Ein praxisnaher Leitfaden zu Link-Sättigung, 95th-Percentile-Risiko, Blackholing, asymmetrischem Routing, adaptiver Filterung sowie zur Bedeutung von Gbps und Mpps.
Ein Angriff kann den Port füllen, lange bevor die Anwendung reagieren kann.
Bösartige Peaks können 95th-Percentile- oder Traffic-basierte Rechnungen verzerren.
Asymmetrisches Routing erlaubt Ingress über Peeryx und lokalen Egress, wenn das sinnvoll ist.
Es geht nicht nur um schnelles Filtern, sondern darum, legitimen Traffic unter Angriff am Leben zu halten.
Viele Internet-exponierte Infrastrukturen — SaaS-Plattformen, Echtzeitdienste, Hosting-Umgebungen, Gaming-Stacks oder APIs — werden heute regelmäßig mit größeren und komplexeren DDoS-Angriffen konfrontiert.
In einem klassischen Konnektivitätsmodell können solche Angriffe Leitungen schnell sättigen, den Dienst unterbrechen, Transitkosten bei 95th-Percentile- oder Traffic-Abrechnung aufblasen oder Blackholing der angegriffenen IP erzwingen, was legitime Nutzer direkt trifft.
Genau deshalb ist geschützter IP-Transit anti-DDoS wichtig: Statt bösartigen Traffic bis an den Produktionsrand zu lassen, wird der Traffic zuerst durch eine Mitigationsschicht geführt, die den Angriff filtert und nur sauberen Traffic zurückliefert.
Bevor man über geschützten Transit spricht, muss man verstehen, warum das klassische Modell nicht mehr funktioniert, sobald ein Dienst ernsthafte oder wiederholte Angriffe anzieht.
In einer Standardumgebung kommt bösartiger Traffic der Produktion zu nahe, bevor wirklich entschlossen gefiltert wird. Dort beginnen Sättigung, Rechnungsspitzen und übermäßig zerstörerische Notfallreaktionen.
Ein volumetrischer Angriff kann 100 Gbps oder sogar mehrere Tbps überschreiten. Ein 10G-, 25G- oder 100G-Port kann voll sein, bevor der Dienst reagieren kann.
Wenn Konnektivität nach 95th Percentile oder Traffic berechnet wird, können schon wenige Stunden unerwünschten Traffics die Monatsrechnung deutlich verzerren.
In vielen Umgebungen wird die Notfallreaktion zum Blackhole der angegriffenen IP. Das restliche Netz bleibt vielleicht online, der betroffene Kunde aber nicht.
Standard-Schutz basiert oft auf vordefinierten Mitigationsprofilen. Das funktioniert bei typischen Mustern, ist aber unflexibler bei atypischem Traffic und anfälliger für Kollateralschäden.
Geschützter IP-Transit anti-DDoS bedeutet, dass der für Ihre IP-Präfixe bestimmte Traffic durch eine Mitigationsinfrastruktur läuft, die Angriffe upstream filtert und nur legitimen Traffic an Ihre Infrastruktur zurückliefert.
Im Gegensatz zu geschlossenen Schutzmodellen oder starren statischen Profilen behält dieses Design die Kontrolle über Netzarchitektur, Übergabemodelle und die Art, wie Traffic an den Kunden zurückgegeben wird.
Der Kunde kündigt seine IP-Präfixe über BGP an. Danach sind mehrere Modelle möglich: dauerhafter Einsatz, Aktivierung nur im Angriff — weniger ideal wegen BGP-Konvergenz — oder symmetrisches bzw. asymmetrisches Routing je nach Betriebsmodell.
Bei Peeryx ist asymmetrisches Routing kein schlechterer Modus. Ein Kunde kann Ingress über Peeryx fahren und den Outbound-Traffic lokal über einen anderen Transitprovider halten, wenn das Latenz oder Kosten verbessert. Das verschlechtert die Mitigationsqualität nicht.
Sobald der Traffic die Mitigations-Fabric erreicht, geht es nicht um blindes Rate-Limiting. Es geht darum, legitimen Traffic zu verstehen, den Angriff zu erkennen, die richtige Filterlogik zu erzeugen und sauberen Traffic mit Leitungsgeschwindigkeit zurückzugeben.
Der Kunde kündigt Präfixe an und wählt einen permanenten oder angriffsgesteuerten Betriebsmodus.
Legitimer Traffic wird kontinuierlich beobachtet, damit beim Angriff eine nutzbare Baseline existiert.
Sobald ein Angriff erkannt wird, werden benutzerdefinierte Filter aus Signaturen und realem Serviceverhalten erzeugt.
Gefilterter Traffic wird per Cross-Connect, GRE, IPIP, VXLAN oder Router-VM zurückgegeben.
Viele Lösungen am Markt verlassen sich vor allem auf vordefinierte Mitigationsprofile. Das kann bei sehr standardisierten Use Cases funktionieren, besonders bei klassischem Gaming-Traffic, wird aber schnell limitierend, wenn legitimer Traffic vom erwarteten Muster abweicht.
Peeryx erzwingt standardmäßig keine restriktiven Anwendungsfilter. Optionale vordefinierte Policies können aktiviert werden — etwa für FiveM, Minecraft, Rust, Garry’s Mod, Hytale, SSH, WireGuard oder OpenVPN — aber das Grundverhalten der Plattform bleibt adaptiv.
Das System analysiert legitimen Traffic kontinuierlich außerhalb von Mitigationsfenstern, um Nutzung, normale Flüsse und servicespezifische Merkmale zu verstehen. Wird ein Angriff erkannt, korreliert es Signaturen und Muster mit dieser Baseline und erzeugt in unter 20 ms maßgeschneiderte Regeln, um den Angriff zu stoppen, ohne legitimen Traffic zu blockieren.
Sauberer Traffic kann mit oder ohne BGP-Ankündigung auf der Übergabeseite geliefert werden. Ziel ist es, sich an die Architektur des Kunden anzupassen statt ein einziges Interconnect-Modell zu erzwingen.
Einfach und schnell zu deployen, wenn bestehende Infrastruktur ohne große Migration geschützt werden soll.
Flexibler für fortgeschrittene Architekturen oder Umgebungen mit Bedarf an reichhaltigerer Kapselung.
Niedrigstmögliche Latenz und maximale Performance für Kunden im gleichen Datacenter-Umfeld.
Volle Kontrolle für Kunden, die eigene Tunnel und Übergabelogik selbst aufbauen und verwalten wollen.
Eine Schutzschicht für OVH-, Hetzner- oder ähnliche Dedicated Server ergänzen, ohne die gesamte Infrastruktur zu verlagern.
Einen Dedicated Server mit XDP oder anderer Logik nutzen, um das Filtering nach dem Upstream-Relief abzuschließen.
FiveM, Minecraft und andere latenzsensitive Dienste brauchen eine schnelle, saubere und möglichst wenig intrusive Mitigation.
Nicht standardisierte Anwendungen und atypische Flüsse profitieren stark von einer Mitigation, die um reales Traffic-Verhalten gebaut ist.
Dieser Ansatz bedeutet nicht nur „viel Gbps halten“. Er bedeutet, den geschützten Dienst zu verstehen, seine Anwendungslogik zu erhalten und auch mit PPS-Druck umgehen zu können. Manche Lösungen werben mit großen Bandbreiten, sind aber weniger komfortabel, wenn der eigentliche Druck vor allem auf der Paket-Rate liegt.
Wichtig ist auch, was während der Mitigation gerade nicht passiert: Es gibt kein generisches Protokoll-Rate-Limiting auf TCP, UDP, GRE oder andere Protokolle. Mitigation sollte legitime Transfers nicht verlangsamen oder Performance künstlich begrenzen, nur weil Schutz aktiv ist.
Für wirklich extreme Floods, insbesondere einige volumetrische Amplification-Szenarien, kann BGP FlowSpec automatisch und intelligent verwendet werden, aber nur bei echtem Bedarf, für leichte Upstream-Entlastung und nur kurzzeitig. Es geht nicht darum, übermäßig strikt zu werden. Es geht darum, genug Volumen oben abzuschneiden, ohne legitimen Traffic zu opfern.
Ein gutes Anti-DDoS-Design muss Link, Rechnung, Nutzererlebnis und Geschäftslogik des Dienstes schützen. Wenn es nur eine dieser Ebenen schützt, bleibt es unvollständig.
Ja. Sauberer Traffic kann per Tunnel oder per BGP-Design zurückgegeben werden, das zu Ihrer vorhandenen Infrastruktur passt.
Nein. Während der Mitigation wird kein generisches Protokoll-Rate-Limiting angewendet.
Genau das soll die Plattform vermeiden, indem Filter aus dem realen Service-Traffic und den während des Angriffs beobachteten Mustern erzeugt werden.
Ja. Und für Extremfälle kann BGP FlowSpec kurz und selektiv genutzt werden, um Volumen zu reduzieren, ohne legitimen Traffic zu beschädigen.
Geschützter IP-Transit anti-DDoS ist heute ein zentraler Baustein für exponierte Infrastrukturen, die Sättigung, unnötiges Blackholing und übermäßig zerstörerische Standardreaktionen vermeiden wollen.
Er erlaubt die Absorption großer Angriffe, schützt Dienste ohne vollständige Migration, erhält echte Routing-Kontrolle und passt die Mitigation pro Workload an, statt starre Profile aufzuzwingen.
Moderne Lösungen sollten nicht nur Kapazitätszahlen kommunizieren. Sie sollten legitimen Traffic verstehen und sich dynamisch an das reale Verhalten des geschützten Dienstes anpassen können.
Peeryx bietet geschützten IP-Transit anti-DDoS, symmetrisches oder asymmetrisches Routing, adaptive Mitigation auf Basis legitimen Traffics, Übergabe per GRE, IPIP, VXLAN oder Cross-Connect sowie eine Architektur, die schützt, ohne den Dienst zu beschädigen.
