VATSIM ... under attack

[Mike Welten]

Hallo Zusammen
Stellungsnahme von VATGOV2 zu den Serverausfällen:

Folks,
Sending this to your personal email addresses because the VATSIM server’s (including the mail server) remain under attack. Just got off the phone with Richard and this is an update on what happened and where we sit right now.

• At some point Friday night a very, very sophisticated Denial of Service (DOS) attack was started against VATSIM. It initially took the form of flooding UK-1 and USA-1 servers…in some cases as much as 7 gigabytes per second of bandwidth. As a result, both those servers are down, which poses a major impact on the network because so many things run off them (including the website).
• There we two additional servers that had been brought up for Cross the Pond and presently those are still being used. As a server is brought up, the attacker starts flooding it with the result that Luca ends up having to take it down, reload everything and bring it back up. The attacker is doing this through multiple falsified IP’s to make it hard to locate him. Result is that different servers on the network are coming up and going down quite frequently, which would be apparent to users as either server splits or them being kicked off the network.
• The attacker also initiated a flood attack against the mail servers. At one point my VATSIM address was receiving over 2 emails per second and built up several thousand emails. As a result, I had to take down the address that pointed to. The vatsim and vatsim-bog mailing lists cannot be relied on for communications right now.
• Yesterday afternoon he started attacking the forums and membership accounts. Multiple accounts being created in a flood and multiple posts to the forums with code embedded in them. At present the forum server is operational, but the forums have been deactivated until we can ensure the attacks can be prevented.
  
  
• Last night he attacked Liveatc.net with a major UDP flood attack. As a result, Liveatc.net is down.
• Last night he also attacked the server CERT and some VATSIM backbone functions reside on, so it is also down.
• The dataserver is pushing the data feed (which is necessary for VRC and Squawkbox to get updated server lists and connect to the network. At present it is feeding the vatsim, fsproshop and klain.net servers and accurate data can be pulled by servinfo and the various clients…issue is that the feed is only updated every 2 minutes but in some cases servers are going down and being brought up more quickly than that, so what the feed indicates for servers may or may not be accurate.
• VATSIM leadership is in touch with various data center managers as well as the Metropolitan police (UK) and FBI (US).

So where do we sit?

• The FSD servers are working, albeit being attacked and going offline periodically, so the network can be used by both pilots and controllers, but with none of the reliability we have come to expect from VATSIM.
• Forums will remain down until we have some resolution or the attack stops.

Hopefully this will all be over soon, but that is truly wishful thinking with no basis in fact at this point…
Regretfully,
Dave

[Sebastian Plattner]

UDP-Flood DDOS müsste doch eigentlich mit einer richtig konfigurierten Firewall in den Griff bekommen werden.
Aber die Jungs werden das wohl managen! Es ist wahnsinn, viewiel kriminelle Energie hier im Netz vorhanden ist.....

[Tobias Schlegel]

Ja ist schon krass, wie ein ganzes Netzwerk mehr oder weniger lahmgelegt werden kann.
Scheint aber wirklich böse zu sein, wenn man sogar mit den Behörden in Kontakt tritt.

[Thomas Wand]

Mich würde mal interessieren, ob so was bei <Insert other FluSi Network here> ebenfalls passiert. VATSIM ist ja eher was die Mitgliederschaft angeht auf den angloamerikanischen Raum zentriert, <Insert other FluSi Network here> auf den europäischen. Ob man da einen Unterschied bemerkt?

[Michael Hvidt]

Ist eigentlich nur VATSIM betroffen oder wurde auch IVAO angegriffen?

Gruss Michael

[HP Rutschmann]

Michael, Tom, dieselbe Frage, Antwort noch unbekannt.

Seb, es muss ja nicht unbedingt UDP sein...
Wenn Du Zillionen von TCP-Requests sendest, verstopfen die auch die State-Table der Firewall. Und den Server selber.

Aber wenn ich das so lese, wundere ich mich über die vergleichsweise kleinen Auswirkungen auf den CTP.

[Sebastian Plattner]

Seb, es muss ja nicht unbedingt UDP sein...
Wenn Du Zillionen von TCP-Requests sendest, verstopfen die auch die State-Table der Firewall. Und den Server selber.

Es stand aber UDP Flood, stimmt schon. Aber auch ein TCP Flood lässt sich vermeiden, ich bin da auch kein Profi und die Frage ist immer, wieviel investiert man in Sicherheit. Es wurde ja geschrieben, dass mit den Datacenter zusammengearbeitet wird. Es ist wohl einfacher, dort schon zu blocken!
Wie siehts mit dem SwissFir Server aus, könnte uns das auch passieren? Wahrscheinlich schon?

[Peter Wyss]

swissfir ??

Klar kann das passieren. DDoS Attacken durch Botnetze sind leider extrem schwer zu blocken. Bei einzelnen DoS Attacken ist das schon einfacher, aber da ich keinen Angriff erwarte investiere ich jetzt auch nicht riesig Zeit in einen Schutz.
Falls mal jemand auf die Idee kommt muss man den Einzelfall anschauen.

Bei VATSIM hast du zusätzlich halt das Problem, dass die Server auf privaten Servern laufen und verteilt sind. Ein Schutz der beim einen geht, muss beim anderen nicht unbedingt auch gehen.

[HP Rutschmann]

AFAIk stand bloss, UDP war gegen die LiveATC-Server. Klar, Voice ist in der Regel UDP...
Egal, ich staun immer noch, wie die Jungs das Netz am Rennen hielten..

[Christopher Kuhs]

Ist eigentlich nur VATSIM betroffen oder wurde auch IVAO angegriffen?

Gruss Michael

Gute Frage.

Wenns nur Vatsim gewesen ist, würde mich mal interessieren, ob das CTP Event das Ziel war oder sich die beiden Ereignisse zufällig überschnitten haben...

Habe da eine Befürchtung, die ich hier nicht ausschreiben möchte.

[David Grass Feria]

Gute Frage.

Wenns nur Vatsim gewesen ist, würde mich mal interessieren, ob das CTP Event das Ziel war oder sich die beiden Ereignisse zufällig überschnitten haben...

Habe da eine Befürchtung, die ich hier nicht ausschreiben möchte.

Das denke ich auch...Welcher normale Mensch plant so eine gezielte Attacke?Und dann noch auf ein Netzwerk was kein normaler Mensch kennt. Ich denke da genau so wie Christoph,denn ist sowas wirklich zufall...Naja wir können es eh nicht rausfinden.Hoffen wir einfach das es nicht wieder vorkommt.

[HP Rutschmann]

REMINDER!

Ich bitte auch darum, zu diesem Thema nicht in ellenlose Diskussionen zu verfallen. Sie sind nicht hilfreich.

Ich möchte anfügen, dass meiner Meinung nach auch irgendwelche Spekulationen über die Täterschaft dazu gehören.
Danke.

[Michael Hvidt]

Und dann noch auf ein Netzwerk was kein normaler Mensch kennt.

Ich würde sagen, es ging der Täterschaft darum, möglichst viele auf einen Schlag zu treffen. Da ich mich aber nicht so gut mit Viren und sonstigen Angriffen auf Computer und Netzwerke auskenne frage ich: Könnte so irgendetwas mit den Computern der Benutzer geschehen oder wurde durch den/die Angriff/Angriffe "nur" die Server überlastet und heruntergefahren?

Gruss Michael

[Sebastian Plattner]

Ich würde sagen, es ging der Täterschaft darum, möglichst viele auf einen Schlag zu treffen. Da ich mich aber nicht so gut mit Viren und sonstigen Angriffen auf Computer und Netzwerke auskenne frage ich: Könnte so irgendetwas mit den Computern der Benutzer geschehen oder wurde durch den/die Angriff/Angriffe "nur" die Server überlastet und heruntergefahren?

Gruss Michael

Ein UDP oder TCP Flood lässt sich natürlich auf jeden PC anwenden. Da es sich hierbei aber nicht um einen Virus/Wurm handelt, musst du keine Angst habe, dass nun dein Computer irgendwie betroffen ist!

Ein TCP / UDP Flood erzeugt grob gesagt riesigen Netzwerk-Traffic, mit dem die Server einfach überlastet sind und sonst auf nichts mehr reagieren können.

[Michael Hvidt]

Ich bitte auch darum, zu diesem Thema nicht in ellenlose Diskussionen zu verfallen. Sie sind nicht hilfreich.

Vielleicht nicht hilfreich, aber informativ. Oder seht ihr das anders? Also ich als nicht gerade gut informierten finde (grössten Teils) solche Diskussionen toll, da man immer auch neues dazulernt

[David Grass Feria]

Ich würde sagen, es ging der Täterschaft darum, möglichst viele auf einen Schlag zu treffen.

Ja solche Leute sind einfach nur krank in der Birne,nur wenn sie viele mit einem Schlag treffen wollen,dann bestimmt nicht Vatsim,sondern die größten Netzwerke wie Counterstrike oder Call of duty usw....Ich denke das es sehr unwarscheinlich ist das es sich um normale Hacker handelt

[Christopher Kuhs]

Vielleicht nicht hilfreich, aber informativ. Oder seht ihr das anders?

Wenn es um die Täterschaft geht ist es reine Spekulation und so lange niemand einen handfesten Beweis hat, oder sich derjenige dazu bekennt wird sich daran nix ändern. Daher hat HP schon rech - es bringt nix darüber zu diskutieren, wer den nun dahinter steckt.

[Peter Wyss]

Das Netz ist irgendwie wieder sehr instabil. Extreme Lags und Aussetzer machen das Controllen seit ein paar Stunden sehr schwer bis unmöglich.

[Pascal Pulver]

Ok, ich glaub das einzige was noch geht sind die USA- Server.

Hoffentlich ist's Dienstag besser!!!