Java Edition vs Bedrock Edition DDoS-Schutz: Was ist anders

Zwei Welten, ein Block

Minecraft gibt es in zwei Hauptversionen: Java Edition und Bedrock Edition. Für Spieler mag der Unterschied oberflächlich erscheinen, aber unter der Haube sind es völlig verschiedene Netzwerkprotokolle, verschiedene Architekturen und folglich auch verschiedene Bedrohungen. Wenn du einen Server betreibst und über DDoS-Schutz nachdenkst, musst du diese Unterschiede verstehen.

TCP vs UDP: Der grundlegende Unterschied

Java Edition läuft über TCP. Das ist ein zuverlässiges Protokoll mit Zustellbestätigung, Verbindungsaufbau und Flusskontrolle. Aus Schutzsicht ist das eine gute Nachricht: TCP-Traffic lässt sich einfach proxyen, routen und filtern. Jahrzehnte der Netzwerkinfrastruktur-Entwicklung haben ausgereifte Tools speziell für TCP hervorgebracht.

Bedrock Edition verwendet UDP über eine eigene Implementierung des RakNet-Protokolls. UDP baut keine Verbindungen im traditionellen Sinne auf. Pakete fliegen einfach vom Client zum Server ohne Handshake. Das macht das Proxying von Bedrock-Traffic deutlich schwieriger: Du kannst nicht einfach einen TCP-Proxy vor den Server setzen, sondern brauchst spezialisierte UDP-Tunnel und nicht standardmäßige Lösungen.

Verschiedene Angriffe für verschiedene Protokolle

Angriffe auf Java-Server folgen typischerweise mehreren Mustern:

• SYN-Flood - ein klassischer TCP-Angriff, der den Server mit Verbindungsaufbau-Anfragen überflutet
• Fake-Spieler-Verbindungen - Botnets simulieren echte Spieler, durchlaufen den Handshake und erzeugen Last auf der Game-Engine
• Slowloris und ähnliche - langsame Angriffe, die Verbindungen offen halten und Server-Limits ausschöpfen
• Minecraft-Protokoll-Angriffe - speziell erstellte Pakete, die Besonderheiten der Datenverarbeitung ausnutzen

Bei Bedrock sieht die Situation anders aus:

• UDP-Amplification - der Angreifer sendet eine kleine Anfrage, aber es wird ein großes Verkehrsvolumen als Antwort generiert
• Source-Spoofing - Fälschung der Absender-IP-Adresse, was bei TCP nahezu unmöglich, bei UDP aber trivial ist
• RakNet-Session-Flood - Versuche, den Session-Handler zu überlasten
• Reflected Attacks - Nutzung des Servers als Verstärker, um einen Dritten anzugreifen

Wie MineGuard beides handhabt

Für Java Edition arbeitet MineGuard als transparenter TCP-Proxy. Der gesamte Traffic läuft durch unsere Filterknoten, wo er auf Anomalien analysiert wird. Legitime Verbindungen werden an deinen Server weitergeleitet; bösartige werden verworfen, bevor sie ihr Ziel erreichen. Proxy-Protocol-Unterstützung ermöglicht es deinem Server, die echten IP-Adressen der Spieler zu sehen, was für Bans und Moderation entscheidend ist.

Für Bedrock ist die Aufgabe schwieriger. UDP-Traffic kann nicht mit klassischen Methoden geproxt werden, deshalb verwenden wir spezialisierte Verarbeitungsmechanismen, die an die Protokollspezifika angepasst sind. Die Filterung erfolgt auf Netzwerkebene mit minimaler Latenz, um das Gameplay nicht zu beeinträchtigen.

In beiden Fällen lernt unser System aus den Traffic-Mustern deines spezifischen Servers. Normale Aktivitätsmuster für einen 500-Spieler-PvP-Server unterscheiden sich stark von einem ruhigen 30-Spieler-RP-Server, und der Schutz berücksichtigt das.

Geyser und Crossplay: Das dritte Szenario

Ein separates Thema sind Server, die das Geyser-Plugin nutzen, das Bedrock-Spielern erlaubt, sich mit einem Java-Server zu verbinden. Technisch funktioniert es so: Der Bedrock-Client verbindet sich über UDP, Geyser konvertiert den Traffic in das Java-Protokoll, und ab dort läuft alles über TCP.

Aus Schutzsicht bedeutet das zwei Angriffsvektoren gleichzeitig. Der Java-Server-Port braucht TCP-Angriffsschutz, während der Geyser-Port UDP-Angriffsschutz benötigt. MineGuard unterstützt den Schutz beider Ports innerhalb einer einzigen Konfiguration, sodass du nicht zwei separate Lösungen einrichten musst.

Ein wichtiges Detail: Wenn Geyser als Plugin auf dem Server selbst läuft (statt als eigenständiger Proxy), sind beide Ports auf derselben Maschine offen. Das bedeutet, ein erfolgreicher DDoS-Angriff auf einen der beiden Ports betrifft alle Spieler, unabhängig von ihrer Version. Behalte das bei der Planung deiner Architektur im Hinterkopf.

Proxy Protocol: Nicht alle gleich

Proxy Protocol wird im Java-Edition-Ökosystem breit unterstützt. BungeeCord, Velocity, Paper - alle großen Server-Plattformen können echte IP-Informationen über Proxy Protocol empfangen. Das macht die Integration mit DDoS-Schutz nahezu nahtlos.

Bei Bedrock sieht es schlechter aus. Der Standard-Bedrock-Dedicated-Server unterstützt Proxy Protocol nicht von Haus aus. Einige alternative Implementierungen wie Dragonfly haben Unterstützung hinzugefügt, aber es ist noch kein Standard. Wenn es dir wichtig ist, die echten IPs von Bedrock-Spielern zu sehen, stelle sicher, dass deine Server-Software das unterstützt.

Latenz: Millisekunden zählen

Jeder Zwischenknoten fügt Latenz hinzu. Bei Java Edition, wo TCP bereits Handshakes und Bestätigungen beinhaltet, beträgt die zusätzliche Latenz durch einen Proxy typischerweise 1-3 ms und ist praktisch nicht spürbar.

Bei Bedrock ist alles empfindlicher. UDP wurde von den Entwicklern gerade wegen der minimalen Latenz gewählt, und jede zusätzliche Millisekunde wird stärker wahrgenommen. Spieler auf Mobilgeräten und Konsolen erwarten schnelle Reaktionszeiten. Bei der Wahl des DDoS-Schutzes für Bedrock ist die Geografie der Filterknoten daher besonders wichtig. Je näher der Knoten an deinem Server ist, desto geringer ist der Overhead.

MineGuard platziert Filterknoten in wichtigen Rechenzentren in ganz Europa, was die Latenz für die meisten Server minimiert.

Empfehlungen für Serverbetreiber

Wenn du nur Java Edition betreibst:

• Nutze eine Proxy-Kette (Velocity/BungeeCord) vor deinem Hauptserver
• Aktiviere Proxy Protocol, um echte IPs zu erhalten
• Setze Verbindungslimits auf Proxy-Ebene
• Aktualisiere regelmäßig deine Server-Software - ältere Versionen enthalten oft Schwachstellen in der Paketverarbeitung

Wenn du nur Bedrock Edition betreibst:

• Stelle sicher, dass dein Schutz UDP-Filterung unterstützt, nicht nur TCP
• Prüfe, ob deine Server-Software Proxy Protocol unterstützt
• Überwache ausgehenden Traffic - dein Server könnte für Angriffsverstärkung missbraucht werden

Wenn du Crossplay betreibst (Java + Geyser):

• Schütze beide Ports: TCP für Java und UDP für Geyser
• Wenn möglich, betreibe Geyser auf einem separaten Proxy-Server
• Teste die Latenz für Bedrock-Spieler getrennt von Java

Fazit

Einen Java-Server und einen Bedrock-Server zu schützen sind zwei verschiedene Aufgaben, die unterschiedliche Tools erfordern. Java-TCP-Traffic lässt sich leichter filtern und proxyen; Bedrock-UDP-Traffic bringt zusätzliche Herausforderungen mit sich. Eine einheitliche Lösung, die mit beiden Protokollen gleich gut funktioniert, spart Zeit und Nerven. MineGuard wurde genau mit diesem Ansatz entwickelt: ein Panel, eine Konfiguration, vollständiger Schutz für jede Version von Minecraft.