Angriff auf Heimnetzwerk - DDos?

[Traffic]

Hallo,

gestern hat mal wieder ein Halbstarker (zumindest seinem verhalten nach) meine Internetverbindung kurzzeitig lahmgelegt.

Wie es dazu kam:

Spoiler

Ich habe seit längerem mal wieder Warcraft 3 angeworfen um zur Entspannung etwas zu zocken (früher habe ich recht häufig gespielt aber dank der vielen Hacknutzer wurde es immer unentspannter). Jedenfalls bin ich sehr schnell auf einen Spieler getroffen, welcher sich recht dämlich angestellt hat. Ich hab dann im guten versucht ihm ein paar Tipps zugeben, zurück kam nur ein "noob". 10 Minuten später hat er dann verloren, beschimpfte mich wüst und drohte damit mein Internet zu kappen, "ein dummes Spiel zu verlieren ist viel besser als kein Internet mehr zu haben" Ich hab das soweit ignoriert.

Technisches zum betroffenen System:

Spoiler

Netzanschluss (Kabel, 100mbit) > Kabel Box (Bridgemode) > Router > PC (wired)
Windows 7, alles aktuell
Router RP614v4 (etwas betagt aber afaik keine relevanten Sicherheitsprobleme)
Wie kam er an die IP? Onlinespiel, p2p verbindung.

Reaktion des Systems:

Spoiler

Erstmal pausierte das Spiel mit der Nachricht "Warten auf anderen Spieler" (Es waren mehrere Spieler im Spiel), danach lief das Spiel kurze Zeit wieder bis zu einem weiteren "Warten auf anderen Spieler" es lieft nochmal kurz, danach war die Verbindung weg. Ich habe dann ein paar Minuten gewartet, aber die Verbindung war komplett unterbrochen, kein Timeout, keine langsame Verbindung o.ä. sondern einfach weg, als wäre der Router Offline. Ich habe danach sowohl die Kabel Box, als auch den Router 2x Neu gestartet, jedoch ohne irgendeine Änderung, es konnte absolut keine Verbindung mehr aufgebaut werden. Leider hatte ich zu der Zeit keinen anderen Rechner am Netz bzw. nicht daran gedacht einen ran zuhängen um zu sehen ob dieser eine Verbindung bekommt/Aufbaut. Ich hab dann den Rechner neu gestartet (der Router - nicht jedoch die Kabel Box wurde dabei auch noch einmal vom Strom genommen) und sofort nach Neustart war die Verbindung wieder da.

Ich meine diese Reaktion schon ein paar mal während Onlinespielen (insb. bei Warcraft 3) erlebt zu haben (auch auf anderen Rechnern) jedoch war bisher niemand dumm genug explizit zu erwähnen was er vorhat, die wenigsten werden wohl über ein VPN spielen...


Ich möchte nun gerne herausfinden, auf welche weise er mein Internet lahmgelegt hat. Da ich mich persönlich bisher wenig mit dem Thema beschäftigt habe, bin ich auf das Wissen von Experten angewiesen. Es wäre auch gut zu Erfahren, wie man solche Angriffe zukunftig erschweren kann, im Fall von DoS/DDoS dürfte das jedoch wohl eher unpraktikabel sein.

DoS?

Spoiler

Da der Angreifer zu ~85% aus den USA kommt (ich hatte leider keinen Packetsniffer o.ä. laufen), gehe ich davon aus, dass er nicht mit einer banalen DoS Attacke meine 100mbit Leitung komplett überlastet hat.

DDoS?

Spoiler

Heutzutage leider für jeden mit genug krimineller Energie kinderleicht durchzuführen. Jedoch habe ich auch hieran zweifel, insbesondere durch die Reaktion meines Systems. Zudem sollte ja auch der IPS etwas Filtern? Afaik hängen bei Kabel ja auch immer mehrere Endkunden an einer IP mit einer gesamtbandbreite von einigen hundert Mbit/s

Windows/TCP exploit o.ä.?

Spoiler

Da die Verbindung von Warcraft 3 recht Antiquar ist und afaik hauptsächlich über p2p läuft sowie die Ports 6112-6118 zwangsläufig offen sein müssen kommt mir dies am wahrscheinlichsten vor - allerdings fehlt mir hier wirklich die Expertise deswegen wäre ich für alle Infos dankbar.

 

[AliManali]

Hi

Wenn er das Spiel gehostet hat, kann er Deine IP auf verschiedene Weise rauskriegen. Die meisten nehmen ein Hostbot, da sieht man Deine IP in der Konsole. Ausserdem lassen sich die IPs der Spieler mit Tools wie WCIII Banlist ausgeben, sofern man selber Host ist.

Falls Du nicht selber Games hostest, brauchst Du übrigens gar keine Ports zu "öffnen".

Für einen DOS Angriff braucht er übigens gar keinen so grossen Upload, es reicht, wenn er eine passende Gegenstelle findet, auf die er tausende von Verbindungen öffnen kann (z.B. ein Webserver). Hast Du irgendwelche Server in deinem Netzwerk am laufen?

 

[WIN.ini]

[...]Ich hab dann den Rechner neu gestartet (der Router - nicht jedoch die Kabel Box wurde dabei auch noch einmal vom Strom genommen) und sofort nach Neustart war die Verbindung wieder da.[...]

Wenn deine Kabelbox im Bridgemodus ist, übernimmt sie soweit ich weiß trotzdem noch die Einwahl ins Netz.
Das bedeutet deine IP war permanent die Selbe (wird erst mit Neustart des Kabelmodem geändert).
Demzufolge hättest du anschließend trotzdem Probleme haben müssen, sofern es ein DDOS Angriff war.

 

[Traffic]

Danke für die Antworten, wie er an die IP kam ist mir schon klar, das habe ich etwas unglücklich geschrieben - sorry! War eigentlich dazu gedacht Fragen vorzubeugen, wie er daran kam ;-)

Zum einen Hoste ich, zum anderen habe ich mit dem Kabelanschluss das Problem, dass ich ohne offene Ports immer nach ein paar sekunden aus jedem Spiel lage, zuvor gings auch ohne.

Nein, kein Server o.ä., zumindest nicht zu diesem Zeitpunkt. Es war nur der Spielerechner am Netz. Wie es jedoch mit dem Kabelcluster aussieht weis ich nicht - weder ob irgendwer anders Server laufen hat, noch ob die anderen Netzwerke im Cluster überhaupt von belang sind. Es läuft noch etwas über den normalen "Telefon/DSL Anschluss" aber das ist ja ein komplett anderes Netz und sollte in keinster weise mit dem Kabelnetz in verbindung stehen.

Die Kabelbox hatte ich davor 2 mal vom Netz genommen, aber ohne jeglich wirkung. Afaik dauert es teilweise recht lange, bis eine neue IP zugeteilt wird (wenn überhaupt) also könnte es natürlich theoretisch sein, dass sie sich gerade in den 25 Sekunden des Neustarts die neue IP besorgt hat. Grundsätzlich bin ich aber auch der Meinung, dass alles in Summe weniger auf einen DDoS hindeutet. Die Frage ist, was war es dann bzw. was war es am wahrscheinlichsten?