Das Thema DDOS und die Hintergründe dazu

Stand des Beitrags ist der Ausfall von SCP seit dem 16.04.2026.

Ich wurde jetzt schon ein paar Mal gefragt, was da eigentlich gerade passiert – warum die Server teilweise laggen, man nicht reinkommt oder alles "connection failed after 6 retries" immer mal wierder ein Ding ist.

Ich versuch das hier mal runterzubrechen. Nicht komplett oberflächlich, aber auch nicht unnötig kompliziert.

Kurz erklärt - DDOS

Die Server werden aktuell mit extrem vielen Anfragen beschossen.

Als Anfrage könnt ihr alles verstehen, was eure Geräte Richtung irgendein Server schicken. Aufruf dieses Posts -> Anfrage von eurem Gerät an einen unserer Server.

Der Server antwortet auf diese Anfragen – und in unserem Fall entsteht dadurch die Last.

In dem Bild mal ganz doof gezeigt, oben das Scriptkiddie, der in der Schule unbeliebt dicke kleine Junge, wie auch immer ihr die Person nennen wollt, die Frieden darin findet das andere kein Computerspiel spielen können. Nennen wir die Person einfach mal Z. (Kommt im Alphabet als letztes - das letzte - macht Sinn)

Es gibt überall auf der Welt Botnetze. In dem Bild dargestellt durch die einzelnen Computer. Das sind kompromittierte Systeme. Diese können - ohne das es groß auffält - zweckentfremdet werden, z.B. für DDOS Angriffe. Das müssen keine Computer sein (I'm looking at you Samsung Kühlschrank mit WLAN), sondern irgendwelche Geräte die Internetzugang haben und in der Lage sind Anfragen abzusenden.

Diese Botnetze werden von Unter Menschen betrieben, welche damit Geld verdienen diese Netze zu verkaufen. So könnten Menschen diese Netzwerke gegen einen Kostenbeitrag erwerben und in einem Zeitraum oder auch Volumenkontingent nutzen.

Z hat sich also ein Botnetz geshoppt und hat allen Geräten befohlen, den D-Trakt für heute aufzugeben aka. den Server mit Anfragen zu bombardieren. Diese Anfragen interpretiert der Server als legitim. Deswegen antwortet er.

Heißt unterm Strich:

Unser Server beschäftigt sich die ganze Zeit damit, Antworten rauszuschicken, statt das Spiel sauber laufen zu lassen.

Was sind A2S-Anfragen?

Das ist nichts Besonderes oder „böses“, sondern ganz normale Engine-Funktion.

Wird benutzt für:

- Serverliste in Steam

- Spieleranzahl

- Serverinfos

- Ping / Status

Jedes Mal wenn ein Server irgendwo angezeigt wird, laufen solche Queries im Hintergrund, auf jedem Server, immer und überall.

Ganz normaler Ablauf:

Client → Anfrage → Server → Antwort

Ohne das Ganze würde der Server nicht mal in der Liste auftauchen (Kommt euch das bekannt vor?)

Was passiert beim Angriff?

Im Prinzip das gleiche wie oben – nur komplett übertrieben.

• Sehr viele Systeme schicken gleichzeitig Anfragen
• Die sehen erstmal komplett valide aus
• Der Server nimmt die an
• Der Server antwortet darauf

Hier seht ihr wie ihr selber in dem Bild als unbeteiligte, keine Antwort mehr bekommt, da der Server als unnerreichbar markiert wird.

Das Problem ist weniger das Empfangen, sondern wirklich das Antworten.

Wenn das tausendfach gleichzeitig passiert, ist irgendwann einfach Schluss.

Challenge Flood

Die Source Engine hat eigentlich einen Schutz eingebaut: das sogenannte Challenge-System.

Gedanke dahinter:

Der Server gibt nicht sofort alle Infos raus, sondern sagt erstmal „beweise, dass du legit bist“.

Ablauf:

• Anfrage kommt rein
• Server schickt Challenge zurück
• Client muss die beantworten
• Dann erst gib’s echte Daten

Klingt sinnvoll – ist es auch.

Beim Angriff wird aber genau das missbraucht:

• Es kommen extrem viele erste Anfragen rein
• Der Server generiert für jede einzelne eine Challenge
• Diese Challenges sind wieder Antworten

Und damit hast du genau das Problem:

Der Server produziert sich die Last zum großen Teil selbst.

Warum man das nicht einfach blocken kann

Weil das Ganze nicht „offensichtlich falsch“ aussieht.

Die Anfragen sind:

- technisch korrekt

- erwartetes Verhalten der Engine

- nicht einfach über einen String filterbar

Wenn man zu hart filtert, passiert direkt:

- Server taucht nicht mehr in der Liste auf

- Spieler können nicht mehr sauber joinen

- legitime Requests werden gekillt

Ist also kein Fall von „einmal Firewall-Regel setzen und gut“.

Warum es bei SCP:RP so auffällt

SCP:RP ist bei sowas leider ziemlich empfindlich.

- viele Spieler gleichzeitig

- viele Interaktionen (SCPs, Türen, Zeug)

- viel Netzwerkverkehr generell

Wenn der Server nebenbei noch tausende Queries beantwortet:

- Aktionen kommen verzögert an

- Leute bewegen sich ruckelig

- Joinen wird instabil

- Anzeige in der Serverliste ist nicht mehr präsent

- Menschen schreiben "LAGS??? OMG ???" und "TARON WANN SERVER????" in den OOC und in die Shoutbox im FOrum

Was wir aktuell dagegen tun

Wir drehen aktuell an mehreren Stellschrauben gleichzeitig:

• Limitierung eingehender Queries auf Seite des Hosters
• Limitierung der Responses
• Filter im FORWARD-Chain Bereich
• laufende Traffic-Analyse (so blöd das klingt, je länger der DDOS desto besser die Analyse)

Der Trick ist:

So viel wie möglich abfangen, ohne legitime Spieler zu beeinträchtigen.

Was hat das mit dem Hoster zu tun?

Ich hab das in einem anderen Post schonmal versucht zu erklären, ich zitiere mich hier mal:

Stellt euch das einfach mal vor wie ein Dorf (Server) mit mehren Häusern (Gameserver, Websiten etc). Wenn jetzt zu einem Haus viele Pakete geschickt werden, wo überall Amazon drauf steht (deswegen sehen die legit aus) verstopft nicht nur der Hauseingang sondern irgendwann auch die Strasse und damit auch das ganze Dorf.

Um in meinem Bild zu bleiben, das Dorf hat keine Kontrolle über die Autobahn, an das es angebunden ist. Hier muss wer anders aktiv werden.

Der Hoster arbeitet gerade an einer Upstream Mitigation um die Angriffe abzuwehren.

Wir arbeiten an einer Möglichkeit die Challenge besser arbeiten zu lassen, damit unser Server nicht auf jeden Müll reagieren muss.

TL;DR

• Angriff nutzt normale A2S-Queries
• Server antwortet auf alles → erzeugt selbst Last
• Challenge-System verstärkt das Ganze
• Traffic sieht legitim aus → schwer zu blocken
• Server geht in die Knie
• Wir arbeiten an alles, was wir beeinflussen können
• Hoster arbeitet an der Mitigation

Wenn man es ganz stumpf sagt:

Der Server macht genau das Richtige – nur viel zu oft gleichzeitig.

Manche meiner Formulierungen waren etwas weird, daher habe ich versucht diese mit KI umzubauen. (KI-Disclaimer)

Wenn ihr Fragen habt - Fragt hier. Wir wollen euch als Community hier wirklich nicht im dunklen Stehen lassen.

Zitat von Anderson

Ich hätte eine Frage interessehalber.

Wurde sich schon überlegt gegen das ganze Strafrechtlich vorzugehen? Immerhin hat man schon seit mehreren Tagen diese Einbußen und verursacht auch bei der MG Leitung einen Schaden (glaube ich mal).

Kenne mich leider nicht so gut aus und weiß nicht wie die Chancen sind wenn die Polizei ihre Kapazitäten zur Verfolgung nutzt.

Das ist bei Angriffen dieser Art nicht wirklich zielführend und wird von den Behörden meist nur "zur Kenntniss genommen".

Man stelle sich vor, man findet durch das Zurückverfolgen der Angriffe den Besitzer des Botnetzes heraus, dann hat man immer noch nicht den Angreifer, sondern auch da nur den Mittelsmann.

Abgesehen davon reden wir von sehr vielen gefälschten IP-Adressen die anfragen, das ist sehr sehr schwer die auf konkrete Geräte zurückzuverfolgen und daraus Rückschlüsse zu ziehen.

__

Wir sind nur ein kleiner Fisch. Angriffe mit tausend-millionenfacher Schwere werden auf wirklich wirtschaftlich relevante Systeme durchgeführt. Hier werden die Behörden aktiv.

Zitat von Noel3395

Zitat von KiwontaTv

Das sind gespoofte IPs, also im Prinzip immer eine neue. Da kann man schwer filtern

Ist Schon Irgendwie Bekannt Wann ihr Denkt bis wann Die Server wieder laufen?

Mit Freundlichen Grüßen

Noel

Denke mal jetzt sollte wieder gehen