Am heutigen Tag haben wir mehrfach die Erfahrung gemacht, dass der Server für einige Minuten nicht erreichbar war. Wir stehen mit unserem Provider im Kontakt und planen mit ihm einen schnellstmöglichen Umzug an einen anderen Rechenzentrumsstandort. Dieser Umzug sollte das Problem beheben.

Die IP-Adresse des Servers wird sich durch den abrupten Wechsel zwangsläufig ändern. Weiterhin werden das CP und das Wiki bis heute Abend nicht erreichbar sein, da Konfigurationen notwendig sind, die ich nicht durchführen kann.

Diese Schritte sind notwendig, um den reibungslosen Betrieb des Ingame-Servers zu gewährleisten. Wir versuchen unser bestmögliches, um das Problem zu beheben.

Der Umzug findet jetzt statt. Der Server ist deshalb gerade nicht erreichbar.

Der Ingame-Server ist nun unter folgender IP-Adresse erreichbar: 193.41.237.80:22003

Er taucht aktuell noch nicht in der Serverliste auf.

Eine kurze Stellungnahme zu den heutigen Vorkommnissen:


Ursache für die heute immer wieder auftretenden Netzwerkstörungen von 08:00 bis 13:20 Uhr war ein DDoS-Angriff, der wegen seiner Eigenart nicht wie sonst üblich automatisch bewältigt werden konnte. Bereits am 03.07. bemerkten wir von 00:51 bis 01:06 Uhr einen außergewöhnlichen Angriff, der dem heutigen sehr ähnlich aussah. Da abzusehen war, dass der Angreifer nicht nachgeben wird, wurde bereits vor 4 Wochen mit unserem Provider besprochen, wie in einem erneuten Fall verfahren werden soll. Dieser trat heute ein.

Nachdem unser Monitoring um 08:00 Uhr zuverlässig eine Netzwerkstörung bemerkte und das Problem wiederholt um 08:25 Uhr auftrat, wurde um 08:36 Uhr telefonisch Kontakt mit unserem Provider aufgenommen.

Dieser wurde innerhalb weniger Minuten aktiv. Durch manuelle Eingriffe konnte der Betrieb des Servers trotz kurzzeitiger Störungen immer wieder aufgenommen werden.

Der bereits vor 4 Wochen unterbreitete Vorschlag, an einen anderen Rechenzentrumsstandort umzuziehen, kam erneut ins Spiel. Dieser ermöglicht einen noch besseren Schutz als bisher, der uns bis heute für fast ein Jahr zuverlässig vor solchen Angriffen bewahrt hatte. Wie zuvor setzen wir dabei unter anderem auf die Erfahrung eines der führenden deutschen Unternehmen in dieser Branche, eine ohnehin hohe Außenbandbreite über zahlreiche Carrier sowie leistungsstarke Hardware-Appliances.

Nachdem ich einem Umzug final zugestimmt hatte, erfolgte dieser in kürzester Zeit. Der Umzug selbst dauerte nur 10 Minuten. Ab 13:20 Uhr war der Server wieder unter einer neuen IP-Adresse erreichbar.

Auch der Angreifer nahm die neue IP-Adresse sofort ins Visier. Dieses Mal jedoch ohne Erfolg. Seit dem Umzug um 13:20 Uhr wird der Angriff vollständig abgewehrt und beeinflusst keines der Systeme.

Allerdings erforderte die Konfiguration der Filter für unseren Fall noch etwas Feinarbeit. Anfangs wurde eine möglichst vollständige Filterung von beliebigem Angriffstraffic vorgenommen. Schrittweise musste die Filterung angepasst werden, um Angriffstraffic erfolgreich abzuwehren und gleichzeitig legitimen Traffic passieren zu lassen. Das entspricht dem üblichen Vorgehen in einem solchen Fall. Das sorgte jedoch dafür, dass einige Spieler zeitweise nicht auf dem Server kamen, andere jedoch problemlos spielen konnten.

Die Arbeiten unseres Providers konnten nach einigen Tests um 16:06 Uhr erfolgreich abgeschlossen werden. Seitdem sind uns keine größeren Probleme mehr bekannt. Spieler können problemlos verbinden und stattfindende Angriffe werden abgewehrt. Letzteres wurde neben den üblichen Filtermechanismen auch durch einen applikationsspezifischen Filter für MTA:SA erreicht, der extra für unseren Einsatzzweck entwickelt wurde.

Durch den Wechsel der IP-Adresse wurden Änderungen an den Domains erforderlich. Diese konnten nur von Forces nach Arbeitsende erledigt werden. Die damit verbundene kurzzeitige Nichtverfügbarkeit von Wiki und Control Panel war mir vorab bereits bekannt, wurde aber für eine stabile Verfügbarkeit des Ingame-Servers in Kauf genommen.