Server wird gerade angegriffen: Notfall-Leitfaden fuer Minecraft-Admins
Du oeffnest die Konsole und siehst eine Flut von Fehlern. TPS faellt auf Null. Spieler werden einer nach dem anderen getrennt. Die, die noch eine Verbindung halten, schreiben panisch im Chat. Das Monitoring zeigt 100% Bandbreiten- oder CPU-Auslastung. Dein Server wird angegriffen.
Jetzt ist nicht die Zeit fuer Panik. Jetzt ist die Zeit fuer klares, entschlossenes Handeln. Dieser Artikel ist ein Schritt-fuer-Schritt-Plan fuer den Fall, dass der Angriff bereits laeuft und du schnell handeln musst.
Schritt 1: Keine Panik
Im Ernst. Panik fuehrt zu uebereilten Entscheidungen: Firewall-Regeln loeschen, den Server ohne Vorbereitung neustarten, wahllos Konfigurationen aendern. Jede dieser Aktionen kann die Situation verschlimmern.
Denk daran: Ein DDoS-Angriff ist voruebergehend. Der Angreifer verbraucht Ressourcen. Die meisten Angriffe auf Minecraft-Server dauern von wenigen Minuten bis zu einigen Stunden. Dein Ziel ist es, den Schaden zu minimieren und Daten zu sichern.
Oeffne einen Notizblock oder eine Textdatei. Schreibe alles auf, was du tust, mit Zeitstempeln. Das hilft spaeter bei der Analyse und beim Kontakt mit deinem Hoster.
Schritt 2: Angriffstyp identifizieren
Bevor du irgendetwas blockierst, musst du verstehen, was genau passiert. Verschiedene Angriffstypen erfordern unterschiedliche Gegenmassnahmen.
Bandbreitenauslastung pruefen
# Aktueller Traffic auf dem Interface
cat /proc/net/dev
# Visuellere Echtzeit-Ausgabe
vnstat -l -i eth0
# Aufschluesselung nach Prozess
nethogs eth0
Wenn der eingehende Traffic in Hunderten von Megabit oder Gigabit gemessen wird, handelt es sich um einen volumetrischen Angriff (UDP Flood, Amplification). In diesem Fall helfen deine iptables-Regeln nicht: Die Leitung ist voll, bevor Pakete ueberhaupt deine Regeln erreichen.
Verbindungsanzahl pruefen
# Gesamte TCP-Verbindungsstatistik
ss -s
# Verbindungsanzahl auf dem Minecraft-Port
ss -tn state established | grep :25565 | wc -l
# Top-IPs nach Verbindungsanzahl
ss -tn state established | grep :25565 | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -rn | head -20
Tausende von Verbindungen von verschiedenen IPs (oder aus einem Subnetz) deuten auf einen TCP Connection Flood oder SYN Flood hin.
CPU und Speicher pruefen
# Gesamtauslastung
top -bn1 | head -15
# Speziell der Java-Prozess
ps aux | grep java | grep -v grep
Wenn die CPU bei 100% liegt, der Traffic aber normal ist, handelt es sich moeglicherweise nicht um einen Netzwerkangriff, sondern um Join-Bot-Spam oder einen Exploit, der den Serverkern ueberlastet.
Minecraft-Logs pruefen
Oeffne latest.log oder die Serverkonsole. Suche nach:
- Massenhaften Spielerverbindungen und -trennungen
- Unbekannten Benutzernamen, die sich dutzendweise verbinden
- Fehlern wie "Connection throttled" oder "Too many connections"
- Ungewoehnlichen Paketen oder Befehlen
Schritt 3: Sofortmassnahmen mit iptables
Wenn der Angriff auf Netzwerkebene stattfindet und deine Bandbreite noch nicht komplett gesaettigt ist, ist iptables dein erstes Werkzeug.
Verbindungen pro IP begrenzen
# Maximal 3 gleichzeitige Verbindungen von einer IP zum Minecraft-Port
iptables -A INPUT -p tcp --dport 25565 -m connlimit --connlimit-above 3 -j DROP
Neue Verbindungen pro Sekunde begrenzen
# Maximal 5 neue Verbindungen pro Sekunde von einer IP
iptables -A INPUT -p tcp --dport 25565 -m state --state NEW -m recent --set --name mc
iptables -A INPUT -p tcp --dport 25565 -m state --state NEW -m recent --update --seconds 1 --hitcount 5 --name mc -j DROP
Bestimmte IPs oder Subnetze blockieren
Wenn die ss-Ausgabe eine IP oder ein Subnetz mit Tausenden von Verbindungen zeigt:
# Bestimmte IP blockieren
iptables -I INPUT -s 192.168.1.100 -j DROP
# Ein /24-Subnetz blockieren
iptables -I INPUT -s 192.168.1.0/24 -j DROP
SYN-Flood-Schutz
# SYN Cookies aktivieren
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# Timeout fuer halboffene Verbindungen reduzieren
echo 10 > /proc/sys/net/ipv4/tcp_fin_timeout
echo 1 > /proc/sys/net/ipv4/tcp_tw_recycle
UDP-Traffic blockieren (wenn der Server nur TCP nutzt)
# Minecraft Java laeuft ueber TCP, UDP auf diesem Port kann gedroppt werden
iptables -A INPUT -p udp --dport 25565 -j DROP
Wichtig: Schreibe jede Regel auf, die du hinzufuegst. Nach dem Angriff musst du sie ueberpruefen und moeglicherweise die temporaeren entfernen.
Schritt 4: Whitelist aktivieren
Wenn der Angriff auf Minecraft-Protokollebene stattfindet (Bot-Verbindungen, Join Flood), ist der schnellste Weg, ihn zu stoppen, die Whitelist zu aktivieren.
# In der Minecraft-Konsole
whitelist on
Das blockiert sofort jeden, der nicht auf der Whitelist steht. Ja, neue Spieler koennen nicht beitreten. Aber das ist besser als ein Server, der fuer alle ausgefallen ist.
Wenn du BungeeCord oder Velocity nutzt:
- Aktiviere den Online-Modus (online-mode: true auf dem Proxy)
- Stelle Verbindungslimits in der Proxy-Konfiguration ein
- Verwende Plugins wie BotSentry oder Antibot fuer automatische Filterung
Fuer Velocity-Server, in velocity.toml:
[advanced]
connection-timeout = 5000
login-ratelimit = 3000
Schritt 5: Hosting-Anbieter kontaktieren
Wenn der Angriff stark ist (gesaettigte Bandbreite, Null Route), ist es Zeit, den Hosting-Support zu kontaktieren. Folgendes solltest du mitteilen:
- Startzeit des Angriffs (so genau wie moeglich)
- Angriffstyp (falls identifiziert): UDP Flood, SYN Flood, Application-Level
- Screenshots oder Logs mit Verbindungszahlen und Traffic
- Die IP-Adresse deines Servers (falls du mehrere hast)
- Was du bereits unternommen hast
Ein guter Hoster kann:
- Grundlegenden DDoS-Schutz auf seiner Seite aktivieren
- Traffic durch ein Scrubbing Center umleiten
- Temporaer die IP-Adresse aendern
- Konfigurationsempfehlungen geben
Ein schlechter Hoster wird sagen "wir koennen nichts tun" oder deinen Server einfach abschalten "weil er Probleme fuer andere Kunden verursacht." Leider ist das auch Realitaet.
Speichere die gesamte Korrespondenz mit deinem Hoster. Du koenntest sie spaeter brauchen.
Schritt 6: Wann professioneller Schutz noetig ist
Iptables und Whitelist sind Erste Hilfe. Sie helfen bei schwachen Angriffen oder verschaffen dir Zeit, bis ein richtiger Schutz eingerichtet ist. Aber sie loesen das Problem nicht.
Wenn Angriffe sich wiederholen, wenn ihre Staerke zunimmt, wenn der Angreifer sich an deine Regeln anpasst - brauchst du einen spezialisierten Filterdienst.
MineGuard zum Beispiel funktioniert als Proxy-Filter: Der gesamte Traffic durchlaeuft einen Filterknoten, der Pakete auf Minecraft-Protokollebene analysiert. Legitime Spieler kommen durch, Angriffstraffic wird gedroppt, bevor er deinen Server erreicht. Die Filterung arbeitet auf XDP/eBPF-Ebene, was die Verarbeitung von Millionen von Paketen pro Sekunde ohne CPU-Last ermoeglicht.
Der entscheidende Vorteil dieses Ansatzes: Deine echte IP ist verborgen. Der Angreifer kann den Schutz nicht umgehen, weil er nicht weiss, wohin er direkt angreifen soll.
Die Einrichtung dauert wenige Minuten: Du richtest die MineGuard-Adresse als deine Serveradresse ein, und MineGuard leitet den sauberen Traffic an dich weiter.
Schritt 7: Nach dem Angriff - was pruefen
Der Angriff ist vorbei. Der Server laeuft. Aber es ist zu frueh, sich zu entspannen. Hier ist die Checkliste:
Logs sichern
# Iptables-Logs kopieren
iptables -L -n -v > ~/attack-log-iptables-$(date +%Y%m%d).txt
# Minecraft-Logs kopieren
cp /path/to/server/logs/latest.log ~/attack-log-mc-$(date +%Y%m%d).log
# Verbindungsstatistiken speichern
ss -s > ~/attack-log-connections-$(date +%Y%m%d).txt
Diese Logs helfen bei der Analyse und koennen noetig sein, wenn du eine Beschwerde beim Hosting-Anbieter des Angreifers einreichen moechtest.
Datenintegritaet pruefen
- Laden alle Welten korrekt?
- Funktionieren Plugins fehlerfrei?
- Sind Spielerdaten (Inventare, Positionen, Wirtschaft) intakt?
- Wurde das Backup vor oder waehrend des Angriffs erstellt?
Wenn ein Backup waehrend des Angriffs erstellt wurde, koennte es beschaedigt sein. Verwende das vorherige Backup zur Ueberpruefung.
Temporaere Regeln entfernen
Ueberpreufe alle iptables-Regeln, die du in der Eile hinzugefuegt hast. Zu aggressive Regeln koennen legitime Spieler blockieren.
# Aktuelle Regeln mit Zeilennummern anzeigen
iptables -L INPUT -n --line-numbers
# Bestimmte Regel nach Nummer loeschen
iptables -D INPUT <Nummer>
Auf Spuren pruefen
- Gibt es unbekannte OP-Spieler?
- Wurden Konfigurationen geaendert (server.properties, spigot.yml)?
- Gibt es verdaechtige Plugins im Plugins-Ordner?
DDoS wird manchmal als Ablenkung genutzt, waehrend der Angreifer versucht, Schwachstellen auf dem Server auszunutzen.
Schritt 8: Schutzplan fuer die Zukunft
Es ist einmal passiert - es wird wieder passieren. Bereite dich im Voraus vor.
Backups
- Richte automatische Backups mindestens einmal taeglich ein
- Speichere Backups auf einem separaten Server oder in der Cloud
- Teste deine Backups monatlich - fuehre eine Testwiederherstellung durch
Echte IP verbergen
- Verwende einen Proxy (BungeeCord, Velocity) oder einen Schutzdienst
- Veroeffentliche die Server-IP nirgendwo ausser der Proxy-Adresse
- Wenn die IP bereits bekannt ist - bitte deinen Hoster, sie zu aendern
Notfall-Schutzskript vorbereiten
Erstelle ein Skript, das du bei einem Angriff mit einem einzigen Befehl ausfuehren kannst:
#!/bin/bash
# emergency-protect.sh
echo "Aktiviere Notfallschutz..."
# Verbindungslimit
iptables -A INPUT -p tcp --dport 25565 -m connlimit --connlimit-above 3 -j DROP
# Rate Limit fuer neue Verbindungen
iptables -A INPUT -p tcp --dport 25565 -m state --state NEW -m hashlimit \
--hashlimit-above 5/sec --hashlimit-burst 10 --hashlimit-mode srcip \
--hashlimit-name mc_limit -j DROP
# SYN Cookies
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo "Schutz aktiviert. Vergiss nicht, die Whitelist zu aktivieren!"
Monitoring
- Richte Warnmeldungen fuer abnormalen Traffic ein
- Verwende Prometheus + Grafana oder zumindest ein einfaches Skript, das Verbindungszahlen ueberwacht
- Abonniere Hosting-Benachrichtigungen ueber Netzwerkprobleme
Dokumentation
- Schreibe auf, was passiert ist und welche Massnahmen geholfen haben
- Erstelle eine Kontaktliste: Hosting-Support, andere Admins, die helfen koennen
- Aktualisiere deinen Aktionsplan nach jedem Angriff
Kurzuebersicht: Reihenfolge der Massnahmen
- Keine Panik. Notizblock oeffnen, Aktionen protokollieren
- Typ identifizieren: Traffic pruefen (
vnstat,nethogs), Verbindungen (ss), CPU (top) - Iptables-Regeln anwenden: Verbindungslimits, Rate Limiting
- Whitelist in Minecraft aktivieren
- Hosting-Support mit Details kontaktieren
- Bedarf an professionellem Schutz bewerten (MineGuard oder aehnlich)
- Nach dem Angriff: Logs sichern, Daten pruefen, temporaere Regeln entfernen
- Plan fuer die Zukunft vorbereiten: Backups, Monitoring, IP verbergen
Ein Angriff ist unangenehm, aber nicht das Ende. Mit den richtigen Massnahmen minimierst du den Schaden und bringst deinen Server schneller wieder online, als du denkst.
Schützen Sie Ihren Server vor DDoS-Angriffen
Kostenloser Schutz mit 5-Minuten-Einrichtung. 1 TB Traffic inklusive.
Kostenlos testenWeitere Artikel
Paper und Spigot Sicherheitseinstellungen: Was aktivieren und was deaktivieren
Detaillierte Analyse der Sicherheitseinstellungen in server.properties, spigot.yml, paper-global.yml, paper-world-defaults.yml und bukkit.yml. Jeder Parameter erklaert mit produktionsfertigen Werten.
DiscordSRV fuer SMP: erweiterte Konfiguration, Role Sync und Event-Automatisierung
Fortgeschrittenes DiscordSRV: Role Sync mit LuckPerms, /link, eigene Channels fuer Tode und Achievements, Console-Channel, Voice und Tuning ab 200+ Spielern.
Warum Ihr Minecraft-Server abstürzt: Vollständiger Fehlerbehebungs-Leitfaden
Ein praktischer Leitfaden zur Diagnose und Behebung von Minecraft-Server-Abstürzen. Lernen Sie, Crash-Reports zu lesen, Speicherfehler zu beheben, beschädigte Chunks zu reparieren und Plugin-Konflikte zu lösen.