Zurück zum Blog
Bot-Angriffe auf Minecraft Server: Erkennen und Stoppen

Bot-Angriffe auf Minecraft Server: Erkennen und Stoppen

DDoS und Bot-Angriffe sind nicht dasselbe

Wenn der Server anfängt zu laggen oder abstürzt, denkt man zuerst "wir werden geDDoSt". Aber die meisten Angriffe auf Minecraft Server sind eigentlich Bot-Angriffe, kein klassischer DDoS. Der Unterschied ist wichtig, weil die Schutzmaßnahmen völlig verschieden sind.

DDoS (L3/L4) flutet deinen Server mit Müll-Traffic auf Netzwerkebene. UDP Floods, SYN Floods, Amplification. Das Ziel ist es, die Bandbreite zu füllen oder Server-Ressourcen so auszulasten, dass legitime Pakete nicht durchkommen. Plugins können dagegen nichts tun.

Bot-Angriffe (L7) schicken hunderte oder tausende Fake-Spieler über das normale Minecraft-Protokoll auf deinen Server. Sie senden gültige Pakete, aus Netzwerk-Sicht sieht alles legitim aus. Die Last trifft den Server direkt - CPU, RAM, Verbindungsverarbeitung.

Angreifer kombinieren oft beides. Erst Bots um den Server zu stressen, dann DDoS hintendran während du dich um die Bots kümmerst.

Typen von Bot-Angriffen

Join Flood

Der häufigste Typ. Bots verbinden sich einfach einer nach dem anderen. Sie chatten nicht, bewegen sich nicht, treten einfach bei. Bei Auth-Plugins wie AuthMe stehen sie am Spawn und fressen Spieler-Slots.

In den Logs:

[09:14:01] [Server thread/INFO]: Bot_a83kd[/185.22.xx.xx:49312] logged in
[09:14:01] [Server thread/INFO]: Bot_k2md9[/185.22.xx.xx:49313] logged in
[09:14:02] [Server thread/INFO]: Bot_zm10v[/103.41.xx.xx:52001] logged in

Typische Zeichen: Verbindungen aus dem gleichen Subnetz, zufällige Nicknames, mehrere Verbindungen pro Sekunde.

Null/Invalid Bots

Diese versuchen nicht mal richtig beizutreten. Sie senden fehlerhafte oder unvollständige Handshake-Pakete. Das Ziel ist, den Verbindungs-Handler zu überlasten.

In den Logs:

[09:14:01] [Server thread/WARN]: Failed to handle packet for /185.22.xx.xx:49312
[09:14:01] [Server thread/INFO]: com.mojang.authlib.GameProfile@xxxx lost connection: Disconnected

Chat/Command Spam

Bots treten bei und spammen den Chat oder probieren Befehle durch. Kann Werbung sein oder Brute-Force von Befehlen wie /op, /give, /stop.

Crash-Exploits

Der gefährlichste Typ. Bots verbinden sich und senden speziell präparierte Pakete, die Bugs in bestimmten Server-Versionen ausnutzen. Bücher mit riesigen NBT-Daten, ungültige Inventar-Daten, Bewegungspakete mit NaN-Koordinaten.

Erkennbar daran: 1-2 Bots verbinden sich und der Server crasht sofort. Nicht hunderte, buchstäblich ein paar.

BungeeCord/Velocity Exploits

Spezifisch für Proxy-Netzwerke. Zwei Hauptangriffsvektoren:

IPForward Spoofing. Wenn Backend-Server direkte Verbindungen akzeptieren (nicht nur vom Proxy), können Angreifer IP-Adressen über das Bungee-Protokoll fälschen.

Handshake Spoofing. Bots senden modifizierte Handshake-Pakete mit gefälschten Daten, die der Proxy an Backends weiterleitet.

Warum Anti-Bot Plugins nicht reichen

Ehrlich gesagt, Plugins wie BotSentry, AntiBot, EpicGuard helfen. Aber sie haben eine grundlegende Einschränkung.

Ein Plugin läuft innerhalb des Minecraft Servers. Der Bot hat sich bereits verbunden, den TCP Handshake abgeschlossen, das Login-Paket gesendet. Erst dann entscheidet das Plugin, ob es ein Bot ist. Bei 5000 Bots pro Minute kommt der Server mit der Verarbeitung nicht hinterher, selbst wenn jede Verbindung in 100ms abgelehnt wird.

Was Plugins gut können:

  • Langsamen Bot-Strom filtern (10-50 pro Minute)
  • Chat-Spam blockieren
  • Wiederholte Beitritte nach Bans fangen

Was sie nicht schaffen:

  • Massenhaften Join Flood (hunderte pro Sekunde)
  • Null-Bots die den Handshake brechen
  • Bots mit Residential Proxies
  • Bot-Angriffe kombiniert mit DDoS

Was wirklich funktioniert

Notfall-Whitelist

Wenn du gerade angegriffen wirst und der Server am Sterben ist:

/whitelist on

Stoppt den Bot-Strom sofort. Neue Spieler können auch nicht beitreten, aber wenigstens können aktuelle Spieler weiterspielen.

Connection Throttling

Auf OS-Ebene Verbindungen pro IP begrenzen:

iptables -A INPUT -p tcp --dport 25565 -m connlimit --connlimit-above 3 -j DROP
iptables -A INPUT -p tcp --dport 25565 -m recent --set --name mc
iptables -A INPUT -p tcp --dport 25565 -m recent --update --seconds 10 --hitcount 8 --name mc -j DROP

Erste Regel - max 3 gleichzeitige Verbindungen pro IP. Zweite - max 8 Verbindungen in 10 Sekunden. Für normale Spieler unsichtbar, aber einfache Bots von einer IP werden gefiltert.

Problem: Ernsthafte Angriffe kommen von tausenden verschiedenen IPs.

Captcha-Verifizierung

Ein System, das Spieler erst auf den Hauptserver lässt, wenn sie beweisen, dass sie Menschen sind. Meist über einen Zwischenserver (Limbo), wo der Spieler eine einfache Aufgabe löst - Code eingeben, bestimmte Blöcke klicken, ein visuelles Puzzle lösen.

Bots können das nicht (noch nicht). Das ist der zuverlässigste Weg, L7-Bots zu filtern. Die Captcha von MineGuard funktioniert zum Beispiel auf Proxy-Ebene, sodass Bots nie deinen eigentlichen Server erreichen.

Protokoll-Level Filterung

Der effektivste Ansatz - Minecraft-Pakete analysieren bevor die Verbindung deinen Server erreicht. Handshake-Validierung, Protokoll-Konformität, Paket-Sendraten prüfen.

Null-Bots werden sofort gedroppt weil ihre Pakete ungültig sind. Join Floods werden reduziert weil verdächtige Verbindungen vor deinem Java-Prozess gestoppt werden.

BungeeCord/Velocity absichern

Wenn du ein Proxy-Netzwerk betreibst:

1. Direkte Backend-Verbindungen blockieren. Nur der Proxy sollte auf Backend-Ports zugreifen können.

iptables -A INPUT -p tcp --dport 25566:25570 -s PROXY_IP -j ACCEPT
iptables -A INPUT -p tcp --dport 25566:25570 -j DROP

2. Modern Forwarding in Velocity nutzen statt Legacy BungeeCord Forwarding:

player-info-forwarding-mode = "modern"

Das verwendet HMAC-Signaturen, die nicht gefälscht werden können.

3. Connection Throttle aktivieren auf dem Proxy.

Wie echter Bot-Traffic in Logs aussieht

Ein reales Beispiel eines ernsthaften Bot-Floods (Namen und IPs geändert):

[12:31:44] [Server thread/INFO]: mK82nd[/103.28.xx.xx:42901] logged in at ([world]-12.5, 64.0, 203.5)
[12:31:44] [Server thread/INFO]: xP93kl[/103.28.xx.xx:42902] logged in at ([world]-12.5, 64.0, 203.5)
[12:31:44] [Server thread/INFO]: rT02mx[/103.28.xx.xx:42903] logged in at ([world]-12.5, 64.0, 203.5)
... (wiederholt sich hunderte Male)
[12:31:52] [Server thread/WARN]: Can't keep up! Is the server overloaded?

Gleiches Subnetz, gleicher Spawnpunkt, "Can't keep up" nach 8 Sekunden. Klassisches Muster.

Null-Bots sehen so aus:

[12:31:44] [Netty Server IO #312/WARN]: Failed to handle packet
[12:31:44] [Netty Server IO #313/WARN]: Failed to handle packet
[12:31:44] [Netty Server IO #314/ERROR]: IOException: Connection reset by peer

Wann Plugins reichen und wann externe Hilfe nötig ist

Plugins reichen, wenn:

  • Angriffe selten und schwach sind (unter 50 Bots/Minute)
  • Bots simpel sind - ein Typ, ein Subnetz
  • Du einen kleinen Server ohne Feinde betreibst
  • Du bereit bist, manuell Subnetze zu bannen

Externe Schutzlösung nötig, wenn:

  • Angriffe regelmäßig oder gezielt kommen
  • Bot-Angriffe mit DDoS kombiniert werden
  • Bots von hunderten IPs kommen (Residential Proxies)
  • Dein Server ein Geschäft ist und Downtime Geld kostet
  • Du ein BungeeCord/Velocity Netzwerk betreibst

Externe Lösungen (Proxies wie MineGuard, TCPShield, Cosmic Guard) leiten Traffic durch einen Filter-Server bevor er bei dir ankommt. Sowohl L3/L4 DDoS als auch L7 Bots werden vorher abgefangen.

Schnelle Checkliste: Basis-Schutz einrichten

Falls du noch nicht angegriffen wurdest aber vorbereitet sein willst:

  • Server auf die neueste Version updaten (fixt Crash-Exploits)
  • Anti-Bot Plugin installieren (EpicGuard, BotSentry) als Basis-Filter
  • Connection Throttle in server.properties setzen: connection-throttle=4000
  • Unnötige Ports per Firewall schließen
  • Bei Bungee/Velocity direkten Backend-Zugriff blockieren
  • Alerts für ungewöhnliche Spielerzahlen einrichten
  • Regelmäßige Backups machen (Crash-Exploits können Welten beschädigen)
  • Externe Schutzlösung in Betracht ziehen, wenn der Server öffentlich und groß ist

Bot-Angriffe sind keine Frage des "ob", sondern des "wann". Jeder öffentliche Minecraft Server wird irgendwann damit konfrontiert. Besser jetzt vorbereiten als in Panik nach Lösungen googlen während Spieler sich über Lag beschweren.

Schützen Sie Ihren Server vor DDoS-Angriffen

Kostenloser Schutz mit 5-Minuten-Einrichtung. 1 TB Traffic inklusive.

Kostenlos testen

Weitere Artikel

Chunky: Minecraft-Chunks vorgenerieren und Generierungs-Lag eliminieren

Chunky: Minecraft-Chunks vorgenerieren und Generierungs-Lag eliminieren

Das Chunky-Plugin erzeugt Chunks im Voraus, damit der Server beim Spielen nur fertige Regionen von der Disk liest. Befehle, Mathematik und reale Timings.

Bester DDoS-Schutz fuer Minecraft in Russland 2026

Bester DDoS-Schutz fuer Minecraft in Russland 2026

Vergleich von DDoS-Schutzansaetzen fuer Minecraft-Server 2026: internationales CDN vs. lokale Filterung, Self-Hosted vs. Managed, kostenlos vs. kostenpflichtig. Auswahlkriterien, XDP/eBPF-Technologie und warum Latenz fuer PvP entscheidend ist.

Hardcore SMP Server erstellen: Ein Leben, Perma-Tod Guide 2026

Hardcore SMP Server erstellen: Ein Leben, Perma-Tod Guide 2026

Wie du einen Hardcore SMP Server mit einem Leben aufsetzt: Ban-on-Death Plugins, Anticheat, Whitelist, Saisons, Discord und stabile Backups.