um den Zusammenhang zu verstehen): Kritik: DDoS Attacke im OGameforum

Wie kann man DDoS Attacken verhindern

Es gibt Techniken, welche DDoS Attacken bis zu einem gewissen Masse verhindern können. Diese sind jedoch sehr umfangreich und benötigen Serverressourcen und Personelle Kapazitäten, welche sich eine "kleine" Firma wie die Gameforge nicht für jedes einzelne Universum leisten kann und will.

Da die Verhinderung solckelher Attacken eher ein fortgeschrittenes Thema ist und den Umfang dieses Artikels sprengen würde, hier der Verweis zur Wikipedia, wo einige Massnahmen geschildert werden: DDoS Gegenmassnahmen

Von „https://owiki.de/index.php?title=DDoS&oldid=74710