Viele Internet-exponierte Infrastrukturen — SaaS-Plattformen, Echtzeitdienste, Hosting-Umgebungen, Gaming-Stacks oder APIs — werden heute regelmäßig mit größeren und komplexeren DDoS-Angriffen konfrontiert.
In einem klassischen Konnektivitätsmodell können solche Angriffe Leitungen schnell sättigen, den Dienst unterbrechen, Transitkosten bei 95th-Percentile- oder Traffic-Abrechnung aufblasen oder Blackholing der angegriffenen IP erzwingen, was legitime Nutzer direkt trifft.
Genau deshalb ist geschützter IP-Transit anti-DDoS wichtig: Statt bösartigen Traffic bis an den Produktionsrand zu lassen, wird der Traffic zuerst durch eine Mitigationsschicht geführt, die den Angriff filtert und nur sauberen Traffic zurückliefert.
Die Grenzen des klassischen Modells unter DDoS
Bevor man über geschützten Transit spricht, muss man verstehen, warum das klassische Modell nicht mehr funktioniert, sobald ein Dienst ernsthafte oder wiederholte Angriffe anzieht.
In einer Standardumgebung kommt bösartiger Traffic der Produktion zu nahe, bevor wirklich entschlossen gefiltert wird. Dort beginnen Sättigung, Rechnungsspitzen und übermäßig zerstörerische Notfallreaktionen.
Netzwerksättigung
Ein volumetrischer Angriff kann 100 Gbps oder sogar mehrere Tbps überschreiten. Ein 10G-, 25G- oder 100G-Port kann voll sein, bevor der Dienst reagieren kann.
Kostenanstieg
Wenn Konnektivität nach 95th Percentile oder Traffic berechnet wird, können schon wenige Stunden unerwünschten Traffics die Monatsrechnung deutlich verzerren.
Blackholing der IP
In vielen Umgebungen wird die Notfallreaktion zum Blackhole der angegriffenen IP. Das restliche Netz bleibt vielleicht online, der betroffene Kunde aber nicht.
Zu generische Profile
Standard-Schutz basiert oft auf vordefinierten Mitigationsprofilen. Das funktioniert bei typischen Mustern, ist aber unflexibler bei atypischem Traffic und anfälliger für Kollateralschäden.
Was ist geschützter IP-Transit anti-DDoS?
Geschützter IP-Transit anti-DDoS bedeutet, dass der für Ihre IP-Präfixe bestimmte Traffic durch eine Mitigationsinfrastruktur läuft, die Angriffe upstream filtert und nur legitimen Traffic an Ihre Infrastruktur zurückliefert.
Im Gegensatz zu geschlossenen Schutzmodellen oder starren statischen Profilen behält dieses Design die Kontrolle über Netzarchitektur, Übergabemodelle und die Art, wie Traffic an den Kunden zurückgegeben wird.
- Traffic durch eine Mitigationsinfrastruktur führen
- Angriffe upstream filtern
- nur legitimen Traffic an die finale Infrastruktur liefern
- Flexibilität bei BGP, Tunneln und Übergabemodellen behalten
Wie geschützter Transit praktisch funktioniert
Der Kunde kündigt seine IP-Präfixe über BGP an. Danach sind mehrere Modelle möglich: dauerhafter Einsatz, Aktivierung nur im Angriff — weniger ideal wegen BGP-Konvergenz — oder symmetrisches bzw. asymmetrisches Routing je nach Betriebsmodell.
Bei Peeryx ist asymmetrisches Routing kein schlechterer Modus. Ein Kunde kann Ingress über Peeryx fahren und den Outbound-Traffic lokal über einen anderen Transitprovider halten, wenn das Latenz oder Kosten verbessert. Das verschlechtert die Mitigationsqualität nicht.
Sobald der Traffic die Mitigations-Fabric erreicht, geht es nicht um blindes Rate-Limiting. Es geht darum, legitimen Traffic zu verstehen, den Angriff zu erkennen, die richtige Filterlogik zu erzeugen und sauberen Traffic mit Leitungsgeschwindigkeit zurückzugeben.
1. BGP-Integration
Der Kunde kündigt Präfixe an und wählt einen permanenten oder angriffsgesteuerten Betriebsmodus.
2. Traffic-Analyse
Legitimer Traffic wird kontinuierlich beobachtet, damit beim Angriff eine nutzbare Baseline existiert.
3. Regelgenerierung
Sobald ein Angriff erkannt wird, werden benutzerdefinierte Filter aus Signaturen und realem Serviceverhalten erzeugt.
4. Saubere Übergabe
Gefilterter Traffic wird per Cross-Connect, GRE, IPIP, VXLAN oder Router-VM zurückgegeben.
Automatische adaptive Mitigation
Viele Lösungen am Markt verlassen sich vor allem auf vordefinierte Mitigationsprofile. Das kann bei sehr standardisierten Use Cases funktionieren, besonders bei klassischem Gaming-Traffic, wird aber schnell limitierend, wenn legitimer Traffic vom erwarteten Muster abweicht.
Peeryx erzwingt standardmäßig keine restriktiven Anwendungsfilter. Optionale vordefinierte Policies können aktiviert werden — etwa für FiveM, Minecraft, Rust, Garry’s Mod, Hytale, SSH, WireGuard oder OpenVPN — aber das Grundverhalten der Plattform bleibt adaptiv.
Das System analysiert legitimen Traffic kontinuierlich außerhalb von Mitigationsfenstern, um Nutzung, normale Flüsse und servicespezifische Merkmale zu verstehen. Wird ein Angriff erkannt, korreliert es Signaturen und Muster mit dieser Baseline und erzeugt in unter 20 ms maßgeschneiderte Regeln, um den Angriff zu stoppen, ohne legitimen Traffic zu blockieren.
Übergabe von sauberem Traffic
Sauberer Traffic kann mit oder ohne BGP-Ankündigung auf der Übergabeseite geliefert werden. Ziel ist es, sich an die Architektur des Kunden anzupassen statt ein einziges Interconnect-Modell zu erzwingen.
GRE / IPIP-Tunnel
Einfach und schnell zu deployen, wenn bestehende Infrastruktur ohne große Migration geschützt werden soll.
VXLAN
Flexibler für fortgeschrittene Architekturen oder Umgebungen mit Bedarf an reichhaltigerer Kapselung.
Cross-Connect
Niedrigstmögliche Latenz und maximale Performance für Kunden im gleichen Datacenter-Umfeld.
Router-VM
Volle Kontrolle für Kunden, die eigene Tunnel und Übergabelogik selbst aufbauen und verwalten wollen.
Konkrete Anwendungsfälle
Bestehenden Server schützen
Eine Schutzschicht für OVH-, Hetzner- oder ähnliche Dedicated Server ergänzen, ohne die gesamte Infrastruktur zu verlagern.
Eigene Filterlogik hosten
Einen Dedicated Server mit XDP oder anderer Logik nutzen, um das Filtering nach dem Upstream-Relief abzuschließen.
Gaming-Workloads
FiveM, Minecraft und andere latenzsensitive Dienste brauchen eine schnelle, saubere und möglichst wenig intrusive Mitigation.
SaaS, APIs und kritische Dienste
Nicht standardisierte Anwendungen und atypische Flüsse profitieren stark von einer Mitigation, die um reales Traffic-Verhalten gebaut ist.
Warum dieser Ansatz weiter geht
Dieser Ansatz bedeutet nicht nur „viel Gbps halten“. Er bedeutet, den geschützten Dienst zu verstehen, seine Anwendungslogik zu erhalten und auch mit PPS-Druck umgehen zu können. Manche Lösungen werben mit großen Bandbreiten, sind aber weniger komfortabel, wenn der eigentliche Druck vor allem auf der Paket-Rate liegt.
Wichtig ist auch, was während der Mitigation gerade nicht passiert: Es gibt kein generisches Protokoll-Rate-Limiting auf TCP, UDP, GRE oder andere Protokolle. Mitigation sollte legitime Transfers nicht verlangsamen oder Performance künstlich begrenzen, nur weil Schutz aktiv ist.
Für wirklich extreme Floods, insbesondere einige volumetrische Amplification-Szenarien, kann BGP FlowSpec automatisch und intelligent verwendet werden, aber nur bei echtem Bedarf, für leichte Upstream-Entlastung und nur kurzzeitig. Es geht nicht darum, übermäßig strikt zu werden. Es geht darum, genug Volumen oben abzuschneiden, ohne legitimen Traffic zu opfern.
- keine starren Regeln standardmäßig
- kein generisches Blocken ohne Serviceverständnis
- kontinuierliche Sicht auf legitimen Traffic
- für Gbps- und Mpps-Realitäten ausgelegt
- selektiver Einsatz von BGP FlowSpec nur wenn wirklich nötig
Häufige Fehler vermeiden
Ein gutes Anti-DDoS-Design muss Link, Rechnung, Nutzererlebnis und Geschäftslogik des Dienstes schützen. Wenn es nur eine dieser Ebenen schützt, bleibt es unvollständig.
- Nur auf Gbps zu schauen, obwohl PPS oft der eigentliche limitierende Faktor ist.
- Ein generisches Schutzmodell für Traffic zu wählen, der nicht in Standardmuster passt.
- Routing-Design zu ignorieren, obwohl symmetrische und asymmetrische Modelle sehr unterschiedliche Latenz- und Kostenfolgen haben können.
- Zu glauben, geschützter Transit ersetze jede ergänzende Schicht, obwohl ein mehrschichtiges Design oft operativ am saubersten bleibt.
FAQ
Kann ich meine aktuelle Infrastruktur behalten?
Ja. Sauberer Traffic kann per Tunnel oder per BGP-Design zurückgegeben werden, das zu Ihrer vorhandenen Infrastruktur passt.
Beeinträchtigt Mitigation die Performance?
Nein. Während der Mitigation wird kein generisches Protokoll-Rate-Limiting angewendet.
Wird legitimer Traffic blockiert?
Genau das soll die Plattform vermeiden, indem Filter aus dem realen Service-Traffic und den während des Angriffs beobachteten Mustern erzeugt werden.
Ist das für sehr große Angriffe geeignet?
Ja. Und für Extremfälle kann BGP FlowSpec kurz und selektiv genutzt werden, um Volumen zu reduzieren, ohne legitimen Traffic zu beschädigen.
Fazit
Geschützter IP-Transit anti-DDoS ist heute ein zentraler Baustein für exponierte Infrastrukturen, die Sättigung, unnötiges Blackholing und übermäßig zerstörerische Standardreaktionen vermeiden wollen.
Er erlaubt die Absorption großer Angriffe, schützt Dienste ohne vollständige Migration, erhält echte Routing-Kontrolle und passt die Mitigation pro Workload an, statt starre Profile aufzuzwingen.
Moderne Lösungen sollten nicht nur Kapazitätszahlen kommunizieren. Sie sollten legitimen Traffic verstehen und sich dynamisch an das reale Verhalten des geschützten Dienstes anpassen können.
Brauchen Sie ein Design für Ihren realen Traffic?
Peeryx bietet geschützten IP-Transit anti-DDoS, symmetrisches oder asymmetrisches Routing, adaptive Mitigation auf Basis legitimen Traffics, Übergabe per GRE, IPIP, VXLAN oder Cross-Connect sowie eine Architektur, die schützt, ohne den Dienst zu beschädigen.