PEERYX Network
EN — English FR — Français ES — Español DE — Deutsch NL — Nederlands
Angebot anfordern
Geschützter IP-Transit Reverse Proxy Game Infrastruktur Blog Kontakt Angebot anfordern
← Zurück zum Blog
Hauptartikel Veröffentlicht am 16. April 2026 Lesezeit: 8 Min.

Geschützter IP-Transit gegen DDoS: Mitigation zum Erhalt legitimen Traffics

Ein praxisnaher Leitfaden zu Link-Sättigung, 95th-Percentile-Risiko, Blackholing, asymmetrischem Routing, adaptiver Filterung sowie zur Bedeutung von Gbps und Mpps.

Peeryx-Architektur

Geschützter Transit

Adaptive Mitigation und saubere Zustellung

Client edge BGP / Handoff
Mitigation Adaptives Filtering
Transit out Lokaler Egress
Clean delivery GRE · IPIP · VXLAN
Sättigung vermeiden

Ein Angriff kann den Port füllen, lange bevor die Anwendung reagieren kann.

Abrechnungsrisiko senken

Bösartige Peaks können 95th-Percentile- oder Traffic-basierte Rechnungen verzerren.

Latenz erhalten

Asymmetrisches Routing erlaubt Ingress über Peeryx und lokalen Egress, wenn das sinnvoll ist.

Blockieren ohne zu beschädigen

Es geht nicht nur um schnelles Filtern, sondern darum, legitimen Traffic unter Angriff am Leben zu halten.

Viele Internet-exponierte Infrastrukturen — SaaS-Plattformen, Echtzeitdienste, Hosting-Umgebungen, Gaming-Stacks oder APIs — werden heute regelmäßig mit größeren und komplexeren DDoS-Angriffen konfrontiert.

In einem klassischen Konnektivitätsmodell können solche Angriffe Leitungen schnell sättigen, den Dienst unterbrechen, Transitkosten bei 95th-Percentile- oder Traffic-Abrechnung aufblasen oder Blackholing der angegriffenen IP erzwingen, was legitime Nutzer direkt trifft.

Genau deshalb ist geschützter IP-Transit anti-DDoS wichtig: Statt bösartigen Traffic bis an den Produktionsrand zu lassen, wird der Traffic zuerst durch eine Mitigationsschicht geführt, die den Angriff filtert und nur sauberen Traffic zurückliefert.

Die Grenzen des klassischen Modells unter DDoS

Bevor man über geschützten Transit spricht, muss man verstehen, warum das klassische Modell nicht mehr funktioniert, sobald ein Dienst ernsthafte oder wiederholte Angriffe anzieht.

In einer Standardumgebung kommt bösartiger Traffic der Produktion zu nahe, bevor wirklich entschlossen gefiltert wird. Dort beginnen Sättigung, Rechnungsspitzen und übermäßig zerstörerische Notfallreaktionen.

Netzwerksättigung

Ein volumetrischer Angriff kann 100 Gbps oder sogar mehrere Tbps überschreiten. Ein 10G-, 25G- oder 100G-Port kann voll sein, bevor der Dienst reagieren kann.

Kostenanstieg

Wenn Konnektivität nach 95th Percentile oder Traffic berechnet wird, können schon wenige Stunden unerwünschten Traffics die Monatsrechnung deutlich verzerren.

Blackholing der IP

In vielen Umgebungen wird die Notfallreaktion zum Blackhole der angegriffenen IP. Das restliche Netz bleibt vielleicht online, der betroffene Kunde aber nicht.

Zu generische Profile

Standard-Schutz basiert oft auf vordefinierten Mitigationsprofilen. Das funktioniert bei typischen Mustern, ist aber unflexibler bei atypischem Traffic und anfälliger für Kollateralschäden.

Link saturation

10G, 25G or 100G edges can be exhausted before the application reacts.

Billing exposure

95th percentile or traffic billing can surge under attack.

IP blackholing

Emergency mitigation may mean dropping the attacked IP entirely.

Wenn bösartiger Traffic der Produktion zu nahe kommt, ist das Risiko nicht nur technisch, sondern auch operativ und finanziell.

Was ist geschützter IP-Transit anti-DDoS?

Geschützter IP-Transit anti-DDoS bedeutet, dass der für Ihre IP-Präfixe bestimmte Traffic durch eine Mitigationsinfrastruktur läuft, die Angriffe upstream filtert und nur legitimen Traffic an Ihre Infrastruktur zurückliefert.

Im Gegensatz zu geschlossenen Schutzmodellen oder starren statischen Profilen behält dieses Design die Kontrolle über Netzarchitektur, Übergabemodelle und die Art, wie Traffic an den Kunden zurückgegeben wird.

  • Traffic durch eine Mitigationsinfrastruktur führen
  • Angriffe upstream filtern
  • nur legitimen Traffic an die finale Infrastruktur liefern
  • Flexibilität bei BGP, Tunneln und Übergabemodellen behalten

Wie geschützter Transit praktisch funktioniert

Der Kunde kündigt seine IP-Präfixe über BGP an. Danach sind mehrere Modelle möglich: dauerhafter Einsatz, Aktivierung nur im Angriff — weniger ideal wegen BGP-Konvergenz — oder symmetrisches bzw. asymmetrisches Routing je nach Betriebsmodell.

Bei Peeryx ist asymmetrisches Routing kein schlechterer Modus. Ein Kunde kann Ingress über Peeryx fahren und den Outbound-Traffic lokal über einen anderen Transitprovider halten, wenn das Latenz oder Kosten verbessert. Das verschlechtert die Mitigationsqualität nicht.

Sobald der Traffic die Mitigations-Fabric erreicht, geht es nicht um blindes Rate-Limiting. Es geht darum, legitimen Traffic zu verstehen, den Angriff zu erkennen, die richtige Filterlogik zu erzeugen und sauberen Traffic mit Leitungsgeschwindigkeit zurückzugeben.

1. BGP-Integration

Der Kunde kündigt Präfixe an und wählt einen permanenten oder angriffsgesteuerten Betriebsmodus.

2. Traffic-Analyse

Legitimer Traffic wird kontinuierlich beobachtet, damit beim Angriff eine nutzbare Baseline existiert.

3. Regelgenerierung

Sobald ein Angriff erkannt wird, werden benutzerdefinierte Filter aus Signaturen und realem Serviceverhalten erzeugt.

4. Saubere Übergabe

Gefilterter Traffic wird per Cross-Connect, GRE, IPIP, VXLAN oder Router-VM zurückgegeben.

Peeryx-Mitigation

Legitime Baseline · Regeln < 20 ms

Client edge

BGP-Sessions

Transit out

Lokaler Egress

Saubere Zustellung

Cross-connect · GRE · IPIP · VXLAN

Peeryx kann symmetrisch oder asymmetrisch genutzt werden, mit mehreren Übergabeoptionen für sauberen Traffic.

Automatische adaptive Mitigation

Viele Lösungen am Markt verlassen sich vor allem auf vordefinierte Mitigationsprofile. Das kann bei sehr standardisierten Use Cases funktionieren, besonders bei klassischem Gaming-Traffic, wird aber schnell limitierend, wenn legitimer Traffic vom erwarteten Muster abweicht.

Peeryx erzwingt standardmäßig keine restriktiven Anwendungsfilter. Optionale vordefinierte Policies können aktiviert werden — etwa für FiveM, Minecraft, Rust, Garry’s Mod, Hytale, SSH, WireGuard oder OpenVPN — aber das Grundverhalten der Plattform bleibt adaptiv.

Das System analysiert legitimen Traffic kontinuierlich außerhalb von Mitigationsfenstern, um Nutzung, normale Flüsse und servicespezifische Merkmale zu verstehen. Wird ein Angriff erkannt, korreliert es Signaturen und Muster mit dieser Baseline und erzeugt in unter 20 ms maßgeschneiderte Regeln, um den Angriff zu stoppen, ohne legitimen Traffic zu blockieren.

Statischer Schutz

  • Feste Profile
  • Generische Annahmen
  • Mehr False Positives

Adaptive Mitigation

  • Kontinuierliche Baseline
  • Gezielte Regeln
  • Weniger Kollateralschaden
Der Unterschied liegt nicht nur in Gbps-Zahlen. Entscheidend ist, ob der Angriff gestoppt werden kann, ohne legitimen Traffic zu beschädigen.

Übergabe von sauberem Traffic

Sauberer Traffic kann mit oder ohne BGP-Ankündigung auf der Übergabeseite geliefert werden. Ziel ist es, sich an die Architektur des Kunden anzupassen statt ein einziges Interconnect-Modell zu erzwingen.

GRE / IPIP-Tunnel

Einfach und schnell zu deployen, wenn bestehende Infrastruktur ohne große Migration geschützt werden soll.

VXLAN

Flexibler für fortgeschrittene Architekturen oder Umgebungen mit Bedarf an reichhaltigerer Kapselung.

Cross-Connect

Niedrigstmögliche Latenz und maximale Performance für Kunden im gleichen Datacenter-Umfeld.

Router-VM

Volle Kontrolle für Kunden, die eigene Tunnel und Übergabelogik selbst aufbauen und verwalten wollen.

Konkrete Anwendungsfälle

Bestehenden Server schützen

Eine Schutzschicht für OVH-, Hetzner- oder ähnliche Dedicated Server ergänzen, ohne die gesamte Infrastruktur zu verlagern.

Eigene Filterlogik hosten

Einen Dedicated Server mit XDP oder anderer Logik nutzen, um das Filtering nach dem Upstream-Relief abzuschließen.

Gaming-Workloads

FiveM, Minecraft und andere latenzsensitive Dienste brauchen eine schnelle, saubere und möglichst wenig intrusive Mitigation.

SaaS, APIs und kritische Dienste

Nicht standardisierte Anwendungen und atypische Flüsse profitieren stark von einer Mitigation, die um reales Traffic-Verhalten gebaut ist.

Warum dieser Ansatz weiter geht

Dieser Ansatz bedeutet nicht nur „viel Gbps halten“. Er bedeutet, den geschützten Dienst zu verstehen, seine Anwendungslogik zu erhalten und auch mit PPS-Druck umgehen zu können. Manche Lösungen werben mit großen Bandbreiten, sind aber weniger komfortabel, wenn der eigentliche Druck vor allem auf der Paket-Rate liegt.

Wichtig ist auch, was während der Mitigation gerade nicht passiert: Es gibt kein generisches Protokoll-Rate-Limiting auf TCP, UDP, GRE oder andere Protokolle. Mitigation sollte legitime Transfers nicht verlangsamen oder Performance künstlich begrenzen, nur weil Schutz aktiv ist.

Für wirklich extreme Floods, insbesondere einige volumetrische Amplification-Szenarien, kann BGP FlowSpec automatisch und intelligent verwendet werden, aber nur bei echtem Bedarf, für leichte Upstream-Entlastung und nur kurzzeitig. Es geht nicht darum, übermäßig strikt zu werden. Es geht darum, genug Volumen oben abzuschneiden, ohne legitimen Traffic zu opfern.

  • keine starren Regeln standardmäßig
  • kein generisches Blocken ohne Serviceverständnis
  • kontinuierliche Sicht auf legitimen Traffic
  • für Gbps- und Mpps-Realitäten ausgelegt
  • selektiver Einsatz von BGP FlowSpec nur wenn wirklich nötig

Baseline

Normaler Traffic beobachtet

Erkennung

Patterns korreliert

Regeln

Individuelle Filter erstellt

Upstream-Entlastung

FlowSpec nur bei Bedarf

Baseline-Analyse, Angriffserkennung, Regelgenerierung und selektiver FlowSpec-Einsatz bilden eine kohärente Kette statt eines Stapels statischer Filter.

Häufige Fehler vermeiden

Ein gutes Anti-DDoS-Design muss Link, Rechnung, Nutzererlebnis und Geschäftslogik des Dienstes schützen. Wenn es nur eine dieser Ebenen schützt, bleibt es unvollständig.

  • Nur auf Gbps zu schauen, obwohl PPS oft der eigentliche limitierende Faktor ist.
  • Ein generisches Schutzmodell für Traffic zu wählen, der nicht in Standardmuster passt.
  • Routing-Design zu ignorieren, obwohl symmetrische und asymmetrische Modelle sehr unterschiedliche Latenz- und Kostenfolgen haben können.
  • Zu glauben, geschützter Transit ersetze jede ergänzende Schicht, obwohl ein mehrschichtiges Design oft operativ am saubersten bleibt.

FAQ

Kann ich meine aktuelle Infrastruktur behalten?

Ja. Sauberer Traffic kann per Tunnel oder per BGP-Design zurückgegeben werden, das zu Ihrer vorhandenen Infrastruktur passt.

Beeinträchtigt Mitigation die Performance?

Nein. Während der Mitigation wird kein generisches Protokoll-Rate-Limiting angewendet.

Wird legitimer Traffic blockiert?

Genau das soll die Plattform vermeiden, indem Filter aus dem realen Service-Traffic und den während des Angriffs beobachteten Mustern erzeugt werden.

Ist das für sehr große Angriffe geeignet?

Ja. Und für Extremfälle kann BGP FlowSpec kurz und selektiv genutzt werden, um Volumen zu reduzieren, ohne legitimen Traffic zu beschädigen.

Fazit

Geschützter IP-Transit anti-DDoS ist heute ein zentraler Baustein für exponierte Infrastrukturen, die Sättigung, unnötiges Blackholing und übermäßig zerstörerische Standardreaktionen vermeiden wollen.

Er erlaubt die Absorption großer Angriffe, schützt Dienste ohne vollständige Migration, erhält echte Routing-Kontrolle und passt die Mitigation pro Workload an, statt starre Profile aufzuzwingen.

Moderne Lösungen sollten nicht nur Kapazitätszahlen kommunizieren. Sie sollten legitimen Traffic verstehen und sich dynamisch an das reale Verhalten des geschützten Dienstes anpassen können.

Ressourcen

Weiterführende Inhalte

Zum Vertiefen finden Sie hier weitere nützliche Seiten und Artikel.

Deployment-Leitfaden Lesezeit: 9 Min.

Bestehenden Dedicated Server mit GRE oder BGP schützen

Wie ein OVH- oder Hetzner-Server in Produktion bleiben kann, während legitimer Traffic ohne Komplettmigration zurückgeliefert wird.

Artikel lesen
Technischer Vergleich Lesezeit: 8 Min.

GRE, BGP oder geschützte IPs: welches Modell passt?

Stärken, Grenzen und Einsatzfälle der wichtigsten Anti-DDoS-Delivery-Modelle je nach Topologie und Netzwerkkontrolle.

Artikel lesen
Routing & Latenz Lesezeit: 9 Min.

Latenz, Asymmetrie und saubere Traffic-Zustellung

Warum Traffic-Pfad, lokaler Egress und Handoff-Modell genauso wichtig sind wie reine Mitigationskapazität.

Artikel lesen

Brauchen Sie ein Design für Ihren realen Traffic?

Peeryx bietet geschützten IP-Transit anti-DDoS, symmetrisches oder asymmetrisches Routing, adaptive Mitigation auf Basis legitimen Traffics, Übergabe per GRE, IPIP, VXLAN oder Cross-Connect sowie eine Architektur, die schützt, ohne den Dienst zu beschädigen.

Angebot anfordern Transit-Angebot ansehen