DDoS-Mitigation.
Die Edge-Verteidigungen, die volumetrische Angriffe davon abhalten, Ihren VPS zu erreichen. Immer an. Inklusive. Nie ein Upsell.
Die Reihe technischer Maßnahmen — Edge-Rate-Limiting, Scrubbing-Zentren, Anycast-Umleitung, verhaltensbasierte Verkehrsklassifikation —, die einen Distributed-Denial-of-Service-Angriff daran hindern, die Bandbreite oder das Compute des Zielservers zu sättigen. Bei NordBastion ist Mitigation dauerhaft aktiv am Edge aller vier Bastionen, in jeder Stufe inkludiert, ohne Opt-in oder Opt-out.
Mitigation ist ein Mindeststandard, keine Premium-Stufe.
Das strukturelle Problem mit abrechenbarem DDoS-Schutz ist, dass er dem Angreifer erlaubt, den Preis des Kunden festzulegen. Wenn ein Gbps absorbierter Flood Sie Geld kostet, kann ein Angreifer, der ein paar hundert Gbps auf Ihre IP werfen kann, Sie allein durch Ökonomie von der Plattform zwingen — ohne jemals etwas zu durchbrechen. NordBastion behandelt dies als plattformweite Kosten und amortisiert sie über den Katalog: Jeder VPS und jede dedizierte Stufe liefern dieselbe dauerhaft aktive volumetrische und L7-Mitigation, und absorbierter Angriffsverkehr wird nie abgerechnet.
Mechanisch peert jede der vier Bastionen mit 1,6–2,4 Tbps aggregierter Ingress mit dauerhaft aktivem Scrubbing nahe der Carrier-Übergabe. Volumetrische Floods (UDP-Amplifikation, SYN-Floods, fragmentiertes IP) werden am Edge-Router verworfen; Layer-7-Stürme (Slow-POST, HTTP-GET-Floods mit rotierenden User-Agents) werden verhaltensbasiert klassifiziert, bevor sie Ihre Stufe erreichen. Die Kontrollebene ist anycast über die vier Standorte, sodass ein Angriff, der groß genug ist, eine Bastion zu bedrohen, automatisch über die anderen umgeleitet wird.
Was Mitigation nicht tut: Sie inspiziert Ihre Anwendungs-Payloads nicht, sie terminiert TLS nicht, sie sieht nicht, wer in Ihrem Dienst eingeloggt ist. Es ist ein Mindeststandard der Netzwerkebene, der Ihrer Anwendung erlaubt, sich auf die Anfragen zu konzentrieren, die sie tatsächlich erreicht haben. Wenn Ihre Arbeitslast Filterung auf Anwendungsebene braucht (SQL-Injection-Schutz, missbräuchliches Bot-Scoring), betreiben Sie eine WAF obendrauf — verwechseln Sie aber die beiden nicht.
Mitigation über NordBastion verfolgen.
- · /network/ — die Peering-Karte pro Bastion, Scrubbing-Topologie und Anycast-Ebenen-Diagramm.
- · /vps/ — jede VPS-Stufe (Sentinel bis Bastille) liefert dauerhaft aktive Mitigation standardmäßig.
- · /dedicated/ — Bare-Metal-Stufen erben denselben Edge-Schutz bei höheren Uplink-Geschwindigkeiten.
- · /status/ — Live-Uplink-Sättigung pro Bastion und die öffentliche Historie mitigierter Vorfälle.
- · /peering/ — die IX-Präsenz und der Transit-Mix, der die volumetrische Obergrenze an jedem Standort bestimmt.
- · / — die Homepage zeigt die Garantie der dauerhaft aktiven Mitigation im Feature-Strip.
Fragen zur Mitigation, beantwortet.
Welche Angriffsgrößen bewältigt der Edge?
Jede Bastion peert mit 1,6–2,4 Tbps aggregierter Ingress-Kapazität bei dauerhaft aktivem volumetrischem Scrubbing, das die überwältigende Mehrheit realer Angriffe absorbiert — öffentliche Q4-2025-Telemetrie zeigte, dass 99,4 % der Internet-DDoS-Ereignisse unter 100 Gbps lagen. Layer-7-Floods (HTTP-GET/POST-Stürme) werden verhaltensbasiert klassifiziert und verworfen, bevor sie Ihren VPS erreichen. Die harte Obergrenze pro Bastion ist die Peering-Summe; wirklich staatliche Angriffe (Multi-Tbps) werden über die Vier-Bastion-Anycast-Ebene umgeleitet.
Gibt es eine zusätzliche Gebühr für DDoS-Schutz?
Nein — und das ist bewusst. Andere Hoster bepreisen DDoS-Schutz als Pro-Gbps-Add-on oder separate Enterprise-Stufe, was effektiv bedeutet, dass ein kleines Ziel dafür belastet wird, angegriffen zu werden. NordBastion inkludiert dauerhaft aktive Mitigation in jeder VPS-Stufe vom Sentinel ($5,90/Monat) bis Bastille ($23,90/Monat) und in jeder dedizierten Stufe, ohne nutzungsbasierte Abrechnung des absorbierten Angriffsverkehrs. Die Ökonomie funktioniert, weil die Mitigationskosten über die Plattform amortisiert und nicht pro Vorfall abgerechnet werden.
Wie unterscheidet es sich von einer Cloudflare-artigen WAF?
Eine WAF (Web Application Firewall) operiert auf OSI-Schicht 7 — sie inspiziert HTTP-Anfragen auf Angriffssignaturen der Anwendungsebene (SQL-Injection, XSS, missbräuchliche Bot-Muster) und ist selbst ein Reverse-Proxy, der TLS terminiert. NordBastions DDoS-Mitigation operiert auf den Schichten 3–4 — sie wirft fehlerhafte Pakete, Amplifikationsreflexionen und volumetrische Floods am Netzwerk-Edge ab, bevor sie Ihre Bandbreite verbrauchen, und sie terminiert weder TLS noch sieht sie Ihre Anwendungs-Payloads. Beide sind komplementär; betreiben Sie eine WAF obendrauf, falls Ihre App eine braucht.
Was, wenn meine Arbeitslast selbst den Anstieg verursacht?
Ein legitimes virales Verkehrsereignis — ein Launch, ein Pressetreffer, eine Hacker-News-Titelseite — hat eine Rate-Limit-Form, keine Angriffsform, und der Verhaltens-Klassifikator lässt es durch. Wenn Sie den Uplink Ihrer Stufe mit legitimem Verkehr sättigen, ist der Upgrade-Pfad ein Panel-Klick zu einem größeren VPS oder einer dedizierten Stufe mit einem fetteren Uplink; kein Support-Ticket erforderlich. Ausgehender Missbrauch (Ihr Server als Quelle von Angriffsverkehr, z. B. ein SSH-Brute-Forcer oder offenes Mail-Relay) wird separat behandelt — siehe /doctrine/ dazu, was wir hosten und was nicht.