Zum Inhalt
PEERYX Network
EN — English FR — Français ES — Español DE — Deutsch NL — Nederlands
← Zurück zum Blog
Anti-DDoS-Leitfaden Veröffentlicht am 2026-05-07 Lesezeit: 11 Min.

DDoS PPS vs Gbps: warum Packet Rate zählt

Verstehen Sie, warum ein DDoS mit wenig Gbps, aber hoher PPS gefährlich sein kann und wie Router, Firewalls, Server und Anti-DDoS-Plattformen dimensioniert werden.

DDoS PPS vs Gbps: warum Packet Rate zählt
Gbps misst Volumen

Gbps zeigt das Verkehrsvolumen, das vor Link-Sättigung transportiert oder entfernt werden muss.

PPS misst Paketdruck

PPS zeigt, wie viele Paketentscheidungen die Infrastruktur pro Sekunde treffen muss.

Kapazität braucht beides

Gute Dimensionierung kombiniert Bandbreite, Paketgröße, NIC-Queues, CPU-Budget und vorgelagertes Filtern.

Gbps ist die sichtbare DDoS-Zahl, doch PPS erklärt viele Ausfälle. Ein Angriff kann wenig Bandbreite haben und trotzdem Paketverarbeitung, Queues, Firewall oder Routing sättigen.

Wer Anti-DDoS kauft, muss beide Werte lesen: Gbps zeigt Volumen, PPS zeigt Entscheidungen pro Sekunde. Seriöse Planung braucht Reserven für beides.

Schutzmodell

Wo Peeryx ansetzt

Peeryx bewertet Volumen und Paketdruck getrennt, um den richtigen Filterpunkt zu wählen: geschützter Transit, Dedicated Server, Tunnel oder Gaming-Proxy.

Geschützten IP-Transit ansehen Mit einem Engineer sprechen

Definition des Problems

Gbps misst Datenmenge pro Sekunde. PPS misst Pakete pro Sekunde. Große Pakete erzeugen Volumen, kleine Pakete erzeugen Verarbeitungsdruck.

5 Gbps mit winzigen Paketen können härter sein als 50 Gbps mit großen Paketen, weil jedes Paket Parsing, Queues, ACLs oder State auslöst.

Die Metrik verändert auch den kommerziellen Vergleich. Zwei Anbieter mit gleicher Gbps-Zahl können sich völlig unterschiedlich verhalten, wenn einer deutlich mehr kleine Pakete pro Sekunde verarbeitet.

Warum PPS das Design verändert

Router, Firewalls, NIC-Queues und Kernel haben PPS-Grenzen. Danach steigen Latenz und Verlust, obwohl der Link nicht voll wirkt.

Bei Gaming sieht es wie Lag aus, bei Hosting wie VPS-Instabilität und bei Transit wie unerwartete CPU-Last.

PPS ist außerdem ein Einkaufsthema. Ein Anbieter kann hohe Bandbreite nennen, aber bei kleinen Paketen deutlich früher an Grenzen stoßen. Wer kritische Dienste betreibt, sollte deshalb nach Mpps, Testmethodik und Verhalten unter kleinen Paketen fragen.

Mögliche Lösungen

Entscheidend ist, das Symptom dem richtigen Engpass zuzuordnen: Linkkapazität, PPS, State, Protokollverhalten oder Rückgabe sauberen Traffics. Planung muss Portspeed, Filterdurchsatz, PPS-Limits, Queue-Layout und Upstream-Entlastung kombinieren.

High-PPS-Filterung braucht frühe Drops, einfache Fast Paths, Upstream-Hilfe wenn sinnvoll und klare Trennung zwischen Volumen und Service-Logik.

Sinnvoll sind getrennte Schwellwerte für Volumen, Paketanzahl und Dienstsymptome. Erst wenn diese Werte gemeinsam betrachtet werden, lassen sich automatische Regeln bauen, die nicht bei jedem legitimen Peak unnötig aggressiv reagieren.

Ein seriöser Plan braucht deshalb Schwellwerte, Tests und Eskalationsprozesse. Ohne diese Punkte bleibt die Kapazitätszahl von der Betriebsrealität getrennt.

  • Entscheidend ist, das Symptom dem richtigen Engpass zuzuordnen: Linkkapazität, PPS, State, Protokollverhalten oder Rückgabe sauberen Traffics. Geschützter IP-Transit — Für Netze, die sauberen Traffic per BGP, Tunnel oder Handoff benötigen.
  • Entscheidend ist, das Symptom dem richtigen Engpass zuzuordnen: Linkkapazität, PPS, State, Protokollverhalten oder Rückgabe sauberen Traffics. Anti-DDoS Dedicated Server — Für Produktion nahe an der Filterebene.
  • Entscheidend ist, das Symptom dem richtigen Engpass zuzuordnen: Linkkapazität, PPS, State, Protokollverhalten oder Rückgabe sauberen Traffics. Gaming Reverse Proxy — Für FiveM, Minecraft und Spieleservices mit Protokollanforderungen.

Routing-Kontrollen für DDoS PPS vs Gbps

Peeryx behandelt Gbps und PPS als getrennte Risiken. Volumen wird vor Link-Sättigung reduziert, hohe PPS vor CPU-Überlast am Endpoint.

Das ist relevant für geschützten Transit, geschützte Server und Gaming-Proxies, weil jedes Modell andere Engpässe hat.

Peeryx nutzt diese Lesart, um nicht jedes Ereignis gleich zu behandeln. Ein volumetrischer Angriff kann Upstream-Shaving brauchen; ein High-PPS-Angriff benötigt möglichst frühe, einfache Entscheidungen mit wenig CPU-Arbeit.

Entscheidend ist, das Symptom dem richtigen Engpass zuzuordnen: Linkkapazität, PPS, State, Protokollverhalten oder Rückgabe sauberen Traffics. hnik ist diese Transparenz wertvoll: Sie reduziert Missverständnisse, beschleunigt die Diagnose und hilft, schon vor dem Incident das richtige Angebot zu wählen.

Geschützter IP-Transit Für Netze, die sauberen Traffic per BGP, Tunnel oder Handoff benötigen.
Angebot ansehen
Anti-DDoS Dedicated Server Für Produktion nahe an der Filterebene.
Angebot ansehen
Gaming Reverse Proxy Für FiveM, Minecraft und Spieleservices mit Protokollanforderungen.
Angebot ansehen
Mit Peeryx sprechen Teilen Sie Topologie und Symptome für eine realistische Empfehlung.
Angebot ansehen

Konkretes Beispiel

Ein Kunde sieht nur 8 Gbps, aber die Firewall wird instabil: 12 Mpps kleine UDP-Pakete sind das Problem. Ein größerer Port löst es nicht allein.

Ein anderer Kunde sieht 80 Gbps große Pakete. Hier ist der Link der Engpass und Upstream-Kapazität wichtiger.

Im technischen Einkauf verhindern Gbps, Mpps und Liefermodell Überraschungen. Entscheidend ist nicht nur, was die Plattform schluckt, sondern was sauber zurückkommt.

Häufige Fehler

Nur Tbps zu nennen und Mpps zu ignorieren ist riskant. Tests mit großen Paketen geben falsche Sicherheit.

Eine stateful Firewall vor alles zu setzen kann sie während High-PPS zum Engpass machen.

Misstrauen ist auch bei Tests ohne Kontext angebracht. Laborwerte mit großen Paketen und sauberem Traffic sagen wenig über Spoofing, Bursts und volle Queues aus.

Warum Peeryx wählen

Entscheidend ist, das Symptom dem richtigen Engpass zuzuordnen: Linkkapazität, PPS, State, Protokollverhalten oder Rückgabe sauberen Traffics. Die beste Antwort für Käufer ist auch die beste technische Antwort: Angriffstyp erklären, Betriebswirkung zeigen und Mitigation passend zum echten Dienst wählen.

Entscheidend ist, das Symptom dem richtigen Engpass zuzuordnen: Linkkapazität, PPS, State, Protokollverhalten oder Rückgabe sauberen Traffics. eil Latenz, Provider-Peering, Rechenzentrumsstandort und Übergabeart gemeinsam bestimmen, ob Schutz im Alltag spürbar bleibt oder sauber im Hintergrund arbeitet.

So wird aus einer Zahl ein belastbarer Betriebsplan.

Carrier-nahe Lieferung

PPS und Gbps messen unterschiedliche Belastungen: Datenvolumen und Anzahl der Paketentscheidungen.

Netzwerk und Gaming

PPS und Gbps messen unterschiedliche Belastungen: Datenvolumen und Anzahl der Paketentscheidungen.

Betriebliche Klarheit

PPS und Gbps messen unterschiedliche Belastungen: Datenvolumen und Anzahl der Paketentscheidungen.

Verwandte Peeryx-Ressourcen

Geschützter IP-Transit Für Netze, die sauberen Traffic per BGP, Tunnel oder Handoff benötigen.
Angebot ansehen
Anti-DDoS Dedicated Server Für Produktion nahe an der Filterebene.
Angebot ansehen
Gaming Reverse Proxy Für FiveM, Minecraft und Spieleservices mit Protokollanforderungen.
Angebot ansehen
Mit Peeryx sprechen Teilen Sie Topologie und Symptome für eine realistische Empfehlung.
Angebot ansehen

FAQ

Ist Anti-DDoS nur bei großen Angriffen nützlich?

Ja. PPS kann Router, Firewalls oder CPU erschöpfen, lange bevor Gbps-Grafiken dramatisch aussehen.

Kann ich einen bestehenden Server schützen, ohne umzuziehen?

Ja, aber nur wenn Handoff, Queues, CPU und Filterpfad für Packet Rate ebenso wie für Gbps dimensioniert sind.

Braucht Gaming einen anderen Ansatz?

Ja. Gaming-Backends leiden schnell unter Paketdruck, Jitter und Query-Verlust, selbst bei moderatem Volumen.

Geschützter Transit oder geschützter Server?

Nutze geschützten Transit für eigene Präfixe; wähle geschützten VPS/Dedicated, wenn der exponierte Edge gehostet werden soll.

Fazit

Verstehen Sie, warum ein DDoS mit wenig Gbps, aber hoher PPS gefährlich sein kann und wie Router, Firewalls, Server und Anti-DDoS-Plattformen dimensioniert werden.

PPS und Gbps messen unterschiedliche Belastungen: Datenvolumen und Anzahl der Paketentscheidungen. Die Entscheidung muss technisch bleiben: Filterpunkt, Protokoll, Latenz, Schwellen und saubere Traffic-Rückgabe.

Ressourcen

Weiterführende Inhalte

Zum Vertiefen finden Sie hier weitere nützliche Seiten und Artikel.

Anti-DDoS Latenz Lesezeit: 13 Min.

Anti-DDoS Latenz erklärt: wie Mitigation die Servicequalität beeinflusst

DDoS-Mitigation kann Latenz erzeugen, wenn Routing, Filterung oder Clean-Traffic-Auslieferung schlecht geplant sind.

Artikel lesen
DDoS Netzwerkauswirkung Lesezeit: 13 Min.

Auswirkungen eines DDoS auf ein Netzwerk: Links, Router, Queues und Kundenservices

Ein DDoS trifft nicht nur den Zielserver: Er kann Links, Router, Warteschlangen und Nachbardienste sättigen.

Artikel lesen
High-PPS Anti-DDoS Lesezeit: 14 Min.

Wie man 100Mpps+ in der DDoS-Mitigation bewältigt, ohne die Infrastruktur zu überlasten

100Mpps+ erfordert eine Architektur für Paketrate, nicht nur für Gbps: frühe Erkennung, Upstream-Entlastung, schnelles Filtering und saubere Delivery.

Artikel lesen
Anti-DDoS-Vergleich Lesezeit: 14 Min.

Anti-DDoS Hardware vs Software: was schützt exponierte Infrastruktur wirklich?

Hardware und Software im Anti-DDoS zu vergleichen bedeutet Placement, Flexibilität, Filtering-Geschwindigkeit, Kosten und Anpassungsfähigkeit zu vergleichen.

Artikel lesen
Scrubbing-Center-Architektur Lesezeit: 14 Min.

Wie funktioniert ein DDoS Scrubbing Center vom Routing bis zum sauberen Traffic?

Ein Scrubbing Center arbeitet als Kette: Traffic anziehen, Flows analysieren, Angriff filtern und sauberen Traffic liefern.

Artikel lesen
Anti-DDoS-Leitfaden Lesezeit: 13 Min.

Echtzeit-DDoS-Mitigation: filtern, bevor der Dienst ausfällt

Echtzeit-DDoS-Mitigation erkennt anormalen Traffic, wendet präzise Filter an und liefert sauberen Traffic zurück, bevor Links, Firewalls oder Gameserver kollabieren.

Artikel lesen
Anti-DDoS-Leitfaden Lesezeit: 13 Min.

Warum Firewalls gegen DDoS-Angriffe scheitern

Klassische Firewalls schützen Regeln und Sessions, doch DDoS greift Kapazität, PPS und State-Erschöpfung an, bevor die Anwendung reagieren kann.

Artikel lesen
Anti-DDoS-Leitfaden Lesezeit: 13 Min.

DDoS-Mitigation-Architektur: von Erkennung bis sauberer Traffic

Eine starke DDoS-Mitigation-Architektur kombiniert Upstream-Kapazität, Routing-Kontrolle, schnelles Packet-Filtering, servicenahe Regeln und saubere Lieferung per BGP, Tunnel oder Cross-Connect.

Artikel lesen
Anti-DDoS-Leitfaden Lesezeit: 13 Min.

High-PPS-Angriffe mitigieren: Router, Firewalls und Gameserver schützen

High-PPS-Angriffe können Packet Processing trotz geringer Bandbreite brechen. Erfahren Sie, wie Small-Packet-Floods vor Router-, Firewall-, VPS- oder Gaming-Instabilität mitigiert werden.

Artikel lesen
Anti-DDoS-Leitfaden Lesezeit: 11 Min.

DDoS-Angriff erkennen, bevor der Dienst ausfällt

Erkennen Sie praktische DDoS-Anzeichen: Traffic-Spitzen, hohe PPS, fehlgeschlagene Verbindungen, anormale UDP/TCP-Muster, überlastete Firewalls und Web- oder Gaming-Probleme.

Artikel lesen
Anti-DDoS-Leitfaden Lesezeit: 11 Min.

DDoS vs DoS: Unterschied, Auswirkungen und Schutzwahl

Verstehen Sie den Unterschied zwischen DoS und DDoS, warum er das Mitigationsdesign verändert und wann geschützter IP-Transit, Server, VPS oder Gaming-Proxy sinnvoll sind.

Artikel lesen
Anti-DDoS-Leitfaden Lesezeit: 11 Min.

Schutz gegen UDP Flood: Server, VPS und Gaming

Praxisleitfaden zum Schutz exponierter UDP-Dienste, ohne legitimen Traffic für Spiele, VPS, Dedicated Server, geschützten Transit und Echtzeitanwendungen zu beschädigen.

Artikel lesen
Anti-DDoS-Leitfaden Lesezeit: 11 Min.

DDoS PPS vs Gbps: warum Packet Rate zählt

Verstehen Sie, warum ein DDoS mit wenig Gbps, aber hoher PPS gefährlich sein kann und wie Router, Firewalls, Server und Anti-DDoS-Plattformen dimensioniert werden.

Artikel lesen
Leistungsvergleich Lesezeit: 9 Min.

XDP vs DPDK für die Anti-DDoS-Filterung: was sollte man wählen?

Die Frage xdp vs dpdk anti ddos taucht ständig auf. Dieser Leitfaden gibt Netzwerk- und Security-Teams eine praktische Antwort: was XDP sehr gut kann, wann DPDK zum richtigen Werkzeug wird und welcher Ansatz meist das beste Kosten/Leistungs-Verhältnis bietet.

Artikel lesen
DDoS-Leitfaden Lesezeit: 8 Min.

High-PPS-Filtering-Design

Ein praktischer Blick auf Filtering-Schichten für sehr hohe Paket-raten, ohne Beobachtbarkeit oder Handoff-Klarheit zu verlieren.

Artikel lesen
DDoS-Leitfaden Lesezeit: 7 Min.

Router-VM Anti-DDoS Einsatzfälle

Wann eine Router-VM sinnvoll ist: Kundenrouting und Filtering-Logik behalten und gleichzeitig volumetrischen Upstream-Schutz erhalten.

Artikel lesen
DDoS-Leitfaden Lesezeit: 8 Min.

Einen Filtering-Stack hinter volumetrischem Schutz aufbauen

Warum manche Käufer Peeryx nur für die erste volumetrische Schicht nutzen und ihre eigene Filtering-Logik dahinter behalten möchten.

Artikel lesen
DDoS-Leitfaden Lesezeit: 7 Min.

PPS vs Gbps in der DDoS-Mitigation

Warum Paket-rate genauso wichtig wie Bandbreite ist, wenn DDoS-Mitigation, Filterserver und Upstream-Entlastung bewertet werden.

Artikel lesen

Technische Einschätzung anfragen

Senden Sie Peeryx den zu schützenden Dienst, das gewünschte Übergabemodell und Ihre Latenzvorgaben. Daraus lässt sich eine konkrete Architektur mit Filterpunkt, sauberer Rückgabe und klaren Betriebsgrenzen ableiten.

Mit einem Ingenieur sprechen Geschützter IP-Transit