Schutz eines selbst gehosteten Minecraft Servers vor DDoS: Komplettanleitung

Warum Heimserver leichte Ziele sind

Seien wir ehrlich. Wenn du einen Minecraft Server auf einem alten PC unter deinem Schreibtisch betreibst, bist du viel verwundbarer als jemand, der einen VPS für 5 Euro im Monat mietet.

Der Grund ist einfach: Deine Heim-IP ist deine echte Internetadresse. Nicht die Adresse eines Rechenzentrums mit 1 Tbit/s Filterung, sondern die Adresse, hinter der dein Router, dein PC, dein Smart-TV und alle Handys im Haushalt stecken.

Heiminternet hat normalerweise 100-500 Mbit/s. Um das lahmzulegen, braucht ein Angreifer etwa 200-300 Mbit/s Müll-Traffic. Das schafft jeder kostenlose Stresser. Und dein Provider wird nichts filtern - der sperrt einfach deinen Anschluss, bis die Attacke vorbei ist.

Die eigentliche Gefahr: Das ganze Zuhause liegt flach

Viele denken: "Na gut, Server stürzt ab, starte ich neu." Nein. Wenn DDoS auf deine Heim-IP kommt, fällt ALLES aus. Familien-WLAN, Homeoffice, Videocalls, Streaming. Alles.

Und das ist keine theoretische Bedrohung. Drama auf Minecraft Servern passiert ständig. Du bannst einen Spieler, er rächt sich. Jemand verliert einen Clankrieg, bestellt eine Attacke. Irgendein Kind will sich einfach mächtig fühlen.

Wenn dein Server bei einem Hoster läuft, kontaktierst du den Support und die helfen. Wenn er zuhause steht, rufst du deinen Provider an, der keine Ahnung hat, was DDoS ist, und vorschlägt, "den Router neu zu starten."

Wie Angreifer deine IP finden

Du denkst vielleicht, niemand kennt deine IP. Das stimmt nicht.

Direkte Verbindungen. Wenn ein Spieler sich per IP mit deinem Server verbindet, sieht er diese Adresse. Jedes Logging-Plugin, Wireshark oder sogar ein einfacher Ping zeigt die Server-IP.

Shodan und Censys. Diese Suchmaschinen scannen ständig das gesamte Internet. Dein Server auf Port 25565 wird innerhalb von Stunden nach dem Start indexiert. Version, MOTD und Spieleranzahl werden katalogisiert.

Discord und Foren. Du oder deine Moderatoren haben vielleicht versehentlich die IP im Chat geteilt. Ein Screenshot mit sichtbarer Adressleiste, eine Config-Datei in Logs, eine Beschwerde beim Provider - alles Leaks.

DNS-Einträge. Wenn du eine Domain direkt per A-Record auf deine Heim-IP zeigen lässt, verrät ein einfacher nslookup-Befehl alles.

Lösung 1: Reverse Proxy (empfohlen)

Das Konzept ist einfach: Zwischen Spielern und deinem Server steht ein Server mit dicker Leitung und Traffic-Filterung. Spieler verbinden sich damit, er filtert Müll-Traffic raus und leitet saubere Pakete zu dir nach Hause weiter.

So funktioniert es:

• Spieler verbindet sich mit play.deinserver.de
• DNS zeigt auf den geschützten Proxy
• Proxy prüft den Traffic, verwirft Angriffspakete
• Sauberer Traffic geht durch einen verschlüsselten Tunnel zu deinem Heimserver
• Deine echte IP bleibt vor allen verborgen

Das machen Dienste wie MineGuard. Der Hauptvorteil ist, dass du nichts am Minecraft Server selbst ändern musst, nur DNS-Einstellungen und eventuell ein Plugin für die Weiterleitung echter Spieler-IPs.

Vorteile:

• Echte IP komplett versteckt
• Filterung passiert, bevor Traffic bei dir ankommt
• Belastet weder deine Bandbreite noch deinen Router
• Einrichtung dauert 10-15 Minuten

Nachteile:

• Kostet Geld (ab ca. 5$/Monat)
• Fügt ein paar ms Latenz hinzu (normalerweise 2-5 ms, nicht spürbar)

Lösung 2: VPN/Tunnel

Ein alternativer Ansatz: Du richtest einen VPN-Tunnel zwischen deinem Server und einem VPS im Rechenzentrum ein. Spieler verbinden sich mit der VPS-IP, und der Traffic läuft durch den Tunnel zu dir.

Beliebte Optionen:

• WireGuard-Tunnel (am schnellsten)
• OpenVPN (einfacher einzurichten, aber langsamer)
• Playit.gg und ähnliche Dienste (fertige Lösung)

Vorteile:

• Kann kostenlos eingerichtet werden, wenn du einen VPS hast
• Volle Kontrolle über die Konfiguration

Nachteile:

• Keine Traffic-Filterung - Angriffe gehen einfach durch den Tunnel
• Der VPS selbst kann angegriffen werden
• Schwieriger einzurichten und zu warten
• WireGuard hat Bandbreiten-Overhead

Ehrlich gesagt ist ein reiner VPN-Tunnel ohne Filterung nur eine halbe Lösung. Du versteckst deine Heim-IP, aber der Server geht bei einer Attacke trotzdem down. Macht nur als Übergangslösung Sinn oder in Kombination mit Filterung.

Schutz Schritt für Schritt einrichten

Hier ist der konkrete Plan, ohne Geschwafel.

Schritt 1: Domain kaufen

Jede günstige Domain reicht. Hol dir eine für 1-2 Euro bei Namecheap oder Porkbun. Du brauchst sie, damit Spieler sich per Domain verbinden statt per IP. So kannst du jederzeit die IP hinter dem Proxy tauschen, ohne Spieler zu verlieren.

Schritt 2: Schutzdienst verbinden

Melde dich bei einem DDoS-Schutzdienst für Minecraft an. Füge deine Domain hinzu, gib deine Heim-IP und den Server-Port an. Der Dienst gibt dir einen CNAME-Eintrag oder eine geschützte IP.

Schritt 3: DNS konfigurieren

Erstelle in der Domain-Verwaltung einen CNAME-Eintrag, der auf die Adresse zeigt, die dir der Schutzdienst gegeben hat. Wenn du eine IP bekommen hast, erstelle einen A-Record. Lösche alle alten A-Records mit deiner Heim-IP.

Schritt 4: IP-Weiterleitung einrichten

Ohne diesen Schritt sehen alle Spieler für deinen Server so aus, als kämen sie von einer IP (der Proxy-Adresse). Du brauchst ein Plugin, das die echte IP aus dem Proxy-Protokoll liest.

Für BungeeCord/Velocity - Proxy Protocol in der Config aktivieren. Für Paper/Spigot ohne Proxy - ein Plugin für Proxy Protocol Support installieren.

Schritt 5: Direkten Zugriff einschränken

Das ist der kritische Schritt, den viele überspringen. Konfiguriere deine Firewall so, dass Port 25565 nur Verbindungen von den IPs des Schutzdienstes akzeptiert. Alles andere blockieren.

Auf Linux:

iptables -A INPUT -p tcp --dport 25565 -s PROXY_IP -j ACCEPT
iptables -A INPUT -p tcp --dport 25565 -j DROP

Auf Windows über Windows-Firewall-Regeln. Am Router Port-Forwarding nur von angegebenen IPs (falls der Router das unterstützt).

Schritt 6: Überprüfen

Versuche, dich direkt über deine Heim-IP zu verbinden - sollte nicht funktionieren. Verbinde dich über die Domain - sollte funktionieren. Prüfe auf Shodan, ob dein Server auf deiner Heim-IP sichtbar ist.

Was man NICHT tun sollte

Nicht alle Ports weiterleiten. UPnP und DMZ am Router sind gefährlich. Leite nur einen Port (25565) an eine interne IP weiter. Niemals DMZ nutzen.

IP nicht teilen. Auch nicht mit "vertrauenswürdigen" Spielern. Eine geleakte IP kann man nicht zurücknehmen (bis man eine neue vom Provider bekommt).

Keine kostenlosen VPNs nutzen. Kostenlose VPN-Dienste sind langsam, instabil und bringen oft eigene Sicherheitsprobleme mit. Für Gameserver sind sie nicht geeignet.

Nicht auf "Router-Schutz" verlassen. Heimrouter sind nicht für DDoS-Abwehr gebaut. Die "DoS-Schutz"-Funktion in den Router-Einstellungen ist nur Portscan-Schutz, mehr nicht.

Keine Anti-Bot-Plugins aus dubiosen Quellen. Anti-Bot-Plugins arbeiten auf Anwendungsebene. Wenn deine Bandbreite gesättigt ist, bringen sie nichts, weil der Traffic gar nicht richtig zum Plugin durchkommt.

Router und Netzwerk absichern

Auch mit Proxy-Schutz lohnt es sich, das Heimnetzwerk abzusichern.

UPnP deaktivieren. Dieses Protokoll erlaubt Programmen, automatisch Ports zu öffnen. Bequem, aber unsicher. Öffne die Ports, die du brauchst, manuell.

Router-Firmware aktualisieren. Im Ernst. Viele Router laufen jahrelang auf alter Firmware mit bekannten Sicherheitslücken.

Router-Admin-Passwort ändern. Wenn du immer noch admin/admin oder admin/password hast, ändere das sofort.

Separates Subnetz oder VLAN nutzen. Wenn dein Router VLANs unterstützt, isoliere den Server in einem eigenen Netzwerk. Falls nicht, verbinde den Server wenigstens per Ethernet statt WLAN.

DNS-over-HTTPS einrichten. Das schützt vor DNS-Spoofing. Die meisten modernen Router unterstützen das.

Wenn deine IP bereits bekannt ist

Schlechte Nachricht: Wenn deine IP schon bekannt ist, reicht es nicht, einfach Schutz einzurichten. Der Angreifer kann direkt auf die IP schlagen und den Proxy umgehen.

So gehst du vor:

1. Neue IP vom Provider holen. Ruf an und bitte um eine IP-Änderung. Bei den meisten Providern ist das kostenlos. Manchmal reicht es, den Router neu zu starten oder über Nacht auszuschalten - bei dynamischer IP ändert sie sich.

2. Erst Schutz einrichten, dann IP ändern. Wenn du die IP wechselst und sofort den Server ohne Schutz startest, wird die neue IP genauso schnell bekannt.

3. Alle Leaks prüfen. Suche deine alte IP in Discord-Servern, Foren, Serverlisten. Lösche alles, was du findest.

4. Domain nicht direkt auf die neue IP zeigen lassen. Nur über den Proxy-Dienst.

Kostenvergleich: Schutz vs Hosting

Rechnen wir mal durch.

Heimserver + Schutz:

• Strom: ca. 5-15 Euro/Monat (je nach Hardware)
• Domain: ca. 1-2 Euro/Monat (oder ca. 10-15 Euro/Jahr)
• DDoS-Schutz: ab 5$/Monat
• Gesamt: ca. 11-22 Euro/Monat

VPS/Dedizierter Server:

• Budget-VPS (4GB RAM): ca. 5-15 Euro/Monat
• Ordentlicher Dedi (32GB RAM): ca. 30-80 Euro/Monat
• DDoS-Schutz oft inklusive (aber nur Basis)

Für einen kleinen Server mit 10-20 Spielern kann Heimhosting mit Schutz günstiger sein. Du nutzt deine eigene Hardware und zahlst nur für Schutz und Domain.

Ab 50+ Spielern solltest du über richtiges Hosting nachdenken. Mehr Bandbreite, Support verfügbar, und Basis-DDoS-Schutz ist meistens im Preis enthalten.

Dienste wie MineGuard bieten Schutz ab 5$/Monat, was für einen Heimserver absolut machbar ist. Das ist günstiger, als jedes Mal beim Provider anzurufen und um eine neue IP zu betteln.

Fazit

Einen Minecraft Server zuhause betreiben ist völlig in Ordnung. Viele große Projekte haben genau so angefangen. Aber ohne IP-Schutz ist es ein Glücksspiel - früher oder später entscheidet sich jemand, dich lahmzulegen.

Minimaler Aktionsplan:

• Domain kaufen
• DDoS-Proxy einrichten
• Direkten Zugriff per Firewall blockieren
• Echte IP nirgends preisgeben

Das dauert 30-40 Minuten Einrichtung und erspart dir Kopfschmerzen für die gesamte Lebensdauer deines Servers. Besser jetzt die Zeit investieren, als später der Familie erklären zu müssen, warum das Internet nicht geht.