Was ist DDoS und warum sind Gameserver besonders betroffen?
Ein Distributed Denial of Service (DDoS) ist ein verteilter Überlastungsangriff, bei dem eine große Zahl kompromittierter Geräte (Botnetze) gleichzeitig Anfragen an ein Zielsystem senden. Ziel ist es, die verfügbaren Ressourcen wie Bandbreite, CPU oder RAM so zu erschöpfen, dass legitime Nutzer nicht mehr bedient werden können. DDoS-Angriffe sind seit Jahren die größte Verfügbarkeitsbedrohung im Internet – laut Anbietern wie Cloudflare, NETSCOUT und Microsoft nehmen Volumen und Frequenz weiter zu.
Gameserver sind aus mehreren Gründen ein bevorzugtes Ziel: Ihre IP-Adresse ist in der Regel öffentlich, der Datenverkehr erfolgt in Echtzeit und Spieler reagieren empfindlich auf Latenz. Ein paar hundert Millisekunden zusätzlicher Ping reichen aus, um ein Match unspielbar zu machen. Hinzu kommt eine vergleichsweise geringe Bandbreite pro Slot (häufig 50–128 kbps), wodurch selbst kleine volumetrische Angriffe einen Server komplett lahmlegen können. Nicht zuletzt motivieren Wettbewerbsdruck, Rache oder schlicht Langeweile Angreifer dazu, gezielt Server bekannter Communities, Clans oder eSports-Teams anzugreifen.
Arten von DDoS-Angriffen
DDoS-Angriffe werden in drei Hauptkategorien unterteilt. Wer seinen Server schützen will, muss die Unterschiede kennen, denn die passenden Gegenmaßnahmen unterscheiden sich deutlich.
- Volumetrische Angriffe: UDP-Floods, ICMP-Floods, DNS-Amplification und NTP-Amplification zielen auf die Sättigung der Internetanbindung. Sie messen sich in Gbit/s und werden in Terabit-Bereichen immer häufiger. Schutz bieten BGP-basierte Scrubbing-Zentren und Anycast-Netzwerke.
- Protokoll-Angriffe (State-Exhaustion): SYN-Floods, Ping of Death, Smurf-Attacken und fragmentierte Pakete zielen auf die Netzwerk-Stack-Implementierung des Servers. Hier helfen SYN-Cookies, Connection-Limits und Firewalls auf Kernel-Ebene (iptables/nftables).
- Application-Layer-Angriffe (L7): HTTP-Floods, Slowloris, Game-Protokoll-Exploits und Challenge-Storming (Massenauthentifizierungen) sind besonders tückisch, weil sie legitime Spielerverkehr imitieren. Schutz bieten hier WAFs, Verhaltensanalyse und Rate-Limits auf Applikationsebene.
Symptome eines laufenden Angriffs
Ein DDoS-Angriff zeigt sich auf einem Gameserver meist durch klare Symptome. Wenn du mehrere dieser Anzeichen gleichzeitig beobachtest, solltest du handeln:
- Plötzlicher Lag: Spieler berichten von Paketverlust, Spikes im Ping oder Timeouts – obwohl die Hardware-Auslastung normal ist.
- Massive Disconnects: Spieler werden im Sekundentakt vom Server geworfen, oft mit „Connection timed out" oder „Lost connection".
- Server-Crash: Der Daemon stürzt ab oder reagiert nicht mehr. Häufige Ursache: OOM-Killer durch SYN-Backlog oder UDP-Flood.
- Hohe Netzwerkauslastung: Der Netzwerkmonitor zeigt dauerhaft 80–100 % der Anbindung, obwohl nur wenige Spieler online sind.
- Viele identische Quell-IPs: Logfiles zeigen eine ungewöhnliche Häufung von Verbindungen aus fremden Netzen, oft in kurzen Intervallen.
- Erreichbarkeit via SSH eingeschränkt: Selbst administrative Logins sind langsam oder unmöglich, weil die Bandbreite am Anschlag ist.
Schutzebenen: Netzwerk, Host und Applikation
Ein wirksamer DDoS-Schutz für Gameserver beruht auf drei Ebenen, die ineinandergreifen. Wer nur eine Ebene absichert, lässt Lücken – ein erfahrener Angreifer findet sie.
1. Netzwerk-Ebene (Upstream-Scrubbing): Schon bevor Pakete den Server erreichen, sollten sie durch ein Scrubbing-Zentrum des Providers oder eines Drittanbieters gefiltert werden. Anbieter wie OVH (VAC), Hetzner, TCPShield, Cosmic Guard oder Cloudflare Spectrum leiten den Traffic über ihre Anycast-Infrastruktur, erkennen Anomalien und blocken bösartige Pakete. Diese Ebene schützt besonders effizient gegen volumetrische Angriffe und SYN-Floods.
2. Host-Ebene (OS-Firewall): Auf dem Server selbst filtert eine lokale Firewall (iptables, nftables, CSF) den verbleibenden Traffic. Hier setzt du Rate-Limits, SYN-Cookies, Connection-Limits und GeoIP-Filter um. Diese Ebene fängt Angriffe ab, die der Upstream durchgelassen hat, und schützt vor L7-Exploits, die nur der Game-Daemon erkennt.
3. Applikations-Ebene: Auf der Anwendungsschicht implementierst du Authentifizierungs-Rate-Limits, Query-Filter und Behavior-basierte Erkennung. Bei Minecraft-Servern etwa kannst du mit Paper/Spigot-Plugins ungültige Loginversuche oder kaputte Chats blocken. Bei Source-Engine-Spielen (CS2, TF2) helfen SourceMod-Plugins wie „DDoS Detector".
Anbieter-Vergleich: DDoS-Schutz für Gameserver 2026
Die folgende Tabelle vergleicht die gängigsten Anbieter für Game-DDoS-Schutz. Die Preise beziehen sich auf den jeweiligen Einstiegs-Tarif (Stand Juni 2026) und können je nach Region und Vertragslaufzeit abweichen.
| Anbieter | Schutzumfang | Inklusive | Preis ab | Spiele / Eignung |
|---|---|---|---|---|
| OVH Game DDoS Protection (VAC) | Permanent, Always-on, 480 Gbit/s Netzwerk | Bei Game-Serien inklusive | ca. 5–7 €/Monat (Game-Server) | Minecraft, CS2, Rust, alle OVH-Games |
| Hetzner Cloud | Bis 1,5 Tbit/s Scrubbing, manuell aktivierbar | Im Cloud-Server inklusive, AX-Serie | ca. 4,35 €/Monat (CX22) | Minecraft, Valheim, kleine Projekte |
| Contabo | Volumetrisch + L7 bis ca. 15 Gbit/s | Bei allen VPS/Dedicated inklusive | ca. 4,99 €/Monat (VPS S) | Minecraft, kleine Survival-Server |
| G-Portal | Permanenter DDoS-Schutz, Game-spezifisch | Inklusive im Mietpreis | ca. 8–12 €/Monat | ARMA, 7DTD, Conan, Valheim |
| ZAP-Hosting | Bis 1,2 Tbit/s, automatische Erkennung | Inklusive, 24/7 NOC | ca. 4–7 €/Slot (Game-Server) | Minecraft, CS2, Project Zomboid, alle Games |
| TCPShield | Reverse-Proxy, 1 Tbit/s Backend, L3–L7 | Freier Tier bis 25 Gbit/s, Premium ab 10 $/Monat | kostenlos / ab 10 $/Monat | Minecraft, alle Java-Spiele, generisch |
| Cosmic Guard | L3–L7, BGP-Routing, 2 Tbit/s+ | Premium-Service, 24/7 Support | ab ca. 25 €/Monat pro IP | Minecraft, FiveM, CS2, größere Projekte |
| Path.net (Path DDoS Protection) | Hybride Cloud-On-Demand, 4 Tbit/s+ | Pay-per-use, BGP-fähig | ab ca. 50 $/Monat | Enterprise, große eSports, F2P-Titel |
Hinweis zur Auswahl: Für private Minecraft- oder Valheim-Server reicht in der Regel der Schutz von Hetzner, ZAP-Hosting oder TCPShield (kostenloser Tier). Wer kommerzielle Server oder eSports-Lobbys betreibt, sollte zu OVH, Cosmic Guard oder Path.net greifen. Contabo ist preislich attraktiv, der Schutz aber nicht so leistungsfähig wie bei den spezialisierten Anbietern.
Konfiguration am Server: iptables und nftables Basics
Selbst mit gutem Upstream-Schutz solltest du den Server selbst härten. Die meisten DDoS-Angriffe auf Gameserver zielen auf UDP-Ports – die gute Nachricht: Du kannst mit wenigen iptables-Regeln viel erreichen.
1. SYN-Flood-Schutz aktivieren: Linux bietet eingebaute Schutzmechanismen, die du mit sysctl aktivieren kannst:
# SYN-Cookies aktivieren
sysctl -w net.ipv4.tcp_syncookies=1
# SYN-Backlog vergrößern
sysctl -w net.ipv4.tcp_max_syn_backlog=4096
# Verbindungen mit unvollständigem Handshake schnell schließen
sysctl -w net.ipv4.tcp_synack_retries=22. Connection-Limits pro IP setzen (iptables): Damit ein einzelner Angreifer nicht tausende Connections gleichzeitig öffnen kann:
# Minecraft Standardport 25565
iptables -A INPUT -p tcp --dport 25565 -m connlimit --connlimit-above 30 -j REJECT
# UDP-Rate-Limit pro IP (z. B. 50 Pakete/Sekunde)
iptables -A INPUT -p udp --dport 25565 -m limit --limit 50/s --limit-burst 100 -j ACCEPT
iptables -A INPUT -p udp --dport 25565 -j DROP3. nftables (modernere Alternative): nftables ersetzt iptables seit Kernel 5.x und ist performanter. Eine minimale Game-Server-Firewall:
table inet filter {
chain input {
type filter hook input priority 0; policy drop;
ct state established,related accept
iif lo accept
ip saddr 1.2.3.4 tcp dport 22 accept # SSH whitelist
tcp dport 25565 ct state new limit rate 100/second accept
udp dport 25565 limit rate 200/second accept
}
}4. GeoIP-Filterung: Wenn deine Spieler ausschließlich aus Deutschland und Österreich kommen, kannst du Traffic aus anderen Ländern über ipset + xt_geoip blocken. Achtung: VPNs und CDNs erschweren das Filtern, und falsche Regeln sperren Kunden aus.
Cloudflare Spectrum und Magic Transit für Game-Traffic
Cloudflare bietet mit Spectrum einen Reverse-Proxy für beliebige TCP- und UDP-Protokolle – inklusive Minecraft, FiveM, Valheim, CS2 (über Steamworks) und Source-Engine-Spiele. Der Traffic fließt über das globale Cloudflare-Netzwerk mit über 300 Tbit/s Kapazität, und Angriffe werden bereits am Rand des Netzwerks gestoppt. Spectrum ist allerdings kostenpflichtig: Der „Pro"-Tarif kostet ab ca. 1 $/Monat pro Service, „Enterprise" wird individuell kalkuliert.
Magic Transit richtet sich an Anbieter und größere Studios: Hier wird nicht der einzelne Server, sondern das gesamte Netz per BGP zu Cloudflare geroutet. Magic Transit schützt bis zu 1 Tbit/s pro IP-Range, ist auf L3/L4 spezialisiert und eignet sich für Game-Publisher mit eigenem ASN.
Praktischer Hinweis: Für einen typischen Minecraft- oder Valheim-Server mit 20–50 Spielern reicht Spectrum Pro in der Regel aus. Du musst dafür deine Server-IP durch die Cloudflare-IP ersetzen und am Game-Server die echte IP per Firewall auf Cloudflare-Ranges beschränken – sonst umgehen Angreifer den Schutz, indem sie die Original-IP direkt angreifen.
Best Practices: Server gehärtet, Fail2Ban, Monitoring
Ein DDoS-Schutz funktioniert nur, wenn auch das Drumherum stimmt. Diese Maßnahmen ergänzen den Upstream-Schutz und gehören zum Pflichtprogramm jedes Server-Betreibers:
- Server gehärtet: Aktiviere SYN-Cookies, schließe ungenutzte Ports, deaktiviere ICMP-Ping auf öffentlichen Interfaces und halte den Kernel aktuell. Eine ausführliche Anleitung findest du in unserem Linux-Server-härten-Guide.
- Fail2Ban einsetzen: Fail2Ban blockiert IPs, die wiederholt fehlerhafte Logins oder verdächtige Muster erzeugen. Besonders wirksam für SSH und Game-Login-Dienste.
- Monitoring mit Uptime Kuma: Uptime Kuma ist ein selbst gehostetes Open-Source-Monitoring-Tool. Es prüft Latenz, Spielerslots und TCP/UDP-Ports in Intervallen und benachrichtigt dich per Telegram, Discord oder E-Mail, wenn dein Server ungewöhnlich langsam antwortet – oft das erste Warnsignal für einen laufenden Angriff.
- Origin-IP geheim halten: Nutze einen Reverse-Proxy wie TCPShield, Cosmic Guard oder Cloudflare Spectrum, damit die echte Server-IP nicht in DNS-Records, historischen WHOIS-Daten oder Steam-Serverlisten auftaucht.
- Regelmäßig Backups: Auch wenn DDoS-Angriffe keine Daten zerstören: Ein Backup verschafft dir Sicherheit für den Fall, dass der Angriff mit anderen Angriffen kombiniert wird (Ransom-DDoS).
Notfall-Plan: Was tun bei laufendem Angriff?
Trotz aller Vorbereitung kann ein Angriff deinen Server treffen. Mit diesem Notfall-Plan reagierst du schnell und strukturiert:
- Ruhe bewahren und Angriff verifizieren: Prüfe Monitoring (Uptime Kuma, Grafana) und Netzwerk-Statistiken (iftop, nload). Handelt es sich um einen echten DDoS oder ein harmloses Lastproblem?
- Provider kontaktieren: Viele Hoster (OVH, Hetzner) haben 24/7-NOCs und können Scrubbing manuell aktivieren oder die IP auf eine „Mitleidens-IP" umleiten. Halte Server-ID, IP und Logauszüge bereit.
- Reverse-Proxy aktivieren: Falls du TCPShield oder Cloudflare Spectrum vorbereitet hast, schalte den Proxy ein und ändere die DNS-Records / Minecraft-Server-Eintrag auf die Proxy-IP.
- Lokale Filter verschärfen: Begrenze UDP/TCP pro IP, blocke Top-Angriefer-Netze, aktiviere GeoIP-Filterung. Bei SYN-Floods erhöhe SYN-Backlog und senke SYNACK-Retries.
- Spieler informieren: Kommuniziere transparent im Discord oder Forum – kurze Infos verhindern Spekulationen und stärken das Vertrauen.
- Logs sichern: Speichere tcpdump-Aufzeichnungen, iptables-Statistiken und Game-Logs – diese Daten helfen später bei der Analyse und für eventuelle Anzeige.
- Anzeige in Erwägung ziehen: Bei schweren, wiederholten Angriffen ist eine Anzeige beim BKA oder der zuständigen Landespolizei sinnvoll. Logfiles und PCAP-Aufzeichnungen dienen als Beweismittel.
Fazit
DDoS-Schutz ist für jeden Gameserver-Betreiber Pflicht – nicht nur für kommerzielle Anbieter. Die Kombination aus Upstream-Scrubbing durch einen spezialisierten Anbieter (OVH, Hetzner, TCPShield, Cosmic Guard), einer sauber konfigurierten Host-Firewall (iptables/nftables) und kontinuierlichem Monitoring (Uptime Kuma) deckt die Mehrzahl der Angriffe zuverlässig ab. Für komplexere Szenarien liefert Cloudflare Spectrum einen leistungsfähigen L4-Proxy, dessen Kosten sich für mittelgroße Communities schnell rechnen.
Wichtig ist, den Schutz bereits in Friedenszeiten einzurichten – nicht erst, wenn der Angriff läuft. Wer Origin-IP geheim hält, GeoIP- und Rate-Limits sauber konfiguriert und regelmäßig Backups anlegt, ist gegen 95 % der Angriffe gewappnet. Die restlichen 5 % (gezielte, monatelange Kampagnen) erfordern professionelle Hilfe, sind aber selten und betreffen fast ausschließlich hochrangige eSports-Teams oder kontroverse Community-Projekte. Handle jetzt, härte deinen Server und schlafe ruhiger.