Zurück zum Blog
Was ist eine DDoS-Attacke - einfache Erklaerung fuer Serverbetreiber

Was ist eine DDoS-Attacke - einfache Erklaerung fuer Serverbetreiber

Sie haben einen Server gemietet, Minecraft installiert, Freunde eingeladen. Zwei Wochen spaeter haben Sie 30 Stammspieler. Alles lief gut - bis der Server eines Morgens einfach nicht mehr reagierte. Spieler schreiben "kann nicht verbinden", die Konsole haengt, der Hoster spricht von "ungewoehnlichem Traffic". Sie werden angegriffen.

Wenn Sie noch nie mit DDoS zu tun hatten, ist das verwirrend und beaengstigend. Was passiert da? Wer macht das? Und vor allem - wie schuetzt man sich?

In diesem Artikel erklaere ich DDoS so einfach wie moeglich. Keine komplizierten Fachbegriffe, keine Paketdumps. Nur das Wesentliche.

Die Restaurant-Analogie

Bevor wir in technische Details gehen, verwenden wir eine Analogie.

Stellen Sie sich vor, Sie besitzen ein Restaurant. Klein, gemuetlich, 40 Plaetze. Jeden Abend kommen 25-30 Gaeste, alle sind zufrieden.

Jetzt stellen Sie sich vor, jemand hat 2.000 Leute angeheuert. Deren Aufgabe: einfach vor Ihrem Restaurant stehen. Sie werden nichts bestellen. Sie fuellen den Eingang, den Buergersteig, den Parkplatz. Echte Gaeste kommen physisch nicht rein. Sie sehen die Menge, drehen um und gehen.

Das Restaurant laeuft noch. Koeche sind bereit, Tische gedeckt. Aber keine Gaeste - weil niemand zur Tuer durchkommt.

Das ist ein DDoS-Angriff. Ihr Server laeuft, Minecraft ist gestartet, die Welt geladen. Aber die Netzwerkverbindung ist mit Muell-Traffic verstopft, und echte Spieler koennen sich nicht verbinden.

Was "DDoS" eigentlich bedeutet

DDoS steht fuer Distributed Denial of Service - "Verteilter Dienstverweigerungsangriff".

Schauen wir uns die Woerter an:

  • Denial of Service - Dienstverweigerung. Das Ziel ist, Ihren Server daran zu hindern, echte Nutzer zu bedienen.
  • Distributed - Verteilt. Der Angriff kommt nicht von einem Computer, sondern von Tausenden gleichzeitig.

Warum "verteilt"? Wenn der Angriff von einer einzigen IP-Adresse kaeme, waere das Blockieren trivial. Eine Adresse, eine Firewall-Regel, fertig. Aber wenn 50.000 verschiedene Geraete aus 80 Laendern Traffic auf Sie schiessen - koennen Sie nicht jedes einzeln blockieren.

Diese Geraete sind infizierte Computer, Router, Ueberwachungskameras, sogar smarte Kuehlschraenke. Zusammen bilden sie ein Botnet. Die Besitzer dieser Geraete wissen meistens nicht mal, dass ihre Hardware an einem Angriff teilnimmt.

Drei Typen von DDoS-Angriffen

Nicht alle Angriffe sind gleich. Es gibt drei Haupttypen, und das Verstaendnis der Unterschiede hilft zu erkennen, warum manche Verteidigungsmethoden funktionieren und andere nicht.

1. Volumetrische Angriffe

Der brachiale Typ. Die Idee ist simpel: die Netzwerkverbindung mit so vielen Daten fluten, dass sie physisch nicht mehr mitkommt.

Zurueck zur Restaurant-Analogie. Ein volumetrischer Angriff bedeutet, dass 2.000 LKWs gleichzeitig die einzige Strasse zu Ihrem Restaurant blockieren. Die Strasse ist dicht. Egal wie gut Ihr Restaurant ist - man kommt einfach nicht hin.

In der Realitaet: Ihr Server hat eine 1-Gbps-Verbindung. Der Angreifer schickt 50 Gbps. Ihre Leitung ist 50-fach ueberlastet. Keine Einstellungen am Server selbst helfen - das Problem ist nicht der Server, sondern die Leitung.

Typische Beispiele: UDP-Flood, DNS-Amplification, NTP-Amplification.

2. Protokoll-Angriffe

Die sind cleverer. Sie versuchen nicht, die gesamte Leitung zu fuellen - sie nutzen Eigenheiten von Netzwerkprotokollen aus, um Server-Ressourcen zu erschoepfen.

Analogie: Leute kommen zu Ihrem Restaurant, fragen "kann ich die Karte sehen?" und gehen, ohne auf eine Antwort zu warten. Aber Ihr Kellner holt jedes Mal die Karte, geht zum Tisch, wartet... und die Person ist weg. Tausende Male. Die Kellner sind beschaeftigt mit Gaesten, die gar nicht da sind, waehrend echte Gaeste warten.

In Netzwerkbegriffen: Der Angreifer startet eine TCP-Verbindung (SYN), schliesst aber den Handshake nie ab (SYN-ACK-ACK). Der Server reserviert Speicher fuer jede "halboffene" Verbindung und wartet. Wenn Zehntausende davon zusammenkommen - sind die Ressourcen erschoepft.

Typische Beispiele: SYN-Flood, ACK-Flood, Ping of Death.

3. Application-Layer-Angriffe

Der cleverste Typ. Diese Angriffe ahmen echtes Nutzerverhalten nach, aber in riesigem Umfang.

Analogie: Normal aussehende Leute kommen in Ihr Restaurant, setzen sich, geben extrem komplizierte Bestellungen auf... und gehen, wenn das Essen fertig ist. Sie sehen aus wie normale Gaeste. Der Tuersteher laesst sie rein. Aber die Kueche ist ueberfordert mit sinnlosen Bestellungen.

Fuer Minecraft sieht das so aus: Tausende Bots verbinden sich mit Ihrem Server, durchlaufen den Handshake, starten den Login-Prozess. Jeder Bot sieht aus Protokoll-Sicht wie ein echter Spieler aus. Der Server verbraucht CPU und RAM fuer die Verarbeitung jeder Verbindung.

Typische Beispiele: HTTP-Flood, Bot-Join-Flood, Slowloris.

Warum werden gerade Gameserver angegriffen?

Wenn Sie denken "wer wuerde sich die Muehe machen, meinen kleinen 30-Spieler-Server anzugreifen" - Sie sind nicht allein. Die meisten Serverbetreiber verstehen wirklich nicht, warum sie angegriffen werden. Hier die Hauptgruende:

Konkurrenz. Der haeufigste Grund. Ein rivalisierender Serverbetreiber will Ihre Spieler abwerben. Wenn Ihr Server down ist und seiner laeuft - wechseln die Spieler. Klingt kindisch? Ja. Aber es ist Realitaet. Besonders in Nischen wie SkyBlock oder Factions, wo die Zielgruppe dieselbe ist.

Rache. Sie haben einen Spieler gebannt, und der kennt jemanden, der "sich mit Computern auskennt". Oder ein ehemaliger Admin ist sauer. Klingt kleinlich, aber das ist der zweithaeufigste Grund.

Einfach so. Teenager laden DDoS-Tools herunter oder kaufen einen Stresser fuer 10 Dollar zum "Spass". Sie brauchen keinen Grund. Sie sehen eine Serveradresse in einer Liste und druecken den Knopf.

Erpressung. Seltener, aber es kommt vor. "Zahl, oder wir greifen jeden Tag an." Betrifft meist groessere Server mit Spendeneinnahmen.

Wenn Sie das Ausmass des Problems und aktuelle Trends verstehen wollen, lesen Sie unseren Artikel ueber DDoS-Angriffstrends 2026.

Wie ein Angriff aus Admin-Sicht aussieht

Falls Sie noch nicht angegriffen wurden - hier ist, was Sie sehen werden, wenn es passiert:

TPS faellt. Normaler TPS (Ticks pro Sekunde) fuer Minecraft ist 20. Waehrend eines Angriffs kann er auf 5, auf 1, auf Null fallen. Die Welt friert buchstaeblich ein.

Spieler werden getrennt. Zuerst kommen Timeouts - "Connection timed out", "Read timed out". Dann fliegen Spieler massenweise raus.

Konsole voller Fehler. Entweder ein Strom von Verbindungs-/Trennungsmeldungen, oder die Konsole reagiert gar nicht mehr.

CPU und RAM am Anschlag. Bei Application-Layer-Angriffen: CPU auf 100%, Speicher voll. Bei volumetrischen Angriffen ist der Server vielleicht nicht mal sonderlich belastet - aber die Leitung ist komplett verstopft.

Ping explodiert. Statt der ueblichen 50-80 ms wird der Ping 2000+, oder der Server antwortet gar nicht auf Pings.

Hoster schickt Warnungen. Viele Hoster blockieren bei abnormalem Traffic einfach Ihre IP fuer einige Stunden. Null-Routing - aller Traffic zu Ihrer IP wird einfach verworfen. Der Angriff hoert auf zu wirken, aber Ihr Server ist auch nicht erreichbar.

Was NICHT hilft

Jetzt kommt der unangenehme Teil. Viele Dinge, die logisch erscheinen, funktionieren in Wirklichkeit nicht.

"Anti-DDoS" Plugins

Ich habe Dutzende Server gesehen, auf denen der Betreiber ein Plugin namens "AntiDDoS" oder "DDoS Protection" installiert hat und sich sicher fuehlte.

Das Problem: Ein Plugin laeuft innerhalb von Minecraft. Damit das Plugin eine Verbindung sehen kann, muss der Traffic den Server erreichen, durch Java laufen, durch Bukkit/Paper. Wenn der Angriff das Netzwerk saettigt - erreicht der Traffic das Plugin physisch nicht. Wenn es ein TCP-Level-Angriff ist - weiss das Plugin nicht mal davon.

Plugins koennen gegen Bot-Join-Angriffe helfen (wenn Bots sich als Spieler verbinden), aber das ist der schwaechste Angriffstyp. Gegen echten DDoS sind Plugins nutzlos.

Port aendern

"Was, wenn ich Port 25566 statt 25565 nehme?" - hilft nicht. Angreifer scannen Ports in Sekunden. Oder sie brauchen keinen bestimmten Port - UDP-Flood trifft alle Ports gleichzeitig.

IP hinter Domain verstecken

"Aber ich habe eine Domain, keine IP!" - die Domain wird zu einer IP aufgeloest. nslookup play.myserver.com zeigt jedem Ihre echte Adresse. DNS-Eintraege sind kein Schutz, sie sind ein Telefonbuch.

Mehr Bandbreite kaufen

"Ich habe 10 Gbps, das reicht!" - wird es nicht. Der durchschnittliche DDoS-Angriff 2026 liegt bei Dutzenden Gigabit. Grosse bei Hunderten. Dieses Wettruesten gewinnen Sie nicht.

iptables/Firewall auf dem Server

Eine Firewall auf dem Server funktioniert, wenn der Traffic die Maschine bereits erreicht hat. Sie kann Pakete filtern, aber die Leitung ist trotzdem verstopft. Wenn der Angriff volumetrisch ist, rettet die Firewall nichts - das Problem sind nicht die Pakete, sondern die Bandbreite.

Was wirklich hilft

Wenn keine der genannten Methoden funktioniert - was dann? Externe Traffic-Filterung.

Wie das funktioniert (vereinfacht)

Die Idee ist einfach: Sie stellen zwischen Internet und Ihren Server einen speziellen Filter. Aller Traffic geht zuerst an diesen Filter, nicht an Ihren Server. Der Filter wirft den Muell weg und laesst nur sauberen Traffic durch.

Zurueck zum Restaurant. Sie beauftragen eine Sicherheitsfirma. Die richten einen Checkpoint auf der Zufahrt zum Restaurant ein. Sie pruefen jeden: Haben Sie eine Reservierung? Sehen Sie wie ein echter Gast aus? Herein. Sie? Nein, Sie gehoeren zu den Falschen. Kein Durchgang.

Der Filter beim Schutzanbieter:

  • Hat Netzwerkleitungen von Dutzenden und Hunderten Gigabit (anders als Ihr Server)
  • Ist speziell darauf ausgelegt, riesige Paketmengen zu verarbeiten
  • Nutzt intelligente Algorithmen, um Spieler von Bots zu unterscheiden
  • Weiss, wie normaler Minecraft-Traffic aussieht

Mehr darueber, wie Filterung funktioniert, lesen Sie in unserem Artikel ueber DDoS-Schutzprinzipien.

Spezialisierter Minecraft-Schutz

Generische DDoS-Schutzdienste (Cloudflare, AWS Shield) sind fuer Websites gedacht - HTTP/HTTPS. Fuer Minecraft taugen sie nicht, weil Minecraft ein eigenes Protokoll ueber TCP verwendet.

Spezialisierte Dienste (wie MineGuard) verstehen Minecraft-Traffic im Detail. Sie kennen das Protokoll, wissen wie ein echter Client aussieht, und koennen auf Paketebene Spieler von Bots unterscheiden.

So sieht eine Verbindung ueber den Schutz aus:

Spieler tippt: play.yourserver.com
     |
     v
DNS zeigt auf Filter (nicht auf Ihren Server)
     |
     v
Filter prueft Traffic
     |
     v
Sauberer Traffic -> Ihr Server
Muell -> Papierkorb

Der Spieler merkt keinen Unterschied. Er verbindet sich normal, spielt normal. Nur steht ein unsichtbarer Filter zwischen ihm und Ihrem Server.

Hosting mit Schutz waehlen

Einige Hosting-Anbieter bieten eingebauten DDoS-Schutz an. Das ist praktisch, wenn Sie sich nicht mit der Einrichtung befassen wollen. Aber Achtung: die Qualitaet variiert stark. Manche Hoster machen bei einem Angriff einfach Null-Route auf Ihre IP, was praktisch dasselbe bewirkt wie ein erfolgreicher Angriff.

Bei der Hosterwahl fragen Sie:

  • Welche Schutzkapazitaet? (wie viele Gbps koennen sie filtern)
  • Wird L7-Filterung verwendet? (versteht der Schutz das Minecraft-Protokoll)
  • Was passiert bei Ueberschreitung des Limits? (Null-Route oder weiter filtern)

Mein Server ist klein - mich wird doch keiner angreifen?

Leider spielt die Groesse keine Rolle. Server mit 10 Spielern werden genauso oft angegriffen wie Server mit 1.000. Manchmal sogar oefter - kleine Server sind normalerweise komplett ungeschuetzt.

Einen ungeschuetzten Server anzugreifen kostet fast nichts. Einen 5-Minuten-Stresser gibt es gratis. Fuer einen Anfaenger-Angreifer ist Ihr Server ein leichtes Ziel.

Warten Sie nicht auf den ersten Angriff. Bereiten Sie sich vor. Und wenn der Angriff gerade laeuft, hier ist eine Schritt-fuer-Schritt-Anleitung, was Sie jetzt tun koennen.

Kurzfassung: Was Sie sich merken sollten

  • DDoS heisst, Tausende Geraete ueberfluten gleichzeitig Ihren Server mit Muell-Traffic
  • Drei Typen: volumetrisch (Leitung verstopfen), Protokoll (Ressourcen erschoepfen), Application (Nutzer nachahmen)
  • Gameserver werden wegen Konkurrenz, Rache und einfach zum Spass angegriffen
  • Plugins, Portwechsel und Server-Firewall helfen nicht gegen ernsthafte Angriffe
  • Die einzige echte Loesung ist externe Traffic-Filterung durch einen spezialisierten Dienst
  • Servergroesse schuetzt nicht - es trifft alle

Haben Sie keine Angst vor DDoS-Angriffen. Seien Sie einfach vorbereitet.

Schützen Sie Ihren Server vor DDoS-Angriffen

Kostenloser Schutz mit 5-Minuten-Einrichtung. 1 TB Traffic inklusive.

Kostenlos testen

Weitere Artikel

Resource-Pack fuer Minecraft-Server hosten: kompletter Leitfaden (2026)

Resource-Pack fuer Minecraft-Server hosten: kompletter Leitfaden (2026)

Wie du ein Resource-Pack korrekt hostest, den sha1 erzeugst und es ueber server.properties an den Client schickst. GitHub raw, Mc-Packs.net, Cloudflare R2, eigenes nginx, Versionierung, Mehrsprachigkeit und warum Discord CDN 2024 starb.

So waehlen Sie ein Hosting fuer einen Minecraft-Server

So waehlen Sie ein Hosting fuer einen Minecraft-Server

Praktischer Leitfaden zur Wahl des Minecraft-Server-Hostings: Shared vs VPS vs Dedicated, CPU- und RAM-Anforderungen, Festplattentypen, DDoS-Schutz, Control Panels und Warnsignale bei der Anbieterwahl.

Multiverse-Core: mehrere Welten auf einem Minecraft-Server

Multiverse-Core: mehrere Welten auf einem Minecraft-Server

Kompletter Multiverse-Core-Guide: Installation, Befehle, Portal-Blöcke, getrennte Inventare, Generatoren und echte Performance-Stolperfallen.