DDoS-Schutz für Gameserver 2026: Was real ist und was Marketing

Wer 2026 Gameserver-Hosting einkauft, sieht "DDoS-Schutz inklusive" auf jeder Produktseite. Diese Phrase bedeutet bei verschiedenen Hostern etwa zehn unterschiedliche Dinge. Manche machen echtes Packet-Filtering im Tbps-Bereich; andere setzen einen Cloudflare-Proxy davor und nennen das fertig.

Hier steht, was DDoS-Schutz für Gameserver 2026 wirklich heißt — was solide ist, was Verkaufstexte sind, und was du fragen solltest, bevor du deiner Community traust.

Welche Angriffe Gameserver wirklich treffen

"DDoS" deckt eine breite Palette von Angriffsmustern ab. Was Gameserver 2026 sehen:

1. UDP-Floods (am häufigsten, am leichtesten zu mitigieren). Hunderte Gbps Müll-UDP-Traffic auf den Server-Port. Ziel: Netzwerk-Link sättigen oder Packet-Processing überfordern. Der Edge-Filter eines modernen Providers droppt das, bevor es deine Maschine erreicht. Genau das meinen Headlines wie "100 Gbps Schutz" oder "Tbps-Scrubbing".

2. Amplification-Angriffe (DNS, NTP, memcached). Der Angreifer spooft deine IP zu einem fehlkonfigurierten Server irgendwo im Netz, der mit weit mehr Daten antwortet, als die Anfrage groß war. Du bekommst die verstärkte Antwort. Gleiche Mitigation wie reine UDP-Floods am Edge.

3. TCP-SYN-Floods. Weniger relevant für die meisten Gameserver (UDP), aber wichtig für Panel- und Web-Ports. Edge-Mitigation mit SYN-Cookies.

4. Application-Layer-Angriffe ("L7"). Angreifer schickt valide aussehenden Game-Protokoll-Traffic, der CPU kostet. Beispiel: tausende Fake-"Join Server"-Pakete pro Sekunde, damit dein Minecraft-Server CPU auf Auth-Handshakes verbrät. Das ist SCHWERER zu mitigieren als volumetrisch — sieht auf Netzwerk-Ebene wie echte User aus. Du brauchst Game-Aware-Filter.

5. Gezielte UDP-Reflection auf deinen Spielport. Häufig bei Rust und FiveM. Angreifer kennt den Game-Port und schickt präparierte UDP-Pakete, die den Server-Parser in teure Arbeit zwingen. Game-Aware-Mitigation nötig.

6. Login-Spam / RCON-Angriffe. Brute-Force aufs Panel oder den RCON-Port. Mitigation per Rate-Limit + IP-Reputation, nicht "DDoS-Schutz" im engeren Sinn.

Ein "echter" DDoS-geschützter Hoster bewältigt 1–4. Die guten bewältigen 5 und 6 dazu. Cloudflare-vor-Minecraft bewältigt 1–3 und lügt bei 4–5.

Was "Tbps-Schutz" wirklich heißt

Hoster werben mit "10 Tbps Schutz" oder "1 Tbps Schutz". Die Zahl bezieht sich auf die Gesamt-Scrubbing-Kapazität des Upstream-Providers (OVH, NTT, Path, Voxility, Hetzner mit Path) — nicht auf das, was für dich reserviert ist.

Wenn 10 Tbps Angriffstraffic gleichzeitig das Upstream-Netzwerk treffen, wird der Schutz geteilt. Dein einzelner Server kann typischerweise Angriffe bis ein paar hundert Gbps absorbieren, bevor der Upstream dein Prefix rate-limited.

Praxis-Faustregel:

• 100+ Gbps publizierte Kapazität: okay für die meisten Gameserver-Angriffe.
• 1+ Tbps publizierte Kapazität: komfortabel; das ist 2026er "Profi-Tier".
• Keine publizierte Kapazität / Cloudflare-only / "DDoS-Schutz by default": frag, was der echte Upstream ist.

Wie DDoS-Schutz auf Hosting-Ebene funktioniert

Mitigation-Flow bei einem echten Provider:

1. Edge-Filter beim Upstream: Pakete laufen durch ein Scrubbing-Center, das offensichtlichen Angriffstraffic dropt (volumetrisch, Amplification, SYN-Floods).
2. Rate-Limit am Netzwerk-Edge: Per-IP- und Per-Port-Packet-Rate-Caps droppen verdächtige Spikes.
3. Game-Aware-Filter beim Hoster: Firewall-Regeln auf bekannte Game-Protokolle getunt. Dropt malformed UDP, das nicht zur Protokoll-Form des erwarteten Games passt.
4. Application-Level-Rate-Limit: Der Server selbst rate-limited Dinge wie "Join-Versuche pro IP pro Minute".

Jeder Hoster auf Hetzner, OVH, Path oder NTT bekommt Schritte 1–2 praktisch geschenkt — diese Upstream-Netze haben Edge-Scrubbing eingebaut. Genau deshalb ist "DDoS-protected" so verbreitet: die meisten Hoster erben es vom Upstream.

Was gute von schlechten Hostern unterscheidet:

• Schritt 3 (Game-Aware-Filter): der Hoster hat die Firewall speziell für Minecraft / Rust / FiveM getunt. Die meisten haben das nicht.
• Schritt 4 (Application-Level): der Hoster fährt Rate-Limiter vor dem Game-Prozess. Die meisten nicht.
• Reaktionszeit beim Angriff: wie schnell ist "DDoS erkannt" → "Mitigation an" → "Angriff gestoppt"?

Cloudflare für Minecraft / Rust: tu's nicht

Du wirst Guides finden, die dir empfehlen, Cloudflare vor deinen Minecraft-Server zu schalten via TCP-SNI oder Spectrum. Konkrete Gründe dagegen:

• Free Cloudflare proxied Game-Traffic nicht. Ihr TLS-Proxy ist für HTTP / HTTPS / spezielles TCP. Minecraft nutzt rohes TCP und ein Custom-Protokoll; Cloudflare-Free deckt das nicht.
• Cloudflare Spectrum (paid) deckt es, aber addiert Latenz. Du routest Traffic durch Cloudflares nächsten Edge zum Spieler, dann zu Cloudflares nächstem Edge zu deinem Server, dann zum Server. Zwei extra Hops pro Paket.
• Spectrum-Preise sind per-GB, was bei aktiven Servern schnell teuer wird.
• Es versteckt Connection-Probleme vor dir. Wenn etwas schiefgeht, debuggst du zwei Netzwerk-Layer statt einem.

Für Minecraft / Rust / Palworld / die meisten Gameserver ist die richtige Antwort "lass den Upstream des Hosters das machen" — nicht "Cloudflare davor".

Fragen, die du dem Hoster stellen solltest

Bevor du DDoS-Schutz-Claims vertraust, frag:

1. Wer ist der Upstream? Hetzner, OVH, Path, NTT, Voxility = real. "Unser privates Netzwerk" ohne Specifics = vermutlich nicht real.
2. Wie ist die publizierte Scrubbing-Kapazität? Sollte 2026 für Game-Hosting im 100-Gbps-Bereich+ liegen.
3. Wie ist die SLA für Reaktionszeit? "Always-on, automatisch" ist die richtige Antwort. "Wir schalten ihn ein, wenn du fragst" heißt: du bist beim ersten Angriff 30+ Min down.
4. Gibt es Per-Game-Filter (Minecraft / Rust / FiveM)? Unterscheidet okay von echt.
5. Was passiert, wenn der Angriff die Kapazität übersteigt? "Wir null-routen deine IP für 24h" ist schlecht aber häufig (stoppt den Angriff, killt aber den Server). "Wir migrieren dich auf eine andere IP" ist besser. "Wir absorbieren ihn" braucht Tbps-Kapazität.

Was wir bei Renzom nutzen

• Hetzner Falkenstein Upstream — Multi-Tbps-Scrubbing-Kapazität am Netzwerk-Edge
• Game-Aware-Firewall-Regeln pre-tuned für Minecraft / Rust / Palworld / FiveM / Discord
• Application-Level-Rate-Limiting auf Join-Versuche, RCON, Panel-Logins
• Always-on (kein "Mitigation requesten")
• Im Basispreis jedes Servers enthalten, kein DDoS-Upsell-Tier
• Falls wir null-routen müssen, migrieren wir innerhalb von Minuten auf eine frische IP (nicht 24h)

Wir behaupten kein "10 Tbps" — wir erben einfach Hetzners publizierte Kapazität (2,7+ Tbps Stand 2026), tunen game-spezifische Filter obendrauf und verlangen keinen Aufpreis.

Wenn DDoS-Schutz nicht reicht

Ein paar seltene Fälle brauchen mehr als Hosting-Provider bieten:

• Politisch/sozial kontroverse Communities, die wochenlang Angriffe auf sich ziehen. Brauchen einen spezialisierten Anti-DDoS-Provider (Path, Magic Transit etc.) vor dem Hosting.
• Multi-100-Gbps-gezielte Angriffe (selten, außer du hast persönlich einen Botnet-Betreiber verärgert). Bei dieser Skala können einzelne Hosting-Pläne den Angriff nicht absorbieren — du brauchst dediziertes Scrubbing.
• L7-(Game-Aware-)Angriffe, die wie normale Spieler aussehen. Brauchen Custom-Server-side-Mitigation (Rate-Limits, IP-Reputation, Captcha-Auth) — dein Hoster kann helfen, du brauchst aber oft auch Plugins / Mods.

Für 99 % der Gameserver reicht "Hoster mit ordentlichem Upstream und Game-Aware-Filtering". Das andere 1 % weiß, dass es das 1 % ist.

Häufige DDoS-Mythen

"Du brauchst eine Dedicated IP für DDoS-Schutz." Nein. Shared IPs werden gleich geschützt. (Siehe unseren Beitrag zu Dedicated IPs für die Fälle, in denen du wirklich eine brauchst.)

"Cloudflare ist der Gold-Standard für Game-DDoS." Cloudflare ist exzellent für HTTP. Für Game-Protokolle sind Hosting-Provider mit ordentlichem Upstream-Scrubbing gleichwertig oder besser.

"Der Angreifer kann meinen Server nicht erreichen, wenn ich ein CDN nutze." Stimmt für HTTP. Stimmt meistens nicht für Game-Protokolle, weil das CDN die echten Pakete zur Origin weiterleiten muss.

"Mein Hoster sagt, er hat DDoS-Schutz, also bin ich sicher." Vielleicht. Frag konkret nach — die Antwort ist aufschlussreich.

"Ich kann DDoS-Schutz selbst mit iptables machen." Du kannst Basic-Rate-Limiting selbst machen, was bei kleinen Angriffen hilft. Volumetrische Angriffe (häufigster Typ) sättigen deinen Netzwerk-Link, bevor sie iptables erreichen.

Nächste Schritte

• Vergleich im Konfigurator — DDoS-Schutz ist auf jedem Tier dabei
• Lies warum Dedicated IPs für DDoS-Schutz nicht nötig sind
• Für Rust-spezifische DDoS-/Wipe-Day-Themen: unser Rust-Hosting-Beitrag

Echter DDoS-Schutz 2026 hängt vor allem davon ab, in welchem Upstream-Netzwerk dein Hoster sitzt. Stell die Frage, bekomm die Antwort, und du weißt, ob "DDoS-protected" auf der Produktseite irgendwas bedeutet.