Wie die aktuellen DDoS-Angriffe auf unsere SCP:RP Server funktionieren
Stand des Beitrags ist der Ausfall von SCP seit dem 16.04.2026.
Ich wurde jetzt schon ein paar Mal gefragt, was da eigentlich gerade passiert – warum die Server teilweise laggen, man nicht reinkommt oder alles "connection failed after 6 retries" immer mal wierder ein Ding ist.
Ich versuch das hier mal runterzubrechen. Nicht komplett oberflächlich, aber auch nicht unnötig kompliziert.
Kurz erklärt - DDOS
Die Server werden aktuell mit extrem vielen Anfragen beschossen.
Als Anfrage könnt ihr alles verstehen, was eure Geräte Richtung irgendein Server schicken. Aufruf dieses Posts -> Anfrage von eurem Gerät an einen unserer Server.
Der Server antwortet auf diese Anfragen – und in unserem Fall entsteht dadurch die Last.
In dem Bild mal ganz doof gezeigt, oben das Scriptkiddie, der in der Schule unbeliebt dicke kleine Junge, wie auch immer ihr die Person nennen wollt, die Frieden darin findet das andere kein Computerspiel spielen können. Nennen wir die Person einfach mal Z. (Kommt im Alphabet als letztes - das letzte - macht Sinn)
Es gibt überall auf der Welt Botnetze. In dem Bild dargestellt durch die einzelnen Computer. Das sind kompromittierte Systeme. Diese können - ohne das es groß auffält - zweckentfremdet werden, z.B. für DDOS Angriffe. Das müssen keine Computer sein (I'm looking at you Samsung Kühlschrank mit WLAN), sondern irgendwelche Geräte die Internetzugang haben und in der Lage sind Anfragen abzusenden.
Diese Botnetze werden von Unter Menschen betrieben, welche damit Geld verdienen diese Netze zu verkaufen. So könnten Menschen diese Netzwerke gegen einen Kostenbeitrag erwerben und in einem Zeitraum oder auch Volumenkontingent nutzen.
Z hat sich also ein Botnetz geshoppt und hat allen Geräten befohlen, den D-Trakt für heute aufzugeben aka. den Server mit Anfragen zu bombardieren. Diese Anfragen interpretiert der Server als legitim. Deswegen antwortet er.
Heißt unterm Strich:
Unser Server beschäftigt sich die ganze Zeit damit, Antworten rauszuschicken, statt das Spiel sauber laufen zu lassen.
Was sind A2S-Anfragen?
Das ist nichts Besonderes oder „böses“, sondern ganz normale Engine-Funktion.
Wird benutzt für:
- Serverliste in Steam
- Spieleranzahl
- Serverinfos
- Ping / Status
Jedes Mal wenn ein Server irgendwo angezeigt wird, laufen solche Queries im Hintergrund, auf jedem Server, immer und überall.
Ganz normaler Ablauf:
Client → Anfrage → Server → Antwort
Ohne das Ganze würde der Server nicht mal in der Liste auftauchen (Kommt euch das bekannt vor?)
Was passiert beim Angriff?
Im Prinzip das gleiche wie oben – nur komplett übertrieben.
- Sehr viele Systeme schicken gleichzeitig Anfragen
- Die sehen erstmal komplett valide aus
- Der Server nimmt die an
- Der Server antwortet darauf
Hier seht ihr wie ihr selber in dem Bild als unbeteiligte, keine Antwort mehr bekommt, da der Server als unnerreichbar markiert wird.
Das Problem ist weniger das Empfangen, sondern wirklich das Antworten.
Wenn das tausendfach gleichzeitig passiert, ist irgendwann einfach Schluss.
Challenge Flood
Die Source Engine hat eigentlich einen Schutz eingebaut: das sogenannte Challenge-System.
Gedanke dahinter:
Der Server gibt nicht sofort alle Infos raus, sondern sagt erstmal „beweise, dass du legit bist“.
Ablauf:
- Anfrage kommt rein
- Server schickt Challenge zurück
- Client muss die beantworten
- Dann erst gib’s echte Daten
Klingt sinnvoll – ist es auch.
Beim Angriff wird aber genau das missbraucht:
- Es kommen extrem viele erste Anfragen rein
- Der Server generiert für jede einzelne eine Challenge
- Diese Challenges sind wieder Antworten
Und damit hast du genau das Problem:
Der Server produziert sich die Last zum großen Teil selbst.
Warum man das nicht einfach blocken kann
Weil das Ganze nicht „offensichtlich falsch“ aussieht.
Die Anfragen sind:
- technisch korrekt
- erwartetes Verhalten der Engine
- nicht einfach über einen String filterbar
Wenn man zu hart filtert, passiert direkt:
- Server taucht nicht mehr in der Liste auf
- Spieler können nicht mehr sauber joinen
- legitime Requests werden gekillt
Ist also kein Fall von „einmal Firewall-Regel setzen und gut“.
Warum es bei SCP:RP so auffällt
SCP:RP ist bei sowas leider ziemlich empfindlich.
- viele Spieler gleichzeitig
- viele Interaktionen (SCPs, Türen, Zeug)
- viel Netzwerkverkehr generell
Wenn der Server nebenbei noch tausende Queries beantwortet:
- Aktionen kommen verzögert an
- Leute bewegen sich ruckelig
- Joinen wird instabil
- Anzeige in der Serverliste ist nicht mehr präsent
- Menschen schreiben "LAGS??? OMG ???" und "TARON WANN SERVER????" in den OOC und in die Shoutbox im FOrum
Was wir aktuell dagegen tun
Wir drehen aktuell an mehreren Stellschrauben gleichzeitig:
- Limitierung eingehender Queries auf Seite des Hosters
- Limitierung der Responses
- Filter im FORWARD-Chain Bereich
- laufende Traffic-Analyse (so blöd das klingt, je länger der DDOS desto besser die Analyse)
Der Trick ist:
So viel wie möglich abfangen, ohne legitime Spieler zu beeinträchtigen.
Was hat das mit dem Hoster zu tun?
Ich hab das in einem anderen Post schonmal versucht zu erklären, ich zitiere mich hier mal:
Stellt euch das einfach mal vor wie ein Dorf (Server) mit mehren Häusern (Gameserver, Websiten etc). Wenn jetzt zu einem Haus viele Pakete geschickt werden, wo überall Amazon drauf steht (deswegen sehen die legit aus) verstopft nicht nur der Hauseingang sondern irgendwann auch die Strasse und damit auch das ganze Dorf.
Um in meinem Bild zu bleiben, das Dorf hat keine Kontrolle über die Autobahn, an das es angebunden ist. Hier muss wer anders aktiv werden.
Der Hoster arbeitet gerade an einer Upstream Mitigation um die Angriffe abzuwehren.
Wir arbeiten an einer Möglichkeit die Challenge besser arbeiten zu lassen, damit unser Server nicht auf jeden Müll reagieren muss.
TL;DR
- Angriff nutzt normale A2S-Queries
- Server antwortet auf alles → erzeugt selbst Last
- Challenge-System verstärkt das Ganze
- Traffic sieht legitim aus → schwer zu blocken
- Server geht in die Knie
- Wir arbeiten an alles, was wir beeinflussen können
- Hoster arbeitet an der Mitigation
Wenn man es ganz stumpf sagt:
Der Server macht genau das Richtige – nur viel zu oft gleichzeitig.
Manche meiner Formulierungen waren etwas weird, daher habe ich versucht diese mit KI umzubauen. (KI-Disclaimer)
Wenn ihr Fragen habt - Fragt hier. Wir wollen euch als Community hier wirklich nicht im dunklen Stehen lassen.
