Lezte Woche habe ich über Twitter die Verbindungsabbrüche in die USA über unsere Unitymedia-Leitung bemängelt. Aufgefallen war mir dies, da ich in einem Onlinespiel (EvE-Online) ständig getrennt wurde.

Anfänglich dachte ich an ein einfaches Routingproblem, da diese auch über die Telekom-Leitung häufiger auftraten. Laut CCP (dem Hersteller des Spiels) lagen die Abbrüche zu dem Zeitpunkt jedoch an deren Anbindung. Diese äußerten sich immer darin, dass man aus dem Spiel flog und sich im Login-Screen wiederfand welcher auch dann noch keine Daten vom Server empfing. (Spielerzahlen, Status usw. waren nicht verfügbar)

Diese Abbrüche waren jedoch anders. Jedes mal wenn die Verbindung abbrach hatte ich „Stillstand“ im Spiel. Stillstand bedeutet, dass alles genau so weiter läuft wie gewohnt, man jedoch keine verändernden Aktionen (z.B. einen Schiffsabschuss, Chatten, Inventar abfragen…) ausführen konnte. Man merkte also erst mal nichts davon, dass die Verbindung bereits abgerissen war.

Diese Woche traten diese Verbindungsabbrüche wiederholt auf, so dass ich versuchte nachzuvollziehen, woran es eventuell auf unserer Seite liegen könnte, da andere im Spiel über keinerlei Probleme klagten.

Bei näherer Betrachtung der Router-Logfiles fiel mir auf, dass in diesen häufiger zum Zeitpunkt der Ausfälle die folgenden Zeilen zu lesen waren:

May 15 11:31:20 PING-FLOODING flooding attack from WAN (ip:82.98.93.245) detected.
May 15 11:31:20 PING-FLOODING flooding attack from WAN (ip:82.98.93.245) detected.
May 15 11:31:18 PING-FLOODING flooding attack from WAN (ip:82.98.93.245) detected.
May 15 11:30:59 PING-FLOODING flooding attack from WAN (ip:82.98.93.245) detected.
May 15 11:30:59 PING-FLOODING flooding attack from WAN (ip:82.98.93.245) detected.
May 15 11:30:45 PING-FLOODING flooding attack from WAN (ip:82.98.93.245) detected.
May 15 11:30:43 PING-FLOODING flooding attack from WAN (ip:82.98.93.245) detected.

Zum selben Zeitpunkt war meine Mutter auf einer Website unterwegs, welche Werbung von genau dieser Seite / IP geschaltet hatte.

Die IP gehört laut DomainTools zur AdRom Holding AG (mit Briefkästen Firmensitz/Niederlassungen in Liechtenstein, Deutschland, Österreich und der Schweiz) einer „Dialogmarketing“-Agentur (also known as Spamversender).

Fraglich ist, warum eine Werbe-Firma Interesse daran hat, potentielle Kunden zu flooden

Ich hab daher nun erst mal allen ICMP Traffic über die Firewall gesperrt. Mal gucken ob ich weiterhin raus flieg…

 

Update: Brachte leider nix, anstatt den ICMP Traffic dann einfach zu verwerfen fängt er diesen immer noch ab, was dann darin endet, dass er alle Verbindungen kurz unterbricht. Zu lang für das Spiel, ICQ, IRC … oder was auch immer eine ständige Verbindung haben möchte. 😐

 

Update 2: Es liegt scheinbar an der mitgelieferten DLink Box. Die interne SPI-Firewall scheint mit „Ping“-Requests überfordert zu sein und hängt sich dann wohl ab und an gerne mal auf.[citation needed] Aktuell habe ich wieder eine Fritz!Box an der Leitung (Vielen Dank an den AVM Support für das neue Netzteil! ;)) und alles läuft stabil (und gefühlt schneller als über die DLink Box)