Dein Minecraft Server läuft auf Hetzner oder Netcup. Alles super – bis jemand einen DDoS-Angriff startet. Plötzlich können sich keine Spieler mehr verbinden.
Das Problem: Die meisten VPS-Anbieter haben DDoS-Schutz für Webseiten, nicht für Gaming. Minecraft nutzt ein eigenes Protokoll auf Port 25565 – das wird oft nicht gefiltert.
In diesem Guide zeige ich dir, wie du deinen Server mit TCPShield (kostenlos) oder NeoProtect schützt – ohne den Hoster zu wechseln.
Noch keinen VPS? Mit unserem Minecraft Server Rechner findest du den passenden.
Was ist ein DDoS-Angriff?
DDoS steht für Distributed Denial of Service – auf Deutsch: verteilte Dienstverweigerung. Bei einem DDoS-Angriff wird dein Server mit so vielen Anfragen überflutet, dass er legitime Spieler nicht mehr bedienen kann.
Das Prinzip ist einfach: Stell dir vor, 10.000 Leute rufen gleichzeitig bei einer Pizzeria an. Die Telefonleitung ist blockiert, echte Kunden kommen nicht durch. Genau das passiert bei einem DDoS-Angriff – nur mit Datenpaketen statt Anrufen.
Warum "Distributed"? Der Angriff kommt nicht von einem einzelnen Computer, sondern von hunderten oder tausenden gleichzeitig. Diese "Botnetze" bestehen oft aus gehackten PCs und IoT-Geräten. Das macht es schwer, den Angriff zu blockieren – du kannst nicht einfach eine IP sperren.
Typische Auswirkungen:
- Server reagiert nicht mehr oder extrem langsam
- Spieler werden gekickt oder können nicht joinen
- Im schlimmsten Fall: Server crasht komplett
- Bei schwachem Schutz: Dein gesamter VPS ist offline
Wichtig: Ein DDoS-Angriff ist illegal (§ 303b StGB – Computersabotage). Trotzdem passiert es regelmäßig, weil "Booter"-Dienste für wenige Euro verfügbar sind und die Täter selten ermittelt werden.
Warum der Standard-DDoS-Schutz nicht reicht
Hetzner, Netcup und Contabo haben alle DDoS-Schutz. Aber der ist für Web-Traffic optimiert – HTTP/HTTPS auf Port 80/443. Minecraft läuft anders.
| Web-DDoS-Schutz | Gaming-DDoS-Schutz | |
|---|---|---|
| Protokoll | HTTP/HTTPS | TCP/UDP (custom) |
| Ports | 80, 443 | 25565, 19132, etc. |
| Traffic-Muster | Request-Response | Kontinuierlicher Stream |
| Angriffs-Typen | HTTP Floods, Slowloris | UDP Floods, Nullping, Query Floods |
| Bei Hetzner/Netcup | Gut geschützt | Basis-Schutz |
Typische Angriffe auf Minecraft-Server
UDP Flood: Massenhaft UDP-Pakete überlasten die Netzwerkkarte. Der Server wird unerreichbar. Vom Standard-Schutz teilweise gefiltert.
Nullping / Packet Crasher: Speziell für Minecraft entwickelte Exploits, die den Server zum Absturz bringen. Nicht gefiltert.
Query Flood: Tausende Server-Status-Anfragen pro Sekunde. Überlastet die CPU. Nicht gefiltert.
Fake Handshake: Simulierte Spieler-Verbindungen, die nie abgeschlossen werden. Füllt die Connection-Slots. Nicht gefiltert.
Das ist keine Kritik an Hetzner oder Netcup – sie sind für Webhosting optimiert. Für öffentliche Minecraft-Server brauchst du zusätzlichen Schutz. Wenn du Hetzner nutzt, findest du Details in unseren Hetzner Erfahrungen 2026.
Brauche ich überhaupt DDoS-Schutz?
Nicht jeder Server braucht extra Schutz. Hier eine ehrliche Einschätzung:
| Szenario | Spieler | Risiko | Empfehlung |
|---|---|---|---|
| Privater Server für Freunde | 5-10 | Niedrig | Wahrscheinlich nicht nötig. Die IP ist nicht öffentlich. |
| Whitelist-Server, nicht gelistet | 10-30 | Niedrig | Solange die IP nicht bekannt ist, geringes Risiko. |
| Öffentlicher Server, auf Serverlisten | 20+ | Mittel bis Hoch | DDoS-Schutz empfohlen. Du bist ein sichtbares Ziel. |
| Großes Netzwerk, YouTube/Twitch Präsenz | 100+ | Hoch | DDoS-Schutz ist Pflicht. Du wirst angegriffen werden. |
| Server mit Wettbewerb/Drama | Beliebig | Hoch | Konkurrierende Server oder Ex-Spieler können Angreifer sein. |
Gut zu wissen: Die meisten Angriffe kommen nicht von Hackern, sondern von gelangweilten Teenagern mit "Booter"-Diensten für 10€/Monat.
Lösung 1: TCPShield (kostenlos starten)
TCPShield ist der bekannteste DDoS-Schutz für Minecraft. Er funktioniert als Reverse Proxy: Spieler verbinden sich mit TCPShield, TCPShield filtert und leitet an deinen Server weiter.
So funktioniert es
Spieler → TCPShield (Filter) → Dein VPS
- Spieler verbindet sich mit play.deinedomain.de
- DNS zeigt auf TCPShield (CNAME Record)
- TCPShield empfängt den Traffic
- Bösartige Pakete werden gefiltert
- Legitimer Traffic wird an deine echte Server-IP weitergeleitet
- Deine echte IP bleibt versteckt
Preise
| Plan | Preis | Features |
|---|---|---|
| Free | 0€ | 1 Backend-Server, 3 Domains, Basis-DDoS-Schutz, Shared IPs |
| Pro | ~20$/Monat | Unlimited Backends, Dedicated IP, Erweiterte Filterung, Prioritäts-Support |
Vorteile
- Kostenloser Plan für Einsteiger
- Einfache Einrichtung (5 Minuten)
- Bewährt seit 2015
- Über 50.000 Server nutzen TCPShield
Nachteile
- Latenz +5-15ms (Traffic geht Umweg)
- Kostenloser Plan hat geteilte IPs
- Für BungeeCord/Velocity: Extra Konfiguration nötig
TCPShield einrichten: Schritt für Schritt
1. Account erstellen
Gehe zu tcpshield.com und registriere dich.
2. Network erstellen
Dashboard → Add Network
Name: z.B. "Mein MC Server"
3. Domain hinzufügen
Network Settings → Domains → Add Domain
Beispiel: play.deinedomain.de
4. Backend-Server hinzufügen
Backends → Add Backend
| Feld | Wert |
|---|---|
| IP Address | Deine VPS-IP (z.B. 116.203.xxx.xxx) |
| Port | 25565 |
5. DNS konfigurieren
Bei deinem DNS-Provider (Cloudflare, Namecheap, etc.):
| Typ | Name | Wert |
|---|---|---|
| CNAME | play | Wird von TCPShield angezeigt (z.B. abc123.tcpshield.com) |
Wichtig: Kein A-Record! Muss CNAME sein.
6. Firewall konfigurieren (WICHTIG!)
Damit nur TCPShield auf deinen Server zugreifen kann:
# Alle Minecraft-Verbindungen blockieren außer von TCPShield
sudo ufw deny 25565/tcp
# TCPShield IPs erlauben (aktuelle Liste auf tcpshield.com/ips)
sudo ufw allow from 104.21.0.0/16 to any port 25565
sudo ufw allow from 172.67.0.0/16 to any port 25565
# ... weitere IPs von der TCPShield-Liste
Ohne diesen Schritt kann ein Angreifer, der deine echte IP kennt, TCPShield umgehen!
7. Testen
Verbinde dich mit play.deinedomain.de statt der direkten IP. Im Server-Log siehst du jetzt TCPShield-IPs statt Spieler-IPs.
Extra: TCPShield mit Velocity/BungeeCord
Wenn du einen Proxy nutzt, musst du das TCPShield-Plugin installieren:
- Lade das TCPShield Plugin herunter (tcpshield.com/downloads)
- Kopiere es in den plugins-Ordner deines Proxys
- Proxy neu starten
- Das Plugin stellt die echten Spieler-IPs wieder her
Lösung 2: NeoProtect (Premium)
NeoProtect ist eine deutsche Alternative mit Fokus auf Performance und Stabilität. Besonders interessant: Server-Standort Frankfurt für minimale Latenz.
Features
- Standorte: Frankfurt, Amsterdam, London, Paris, und mehr
- 0ms Time-to-Mitigation (Always-On Filter)
- Anpassbare Filterregeln
- Webhooks für Angriffs-Benachrichtigungen
- Eigenes Panel mit Statistiken
Preise
| Plan | Preis | Features |
|---|---|---|
| Starter | ~10€/Monat | 1 Backend, 50 Mbit/s Clean Traffic, Basic Support |
| Pro | ~25€/Monat | 3 Backends, 100 Mbit/s, Priority Support, Custom Rules |
Wann NeoProtect wählen?
- Du brauchst niedrigste Latenz (Frankfurt-Standort)
- Du willst deutschsprachigen Support
- Der kostenlose TCPShield-Plan reicht nicht mehr
- Du betreibst ein größeres Netzwerk
Weitere Alternativen
Cloudflare Spectrum
Enterprise-Lösung von Cloudflare. Schützt beliebige TCP/UDP-Ports.
- Preis: Ab ~20$/Monat + Traffic-Kosten
- Vorteile: Cloudflare-Infrastruktur, sehr zuverlässig
- Nachteile: Teuer, Traffic wird berechnet, Overkill für kleine Server
- Für wen: Große Netzwerke mit Budget
OVH Game DDoS
OVH hat spezialisierten Gaming-DDoS-Schutz eingebaut.
- Preis: Im Server-Preis enthalten
- Vorteile: Kein extra Setup, speziell für Minecraft optimiert
- Nachteile: Nur wenn du zu OVH wechselst, OVH teurer als Hetzner
- Für wen: Wer sowieso einen neuen Server braucht
Shockbyte (großer Minecraft-Hoster) nutzt OVH genau deswegen.
Cosmic Guard / Papyrus
Neuere Anbieter mit Fokus auf Minecraft.
- Preis: Variiert
- Vorteile: Oft günstigere Preise als TCPShield Pro
- Nachteile: Weniger bekannt, kleinere Infrastruktur
- Für wen: Wer Alternativen testen will
Bonus: Echte Server-IP verstecken
DDoS-Schutz bringt nichts, wenn der Angreifer deine echte IP kennt. So versteckst du sie:
Niemals die echte IP teilen: Nutze immer die geschützte Domain (play.deinedomain.de).
DNS History löschen: Wenn die IP mal in DNS war, können Tools wie SecurityTrails sie finden. Neue IP bei Hetzner: Server löschen, neu erstellen.
Keine Services auf derselben IP: Kein Webserver, kein Pterodactyl Panel auf der Gameserver-IP. Nutze separate IPs oder Server.
Server-Liste Eintrag prüfen: Manche Serverlisten zeigen die IP. Nutze nur solche, die die Domain anzeigen.
Spieler-Reports checken: Verärgerte Spieler teilen manchmal die IP in Discord. Behalte das im Auge.
Achtung: Wenn die IP einmal bekannt ist, hilft oft nur ein Server-Umzug auf eine neue IP.
Welchen Schutz solltest du wählen?
| Situation | Empfehlung | Grund |
|---|---|---|
| Kleiner Server, knappes Budget | TCPShield Free | Kostenlos, reicht für die meisten Angriffe |
| Mittlerer Server, niedrige Latenz wichtig | NeoProtect Starter | Frankfurt-Standort, professioneller Support |
| Großes Netzwerk, Budget vorhanden | TCPShield Pro oder NeoProtect Pro | Dedicated IPs, erweiterte Features |
| Maximale Sicherheit, Enterprise | Cloudflare Spectrum oder OVH wechseln | Infrastruktur von Weltklasse-Anbietern |
Häufig gestellte Fragen
Weiterführende Minecraft Guides
Server geschützt, aber noch keinen VPS?
Vergleiche deutsche VPS-Anbieter und finde den passenden für deinen Minecraft Server.
VPS vergleichen