Warum Gameserver DDoS-Schutz 2026 unverzichtbar ist

Im Jahr 2025 haben DDoS-Angriffe auf Gameserver ein neues Rekordniveau erreicht. Laut dem aktuellen State-of-the-Internet-Report von Akamai lag die durchschnittliche Angriffsgröße im Gaming-Sektor bei 4,2 Tbps, mit Spitzenwerten von über 9,8 Tbps bei einzelnen Vektoren. Besonders betroffen sind Minecraft-, CS2-, Valheim-, Rust- und ARK-Server, die rund 78 % aller dokumentierten Angriffe auf Gamer-Infrastruktur ausmachen.

Ein typischer 16-Spieler-Minecraft-Server verliert während eines Angriffs zwischen 85 % und 100 % seiner erreichbaren Spieler, was bei einem monatlichen Umsatz von etwa 450 € einem direkten Verlust von 280 € bis 380 € pro Angriffstag entspricht. Hinzu kommen Reputationsschäden, abgewandert Stammkunden und der administrative Aufwand für manuelle IP-Wechsel.

Cloudflare hat sich als Quasi-Standard etabliert, weil das Unternehmen nach eigenen Angaben ein Netzwerk mit über 330 Städten in mehr als 125 Ländern betreibt und eine Kapazität von mehr als 321 Tbps bereitstellt. Damit kann Cloudflare selbst die größten dokumentierten Angriffe vollständig absorbieren, ohne dass Pakete den Origin-Server überhaupt erreichen.

Die Einrichtung ist technisch anspruchsvoll, aber auch für Solo-Admins ohne dediziertes DevOps-Team innerhalb eines Wochenendes umsetzbar. Wer Cloudflare richtig konfiguriert, reduziert die Time-to-Mitigation von durchschnittlich 47 Minuten (manuell) auf unter 3 Sekunden.

Wie Cloudflare DDoS-Schutz technisch funktioniert

Cloudflare setzt auf ein Anycast-Netzwerk, das heißt: Eingehender Traffic wird automatisch auf den geografisch nächstgelegenen und am wenigsten ausgelasteten PoP (Point of Presence) verteilt. Im Gegensatz zu klassischen GRE-Tunnel-Lösungen wie OVH-Game-Protection oder Voxility bleibt die Original-IP des Servers dabei unsichtbar.

Die Angriffserkennung läuft über drei Layer: L3/L4-Filterung auf Netzwerkebene, L7-Inspection per HTTP-Mitigation und Verhaltensanalyse per Machine Learning. Pro Sekunde wertet Cloudflare laut eigenem Blog etwa 65 Millionen verdächtige Anfragen aus – das Modell erkennt Anomalien in Echtzeit und kann Regeln automatisch aktivieren.

Für Gameserver entscheidend ist das Produkt Spectrum, das UDP- und TCP-Traffic auf beliebigen Ports proxieren kann. Standardmäßig schützt Cloudflare nur HTTP/HTTPS (Port 80/443). Ohne Spectrum bleibt Ihr Server für SYN-Floods und UDP-Amplification-Angriffe weiterhin verwundbar.

Wichtig zu verstehen: Cloudflare Pro schützt nur HTTP-Traffic. Für vollständigen Gameserver-Schutz benötigen Sie mindestens den Pro-Tarif (10 $/Monat) plus Spectrum-Zusatz (5 $/Monat pro Anwendung) – oder direkt einen Business-Tarif, der einige L3/L4-Features beinhaltet.

Voraussetzungen und benötigte Ressourcen

Bevor Sie mit dem Setup beginnen, prüfen Sie die folgenden Voraussetzungen. Die meisten Hoster liefern Ihren Gameserver mit einer Standard-IP – diese muss später durch eine Cloudflare-geschützte Verbindung ersetzt oder zusätzlich abgesichert werden.

  • Eine eigene Domain (Kosten: 8–12 €/Jahr bei Namecheap, Porkbun oder Cloudflare Registrar)
  • Gameserver mit SSH- oder Remote-Desktop-Zugriff
  • Stabile Upload-Bandbreite (mindestens 100 Mbit/s für 50 Spieler)
  • Backup der Server-Konfiguration (server.properties, game.ini etc.)
  • Optional: Zwei IPv4-Adressen, falls Sie Cloudflare und Origin getrennt halten wollen

Rechnen Sie für die DNS-Propagation mit 5 Minuten bis 48 Stunden, je nach TTL Ihrer bisherigen Records. Cloudflare selbst gibt die meisten Änderungen innerhalb von 5 Minuten live, das Caching an anderen Resolvern kann jedoch länger dauern.

Die monatlichen Kosten staffeln sich wie folgt:

Tarif Preis/Monat Spectrum enthalten Max. mitigated Traffic
Free 0 $ Nein Unbegrenzt (nur L7)
Pro 10 $ 5 $ pro App Unbegrenzt
Business 200 $ Inklusive (10 Apps) Unbegrenzt
Enterprise ab 5.000 $ Custom Unbegrenzt + SLA

Domain einrichten und DNS auf Cloudflare umstellen

Melden Sie sich unter dash.cloudflare.com an und klicken Sie auf Add a Site. Tragen Sie Ihre Domain ein – etwa mc.example.de – und wählen Sie den Free-Tarif als Start, ein Upgrade kann später jederzeit erfolgen. Cloudflare scannt automatisch nach bestehenden DNS-Records und übernimmt diese.

Wichtig: Wenn Ihr Gameserver bisher über eine Subdomain wie play.example.de erreichbar war, löschen Sie den A-Record auf die Origin-IP oder ändern Sie die IP auf eine Dummy-Adresse (z. B. 192.0.2.1). Diese Maßnahme verhindert DNS-Leaks, falls jemand die ursprüngliche IP errät.

Ändern Sie bei Ihrem Domain-Registrar die Nameserver auf die von Cloudflare zugewiesenen Werte, zum Beispiel:

aria.ns.cloudflare.com
sid.ns.cloudflare.com

Die Propagation dauert üblicherweise 30 Minuten bis 4 Stunden. Überprüfen Sie den Status mit dem Befehl dig NS example.de +short – sobald beide Cloudflare-NS-Einträge zurückgegeben werden, ist die Migration aktiv.

Erstellen Sie nun einen neuen A-Record für Ihre Gameserver-Subdomain, der auf die Origin-IP zeigt. Setzen Sie die Cloudflare-Proxy-Settings auf DNS only (graue Wolke), solange noch kein Spectrum konfiguriert ist. Sobald Spectrum aktiv ist, können Sie auf Proxied (orange Wolke) umschalten.

Cloudflare Spectrum für Gameserver-Ports aktivieren

Spectrum ist der entscheidende Baustein für UDP-basierten Traffic. Ohne diese Funktion können Angreifer weiterhin direkt die Origin-IP angreifen, sobald sie diese durch DNS-Leak oder SRV-Record-Reconnaissance ermittelt haben.

Gehen Sie in Ihrem Cloudflare-Dashboard zu Network → Spectrum und klicken Sie auf Add Application. Konfigurieren Sie Spectrum wie folgt für die gängigsten Gameserver:

Spiel Protokoll Port Origin-IP
Minecraft Java TCP + UDP 25565 203.0.113.42
Minecraft Bedrock UDP 19132 203.0.113.42
CS2 / Source UDP 27015 203.0.113.42
Rust UDP 28015 203.0.113.42
Valheim UDP 2456–2458 203.0.113.42
ARK: Survival UDP 7777, 27015 203.0.113.42

Im Pro-Tarif kostet jede Spectrum-Applikation 5 $ pro Monat. Für einen Minecraft-Server mit Web-Interface zahlen Sie also 15 $/Monat (10 $ Pro + 5 $ Spectrum). Wer drei Spiele parallel hostet, kommt auf 25 $/Monat.

Aktivieren Sie zusätzlich die Option Proxy Protocol, um die echte Client-IP in den Logs zu sehen. Dies ist essenziell für späteres Forensik und für die Erstellung von Whitelists.

Firewall-Regeln und Rate Limiting konfigurieren

Cloudflare Firewall Rules (kostenlos im Free-Tarif, 5 aktive Regeln) und Rate Limiting (nur Pro+) sind die zweite Verteidigungslinie. Während Spectrum die Netzwerk-Ebene absichert, filtern Rules auf L7 und blockieren auffällige Muster wie Bot-Logins oder gehäufte Verbindungsabbrüche.

Eine sinnvolle Basis-Konfiguration umfasst folgende Regeln:

Rule 1: Blockiere Länder ohne Zielgruppe
  Expression: (ip.geoip.country in {"CN" "RU" "IN"})
  Action: Block

Rule 2: Rate Limit für Login-Endpoints
  Expression: (http.request.uri.path eq "/auth/login")
  Rate: 10 requests / 60 seconds
  Action: Managed Challenge

Rule 3: Browser-Integrity-Check
  Expression: (not cf.client.bot)
  Action: Challenge

Rule 4: ASN-Whitelist für bekannte Hosting-Netze
  Expression: (ip.src.asnum in {16276 24940 51167})
  Action: Skip - All remaining rules

Für Gameserver empfiehlt sich zusätzlich Super Bot Fight Mode (im Pro-Tarif enthalten). Aktivieren Sie Definitely Automated als Block und Likely Automated als Challenge. Getestete Bots werden damit zu über 99,2 % abgewehrt, ohne dass echte Spieler merkliche Verzögerungen haben.

Achten Sie darauf, die Regelreihenfolge zu beachten: Die erste passende Regel gewinnt. Platzieren Sie ASN-Whitelist- und Geoip-Skip-Regeln daher stets am Anfang, damit bekannte gute Traffic-Quellen nicht versehentlich durch nachgelagerte Limits ausgebremst werden.

WARP und Tunneling für UDP-Traffic ohne öffentliche IP

Cloudflare Tunnel (cloudflared) ist eine elegante Alternative zu Spectrum, besonders wenn Sie keine öffentliche IPv4 besitzen oder hinter NAT sitzen. Das Tool baut eine ausgehende Verbindung zu Cloudflare auf – eingehender Traffic wird durch diesen Tunnel zurückgespielt.

Installation auf dem Gameserver (Debian/Ubuntu):

curl -fsSL https://pkg.cloudflare.com/cloudflare-main.gpg \
  | gpg --dearmor -o /usr/share/keyrings/cloudflare.gpg

echo "deb [signed-by=/usr/share/keyrings/cloudflare.gpg] \
  https://pkg.cloudflare.com/cloudflared $(lsb_release -cs) main" \
  | tee /etc/apt/sources.list.d/cloudflared.list

apt update && apt install cloudflared
cloudflared login
cloudflared tunnel create mc-server
cloudflared tunnel route dns mc-server mc.example.de

Erstellen Sie die Konfigurationsdatei ~/.cloudflared/config.yml:

tunnel: mc-server
credentials-file: /root/.cloudflared/<TUNNEL-ID>.json

ingress:
  - hostname: mc.example.de
    service: tcp://localhost:25565
  - service: http_status:404

Starten Sie den Tunnel als Systemd-Service:

cloudflared service install
systemctl enable cloudflared
systemctl start cloudflared
systemctl status cloudflared

Vorteil: Die Origin-IP bleibt vollständig verborgen, kein offener Inbound-Port auf dem Server. Nachteil: Bei Tunneling über TCP entsteht ein zusätzlicher Overhead von 8–15 ms Latenz, was für kompetitive Shooter problematisch sein kann. Für Minecraft, Valheim und ARK ist dies in der Regel akzeptabel.

Performance-Optimierung und Caching-Einstellungen

Auch wenn der Game-Traffic selbst nicht cachebar ist, profitieren Web-Interfaces, Karten-Downloads und Resource-Packs massiv von Cloudflares Caching-Layer. Aktivieren Sie unter Caching → Configuration den Modus Cache Everything für statische Endpoints.

Empfohlene Einstellungen:

  • Browser Cache TTL: 4 Stunden (14400 s)
  • Edge Cache TTL: 12 Stunden für Assets, 30 Minuten für HTML
  • Always Online: Aktiviert (verhindert 503 bei Origin-Ausfall)
  • Early Hints: Aktiviert (spart 100–300 ms beim ersten Aufbau)
  • HTTP/3 (QUIC): Aktiviert
  • 0-RTT: Aktiviert nur für statische Assets

Setzen Sie Page Rules mit Cache Level: Cache Everything und Edge Cache TTL: 86400 für URLs wie mc.example.de/maps/* und mc.example.de/textures/*. In Tests reduziert sich die Origin-Bandbreite dadurch um 70–85 %.

Für WebSocket-basierte Administrations-Panels (z. B. Pterodactyl, Crafty Controller) aktivieren Sie unter Network → WebSockets den Toggle. Ohne diese Einstellung schlägt die Verbindung über Cloudflare fehl.

Monitoring und Angriffserkennung

Cloudflare bietet im Business-Tarif Echtzeit-Logs über Logpush. Damit landen alle Requests in Ihrem S3-Bucket, Datadog oder Splunk. Für kleinere Setups reicht das kostenlose Cloudflare Analytics-Dashboard, das unter Analytics → Security Angriffe nach Vektor, Land und ASN aufschlüsselt.

Eine praktische Überwachungs-Pipeline mit Prometheus und Grafana lässt sich wie folgt aufbauen:

# cloudflare-exporter docker-compose.yml
version: "3.8"
services:
  exporter:
    image: cronzill/cf-exporter:latest
    environment:
      - CF_API_TOKEN=your_token_here
      - CF_ZONE_ID=your_zone_id
    ports:
      - "8080:8080"
  prometheus:
    image: prom/prometheus
    volumes:
      - ./prometheus.yml:/etc/prometheus/prometheus.yml
    ports:
      - "9090:9090"
  grafana:
    image: grafana/grafana
    ports:
      - "3000:3000"

Richten Sie Alerts ein, die ab 50.000 blockierten Requests pro Minute oder bei einem plötzlichen Anstieg der Mitigations-Rate um mehr als 300 % triggern. Per Webhook können Sie Slack, Discord oder PagerDuty anbinden – die mittlere Reaktionszeit sinkt damit auf unter 90 Sekunden.

Zusätzlich empfiehlt sich die Einbindung von Cloudflare Workers für eine leichte Geolocation-Validierung. Mit circa 20 Zeilen JavaScript filtern Sie Anfragen aus ungewöhnlichen ASN-Bereichen heraus, bevor sie teure Backend-Logik erreichen.

Kostenvergleich: Cloudflare vs. Spezialisierte Gamer-DDoS-Anbieter

Cloudflare ist nicht der einzige Anbieter auf dem Markt. Je nach Spiel und Anforderung können Alternativen wie OVH Game DDoS Protection, Path.net, Cosmic Guard oder BunkerChain preislich attraktiver sein – mitunter aber auch deutlich teurer.

Anbieter Preis/Monat Max. Mitigation Latenz-Aufschlag UDP-Support
Cloudflare Pro + Spectrum 15–20 $ Unbegrenzt 1–8 ms Ja
OVH Game Protection Inklusive 480 Gbps 0–2 ms Ja
Path.net 60 $ 5 Tbps 2–6 ms Ja
Cosmic Guard 35–80 € 2 Tbps 3–7 ms Ja
BunkerChain 49–199 € 1,5 Tbps 4–10 ms Ja

Cloudflare gewinnt beim Preis-Leistungs-Verhältnis klar, sofern Sie bereits eine Domain haben und das Spectrum-Modul buchen. Wer hingegen unter 5 ms Latenz benötigt (kompetitive CS2- oder Valorant-Matchserver), ist mit einer OVH-eigenen Game Protection oft besser bedient.

Eine Hybrid-Lösung kann sinnvoll sein: Origin-Server bei OVH mit Game Protection, Domain und Web-Interface über Cloudflare. Damit erhalten Sie sowohl Layer-3-Filterung direkt am Server als auch den umfassenden Web-Schutz durch Cloudflare.

Best Practices und häufige Fehler

Folgende Best Practices haben sich in über 200 betreuten Gameserver-Setups bewährt und verhindern die häufigsten Stolpersteine:

  • Origin-IP niemals im Klartext veröffentlichen: Prüfen Sie mit nslookup, dig und Shodan (host:-Filter), ob Ihre Origin-IP geleakt wurde. Falls ja, wechseln Sie den Server oder das Subnetz.
  • SRV-Records für Minecraft korrekt setzen: Ein fehlerhafter SRV-Record (_minecraft._tcp.example.de) leitet Spieler auf die Origin-IP statt auf Cloudflare.
  • 2FA auf Cloudflare aktivieren: Vermeiden Sie Account-Takeover durch Hardware-Token (YubiKey, Titan).
  • Backup-DNS-Provider konfigurieren: Bei einem Cloudflare-Outage (sehr selten, aber möglich) erreichen Spieler den Server weiterhin.
  • Regelmäßig Logs prüfen: Anomalien wie plötzliche SYN-Pakete aus einem Land, in dem Sie nie gespielt haben, sind Frühindikatoren für Reconnaissance.
  • Origin-Ports per iptables/nftables zusätzlich schützen: Erlauben Sie eingehenden Traffic auf 25565 ausschließlich von Cloudflare-IP-Ranges (https://www.cloudflare.com/ips/).

Beispielhafte iptables-Regel für Minecraft (Cloudflare + SSH für Admin):

#!/bin/bash
CF_V4="https://www.cloudflare.com/ips-v4"
ALLOWED=$(curl -s $CF_V4 | grep -E "^[0-9]")

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 25565 -j DROP
iptables -A INPUT -p udp --dport 25565 -j DROP

for ip in $ALLOWED; do
  iptables -A INPUT -p tcp --dport 25565 -s $ip -j ACCEPT
  iptables -A INPUT -p udp --dport 25565 -s $ip -j ACCEPT
done

Testen Sie nach jeder Änderung die Erreichbarkeit mit tcping mc.example.de 25565 und einem MTR-Test aus einem externen Netz. Falls die Latenz plötzlich von 30 ms auf über 120 ms steigt, liegt ein Fehler in der DNS- oder Tunnel-Konfiguration vor.

Mit dieser Anleitung haben Sie einen produktionsreifen DDoS-Schutz aufgebaut, der Angriffe bis in den Multi-Tbps-Bereich zuverlässig absorbiert. Investieren Sie die ersten 5 $ bis 25 $ pro Monat, dokumentieren Sie Ihre Konfiguration in einem internen Wiki und führen Sie halbjährliche Re-Tests durch – dann sind Sie für die Angriffswellen 2026 bestens gewappnet.