Alle Systeme betriebsbereit Amsterdam · Paris · Reykjavík +5 Zahlen mit Kryptowährung
EnglishРусский简体中文EspañolDeutschفارسیTürkçePortuguêsTiếng ViệtBahasa Indonesia
Glossar

Was ist DDoS-Schutz?

DDoS-Schutz ist Infrastruktur, die Flood-Angriffe erkennt und den feindseligen Traffic vorgelagert herausfiltert, sodass Ihr Server weiterhin legitime Anfragen beantwortet, während der Angriff in einen Filter fließt.

Aktualisiert: 2026-06-12

VPS deployen Preise ansehen
Fenrir der Wolf gestützt hinter einem Schild

Ein Distributed-Denial-of-Service-Angriff (DDoS) hackt nichts. Er sendet schlicht so viel Traffic — von Tausenden kompromittierten Geräten gleichzeitig — dass die Leitung, der Netzwerk-Stack oder die Anwendung ertrinkt und legitime Nutzer nicht mehr durchkommen. Angriffe sind stundenweise günstig zu mieten, weshalb sie Game-Server aus Groll treffen, Unternehmen mit Lösegeldforderungen, und umstrittene-aber-legale Websites aus Meinungsverschiedenheit. DDoS-Schutz ist die Gegen-Infrastruktur: Erkennung, die innerhalb von Sekunden eine Flood erkennt, und Scrubbing-Kapazität, die groß genug ist, diese zu absorbieren, während echte Traffic weitergeleitet wird. Auf einem VPS können Sie das nicht selbst nachrüsten — wenn Pakete Ihren virtuellen NIC erreichen, ist die Schlacht vorgelagert bereits verloren. Es muss eine Eigenschaft des Netzwerks des Hosts sein, weshalb es neben CPU und Disk auf dem Datenblatt stehen sollte.

Die drei Angriffs-Schichten

  • Volumetrisch (L3/L4-Floods). Rohe Bandbreiten-Sättigung: UDP-Floods, DNS/NTP-Amplifikation, die Mirai-ähnlichen Botnet-Klassiker. In Gigabit gemessen — moderne Angriffe übersteigen routinemäßig 100 Gbps, weit jenseits der Uplink eines einzelnen Servers. Nur vorgelagerte Scrubbing-Kapazität beantwortet das.
  • Protokoll-Angriffe. Erschöpfung des Verbindungszustands statt Bandbreite: SYN-Floods, Fragmentierungspaket-Tricks, Connection-Table-Erschöpfung. Kleiner in Volumen, tödlicher pro Paket; durch stateful Inspection am Edge gefiltert.
  • Anwendungs-Schicht (L7). Floods von legitim aussehenden HTTP-Anfragen gegen teure Endpunkte — Suchseiten, Login-Formulare, API-Aufrufe. Am schwierigsten generisch zu filtern, weil jede Anfrage einem echten Nutzer ähnelt; durch Rate-Limiting, Challenges und Caching am Anwendungs-Edge gemindert.

Ein echter Schutz-Stack adressiert alle drei; „DDoS-geschützt", das nur eine Router-ACL bedeutet, adressiert keines davon.

Wie Mitigation tatsächlich funktioniert

Die Pipeline ist Erkennung → Umleitung → Scrubbing → Wiedereinspeisung. Flow-Telemetrie (NetFlow/sFlow) beobachtet jede Kunden-IP auf Anomalien — eine plötzlich vervielfachte Traffic-Baseline, eine Protokollmischung, die einer bekannten Angriffssignatur entspricht. Binnen Sekunden wird das Ziel-Präfix in Scrubbing-Kapazität umgeleitet: Filterungshardware, die gefälschte Quellen verwirft, Flows rate-limitet, Protokollverhalten validiert und das Verbleibende weiterleitet. Sauberer Traffic tritt wieder in das Netzwerk in Richtung Ihres Servers ein, der meist nichts bemerkt. Die zwei Zahlen, die zählen, sind Mitigation-Zeit (Sekunden vs. Minuten entscheidet, ob Spieler/Nutzer je etwas bemerken) und Scrubbing-Spielraum (ein 10-Gbps-Scrubber gegenüber einem 400-Gbps-Flood ist Dekoration). „Always-on" bedeutet, Traffic wird permanent inline analysiert statt erst nach Schaden umgeleitet; für angriffsanfällige Workloads ist dieser Unterschied das Produkt.

Was „kostenloser DDoS-Schutz" abdeckt — und was nicht

Enthaltener Schutz (auch unserer) deckt die Netzwerk-Schichten ab: volumetrische Absorption und Protokoll-Filterung bis zu mehreren Hundert Gigabit, always-on, ohne Aufpreis, an jedem Standort. Was kein Netzwerk-Filter vollständig abdecken kann, ist die Effizienz Ihrer eigenen Anwendung: wenn eine einzige günstige HTTP-Anfrage Ihre App eine fünfsekündige Datenbankabfrage ausführen lässt, braucht ein Angreifer nur wenige Hundert Anfragen pro Sekunde — nicht von Nutzern zu unterscheiden — um Ihnen zu schaden. L7-Resilienz ist gemeinsame Arbeit: der Host filtert die Floods; Sie cachen aggressiv, rate-limiten teure Endpunkte und (wenn Sie Challenge-Pages wollen) schalten ein CDN vor. Ehrliche Hosts sagen das; seien Sie vorsichtig bei denen, die „unhackbar" versprechen.

Warum angriffsanfällige Projekte dafür Offshore gehen

Es gibt ein hässliches Muster im Mainstream-Hosting: angegriffen werden, gesperrt werden. Die echte DDoS-Richtlinie vieler Budget-Anbieter ist, das Opfer null-zu-routen — Ihre IP wird dunkel, bis der Angriff aufhört, was bedeutet, dass der Angreifer sofort und wiederholt gewinnt. Netzwerke mit ernsthafter Mitigation und einer Kultur, Opfer nicht zu bestrafen, finden sich unverhältnismäßig häufig in der Offshore-/DDoS-toleranten Ecke des Markts — Rumänien ist genau dafür bekannt. Unsere Richtlinie ist die vernünftige: angegriffen zu werden ist kein Verstoß, Mitigation greift automatisch, und niemand wird null-geroutet, weil er Opfer ist. (Angriffe starten liegt natürlich auf der anderen Seite der Nutzungsrichtlinie.)

FAQ

Häufige Fragen

Ist DDoS-Schutz wirklich kostenlos auf jedem VPSCrypto-Plan?

Ja — always-on volumetrische und Protokoll-Mitigation ist auf jeder Stufe an jedem Standort enthalten, Pup bis Fenrir. Es gibt keine „DDoS-Add-on"-Stufe; wir betrachten Erreichbarkeit als Teil des Basisprodukts.

Werde ich gesperrt, wenn mein Server angegriffen wird?

Nein. Opfer eines Angriffs zu sein ist hier kein Verstoß gegen die Nutzungsrichtlinie. Mitigation greift automatisch und Ihr Dienst bleibt innerhalb der Schutzkapazität verfügbar. Der Suspend-Victims-Reflex von Budget-Hosts ist genau das, was angriffsanfällige Projekte fliehen sollten.

Verlangsamt Schutz meinen normalen Traffic?

Nicht messbar. Außerhalb von Angriffsbedingungen fließt Traffic normal mit Inline-Analyse; während der Mitigation werden saubere Flows nach Filterung mit Latenz-Overhead im unteren Millisekundenbereich weitergeleitet — unsichtbar neben der Alternative, offline zu sein.

Kann ich einen Game-Server gegen L7-ähnliche Flooding-Angriffe schützen?

Game-Protokolle profitieren von den volumetrischen und Protokoll-Schichten, wo sich die meisten Game-Angriffe abspielen (UDP-Floods). Für Missbrauch auf Anwendungs-Ebene innerhalb des Game-Protokolls selbst kombinieren Sie Host-Schutz mit den eigenen Rate- und Session-Limits des Game-Servers — siehe unsere Game-Server-VPS-Seite.

Brauche ich trotzdem Cloudflare oder ein CDN vor einer Website?

Für reine Netzwerk-Floods, nein. Für HTTP-Schicht-Missbrauch gegen teure Endpunkte fügt das Caching und die Challenge-Pages eines CDNs ein nützliches L7-Schild hinzu, und das Verbergen Ihrer Ursprungs-IP dahinter entfernt die direkte Angriffsfläche vollständig. Sie ergänzen sich gut: Scrubbing unten, CDN oben.

Verwandt

Weiter entdecken.

Game-Server-VPSDer angriffsanfälligste Workload im Consumer-Hosting.Rumänien-VPSDie DDoS-tolerante Netzwerkkultur, zu unserem Basispreis.Was ist KVM?Isolation gegen Nachbarn, die stillere Bedrohung.NutzungsrichtlinieAngegriffen werden ist in Ordnung; angreifen ist es nicht.FaktenblattSchutzumfang und Richtlinie, überprüfbar angegeben.

Offshore-VPS in rund einer Minute bereitstellen

No-KYC, Krypto-Zahlung, komplett NVMe. Tarif wählen, mit Monero oder einem anderen großen Coin zahlen — Root in rund 60 Sekunden.

VPS deployen Deploy API
Fenrir auf Wache