Zurück zum Blog
Minecraft-Server auf DDoS-Schutz umziehen - ohne Downtime

Minecraft-Server auf DDoS-Schutz umziehen - ohne Downtime

Warum den Server hinter einen Schutz stellen

Wenn du diese Anleitung liest, hattest du wahrscheinlich schon DDoS-Angriffe auf deinen Minecraft-Server. Oder noch nicht, aber du weisst, dass es nur eine Frage der Zeit ist. Angriffe auf Minecraft-Server sind Alltag fur tausende Admins.

Die grosste Angst beim Einrichten von DDoS-Schutz ist Downtime. Spieler konnen nicht joinen, manche wechseln zu einem anderen Server, Spenden brechen weg. Kommt dir bekannt vor? Die gute Nachricht: Mit dem richtigen Ansatz kannst du komplett ohne Ausfallzeit umziehen. Spieler werden nicht einmal merken, dass sich etwas geandert hat.

Diese Anleitung fuhrt dich Schritt fur Schritt durch den gesamten Prozess - von der Vorbereitung bis zur finalen Uberprufung.

Wie DNS-basierter DDoS-Schutz funktioniert

Bevor wir in die Einstellungen einsteigen, sollten wir das Grundprinzip verstehen. Die meisten Schutzdienste (einschliesslich MineGuard) arbeiten als Reverse Proxy:

  1. Ein Spieler verbindet sich mit der Domain deines Servers (z.B. play.meinserver.de)
  2. DNS leitet ihn nicht zu deiner echten IP, sondern zur IP des Schutzfilters
  3. Der Filter pruft den Traffic und verwirft bosartige Pakete
  4. Sauberer Traffic wird an deinen echten Server weitergeleitet

Die ganze Magie passiert auf DNS-Ebene. Du anderst einfach, wohin die Domain zeigt, und der Traffic fliesst durch den Filter. Dein Server lauft dabei weiter wie gewohnt.

Schritt 1: Vorbereitung - Backup und DNS-TTL senken

Vor jeglichen Anderungen - Backup. Ja, wir fassen den Server selbst nicht an, aber die Gewohnheit vor Anderungen zu sichern hat schon mehr als ein Projekt gerettet.

Was du sichern solltest:

  • DNS-Zonen-Konfiguration (Screenshot oder Export der Eintrage)
  • Firewall-Regeln des Servers
  • BungeeCord/Velocity-Configs, falls du einen Proxy nutzt

DNS-TTL senken

Dies ist ein kritischer Schritt, den viele uberspringen. TTL (Time To Live) bestimmt, wie lange DNS-Resolver einen Eintrag cachen. Wenn dein TTL auf 86400 (24 Stunden) steht, werden einige Spieler nach der DNS-Anderung noch einen ganzen Tag lang die alte IP nutzen.

Geh in dein DNS-Verwaltungspanel (Cloudflare, Hetzner DNS, jeder andere Anbieter) und setze den TTL fur den A-Record deiner Spieldomain auf das Minimum - 60 oder 120 Sekunden. Mach das 24-48 Stunden vor der Migration. Du musst warten, bis der alte hohe TTL bei allen Resolvern abgelaufen ist.

Wenn du Cloudflare mit aktiviertem Proxying nutzt (orangene Wolke) - wird der TTL automatisch verwaltet, hier musst du nichts andern.

Schritt 2: Registrierung und Schutz einrichten

Registriere dich im Kontrollpanel des DDoS-Schutzdienstes. Am Beispiel von MineGuard:

  1. Erstelle einen Account auf der Webseite
  2. Fuge ein neues Netzwerk hinzu - das ist ein Container fur die Einstellungen deines Servers
  3. Wahle einen Tarif - zum Start reicht der Basis-Tarif, hochskalieren kannst du spater jederzeit

Nach dem Erstellen des Netzwerks erhaltst du eine Filteradresse - das kann eine IP-Adresse oder ein CNAME-Eintrag wie filter.mineguard.net sein. Auf diese Adresse werden wir spater DNS umleiten.

Wichtig: Andere DNS noch nicht sofort. Richte zuerst den Schutz vollstandig ein.

Schritt 3: Domain und Backend hinzufugen

Im Schutzpanel musst du zwei wichtige Parameter angeben:

Domain (oder Subdomain) - die Adresse, uber die sich Spieler mit deinem Server verbinden. Zum Beispiel play.meinserver.de oder einfach meinserver.de.

Backend - die echte IP-Adresse deines Minecraft-Servers und Port. Zum Beispiel 185.100.50.25:25565. Hierhin wird der Filter sauberen Traffic weiterleiten.

In MineGuard machst du das im Bereich Netzwerkeinstellungen:

  • Backend Address: IP und Port deines Servers eintragen
  • Backend Protocol: TCP (Standard fur Minecraft Java Edition)

Wenn du mehrere Server hinter BungeeCord oder Velocity hast - trage die IP des Proxy-Servers ein, nicht die einzelnen Backend-Server.

Schritt 4: Proxy Protocol einrichten (falls benotigt)

Proxy Protocol ist eine Methode, die echte Spieler-IP durch einen Proxy weiterzureichen. Ohne dies sieht dein Server alle Verbindungen so, als kamen sie von der Filter-IP und nicht von echten Spielern.

Wann du Proxy Protocol brauchst:

  • Du willst echte IPs in den Logs sehen
  • Du hast ein IP-basiertes Bansystem
  • Du nutzt Plugins, die auf Spieler-IPs angewiesen sind

Wann du darauf verzichten kannst:

  • Kleiner Server, wo IP-Tracking nicht wichtig ist
  • Du nutzt nur Nickname-basierte Authentifizierung

BungeeCord-Einrichtung:

In der config.yml von BungeeCord, finde den Listeners-Abschnitt und fuge hinzu:

listeners:
  - proxy_protocol: true

Fur Velocity in velocity.toml:

haproxy-protocol = true

Fur Paper/Spigot direkt (ohne BungeeCord) brauchst du ein Plugin wie HAProxyDetector oder ein ahnliches.

Nachdem du Proxy Protocol auf der Serverseite aktiviert hast, aktiviere es auch im Schutzpanel. Die Reihenfolge ist wichtig: erst Server, dann Schutz. Wenn Proxy Protocol nur auf einer Seite aktiviert ist, werden Verbindungen fehlschlagen.

Schritt 5: DNS umstellen

Alles ist konfiguriert, lokal getestet (dazu kommen wir noch) - Zeit fur die DNS-Umstellung. Das ist der eigentliche Migrationszeitpunkt.

Option A: A-Record verwenden

Geh in dein DNS-Panel und andere den A-Record der Spieldomain von der echten Server-IP auf die IP des Schutzfilters.

Vorher:

play.meinserver.de  A  185.100.50.25

Nachher:

play.meinserver.de  A  104.167.24.91

Option B: CNAME verwenden

Einige Schutzdienste stellen einen CNAME-Eintrag bereit. In diesem Fall loschst du den alten A-Record und erstellst einen CNAME:

play.meinserver.de  CNAME  yournetwork.filter.mineguard.net

Option C: Cloudflare + Schutz

Wenn deine Domain bei Cloudflare liegt, kannst du CNAME mit aktiviertem Proxying (orangene Wolke) nutzen. Cloudflare wird HTTP/HTTPS-Traffic proxyen, aber fur Minecraft-Spieltraffic musst du das Proxying deaktivieren (graue Wolke) und einen regularen CNAME oder A-Record zum Filter nutzen.

Wichtig: Cloudflare proxt nur Web-Traffic. Minecraft TCP/UDP-Spieltraffic geht nicht durch die orangene Wolke (es sei denn du hast Cloudflare Spectrum, aber das ist teuer und ein separates Thema).

Nach dem Speichern des DNS-Eintrags beginnt die Propagation. Dank des niedrigen TTL aus Schritt 1 werden die meisten Spieler innerhalb weniger Minuten auf die neue Route wechseln.

Schritt 6: Alles uberprufen

DNS hat sich aktualisiert, jetzt prufen wir, ob alles funktioniert.

DNS-Auflosung prufen:

nslookup play.meinserver.de

oder

dig play.meinserver.de +short

Die Antwort sollte die IP des Schutzfilters zeigen, nicht deine echte Server-IP.

Verbindung testen:

Starte deinen Minecraft-Client und verbinde dich uber die Domain mit dem Server. Wenn du normal joinen kannst, die Welt siehst und dich bewegen kannst - Basischeck bestanden.

IPs in den Logs prufen:

Geh auf deinen Server und schau in das neueste Log. Wenn Proxy Protocol konfiguriert ist, sollten echte Spieler-IPs in den Logs stehen, nicht die Filter-IP. Wenn du die Filter-IP siehst - lies Schritt 4 nochmal.

Schutzpanel prufen:

Im MineGuard-Panel kannst du aktive Verbindungen, Traffic-Statistiken und aktuelle Bedrohungen sehen. Wenn du eingehende Verbindungen siehst, fliesst der Traffic durch den Filter.

Ping prufen:

Der Ping kann leicht steigen (um 1-5 ms) wegen des zusatzlichen Hops durch den Filter. Das ist normal und fur Spieler nicht wahrnehmbar. Wenn der Ping deutlich gestiegen ist (50+ ms), prufe den geografischen Standort des Filters - idealerweise sollte er naher an deiner Hauptspielerschaft sein.

Schritt 7: Direkten Serverzugang absichern

Das ist der Schritt, den die meisten vergessen. Wenn Angreifer die echte IP deines Servers kennen (und das tun sie wahrscheinlich), werden sie einfach direkt angreifen und den Schutz komplett umgehen.

Firewall konfigurieren:

Erlaube eingehende Verbindungen auf dem Spielport (25565) nur von den IP-Adressen des Schutzfilters. In iptables sieht das ungefahr so aus:

iptables -A INPUT -p tcp --dport 25565 -s FILTER_IP -j ACCEPT
iptables -A INPUT -p tcp --dport 25565 -j DROP

Jeder Schutzdienst hat eine Liste von IP-Adressen, von denen Traffic kommt. Stelle sicher, dass du alle hinzugefugt hast, sonst konnen sich manche Spieler nicht verbinden.

IP wechseln (falls kompromittiert):

Wenn Angreifer die echte IP deines Servers kennen, hilft die Firewall gegen direkte Angriffe auf den Minecraft-Port, schutzt aber nicht vor volumetrischen Angriffen auf die IP selbst. Im Idealfall besorgst du dir eine neue IP von deinem Hoster und gibst sie nirgends preis. Die neue IP tragst du nur in den Schutzeinstellungen als Backend ein.

Was tun, wenn etwas schiefgeht

Spieler konnen sich nach der DNS-Anderung nicht verbinden:

  • Prufe, ob DNS aktualisiert wurde (nslookup/dig)
  • Bitte Spieler ihren DNS-Cache zu leeren (ipconfig /flushdns unter Windows)
  • Prufe, ob die Backend-Adresse im Schutzpanel korrekt ist
  • Stelle sicher, dass die Server-Firewall Verbindungen von der Filter-IP erlaubt

Verbindung steht, aber der Server laggt:

  • Prufe die Last auf dem Server selbst - es muss nichts mit dem Schutz zu tun haben
  • Schau nach Paketverlusten auf der Route mit mtr oder traceroute
  • Kontaktiere den Support des Schutzdienstes mit deinen Diagnoseergebnissen

Filter-IP erscheint in Logs statt echte Spieler-IPs:

  • Proxy Protocol ist nicht konfiguriert oder nur auf einer Seite
  • Lies Schritt 4 nochmal und prufe die Konfiguration sowohl auf dem Server als auch im Schutzpanel

Einige Spieler konnen joinen, andere nicht:

  • DNS hat sich noch nicht bei allen aktualisiert - warte ab (hangt vom alten TTL ab)
  • Wenn mehr als 24 Stunden vergangen sind, liegt das Problem woanders - prufe Firewall und Routing

Rollback: Wenn wirklich alles schiefgeht, setze den DNS-Eintrag einfach auf die ursprungliche Server-IP zuruck. Innerhalb weniger Minuten (dank des niedrigen TTL) ist alles wie vorher. Genau dafur haben wir das DNS-Backup gemacht.

Empfehlungen nach der Migration

Nach einer erfolgreichen Migration nicht vergessen:

  1. TTL wieder erhohen auf 3600-86400 Sekunden. Niedriger TTL erzeugt unnotige Last auf DNS-Servern.
  2. Benachrichtigungen einrichten im Schutzpanel, um uber Angriffe informiert zu werden.
  3. Firewall-Einstellungen erkunden im Panel - du kannst Verbindungen nach Protokollversion einschranken, Captcha fur verdachtige Verbindungen aktivieren, Rate Limiting konfigurieren.
  4. Echte IP nicht preisgeben - nicht in offentlichen Configs, DNS-Eintragen fur andere Subdomains auf derselben IP oder Server-Trackern angeben.
  5. SRV-Records prufen - wenn du SRV-Records fur Minecraft nutzt, stelle sicher, dass sie auch auf die geschutzte Adresse zeigen.

Fazit

Einen Minecraft-Server auf DDoS-Schutz umzuziehen ist keine Raketenwissenschaft. Der gesamte Prozess lauft so: DNS vorbereiten, Filter konfigurieren, Eintrag umstellen, Funktion prufen. Bei richtiger Vorbereitung (besonders mit niedrigem TTL) ist die Downtime gleich null.

Das Wichtigste: Nicht hetzen und jeden Schritt prufen. Es ist besser, 30 Minuten mehr in die Vorbereitung zu stecken, als spater herauszufinden, warum 200 Spieler nicht auf den Server kommen.

Schützen Sie Ihren Server vor DDoS-Angriffen

Kostenloser Schutz mit 5-Minuten-Einrichtung. 1 TB Traffic inklusive.

Kostenlos testen

Weitere Artikel

Minecraft Netzwerk-Architektur: Vom Einzelserver zum Cluster

Minecraft Netzwerk-Architektur: Vom Einzelserver zum Cluster

Detaillierte Analyse der Minecraft Netzwerk-Architektur: vom Einzelserver bis zum vollstaendigen Cluster mit Velocity, Backend-Servern, gemeinsamen Datenbanken und DDoS-Schutz.

So richtest du eine eigene Domain für deinen Minecraft Server ein

So richtest du eine eigene Domain für deinen Minecraft Server ein

Eine vollständige Anleitung zur Verbindung einer eigenen Domain mit deinem Minecraft Server: DNS-Einträge, SRV-Einträge, MineGuard-Schutzintegration und häufige Fehler.

SMP Wirtschaft ohne Pay-to-Win: faire Monetarisierung & EULA

SMP Wirtschaft ohne Pay-to-Win: faire Monetarisierung & EULA

Wie man SMP ohne P2W monetarisiert: was die EULA erlaubt, was verboten ist, Ränge, Tebex, Vote-Belohnungen und reale Umsätze.