Mehrschichtiger DDoS-Schutz in zehn Mitigation-Stufen — BGP Flowspec, JA4-Fingerprinting, PoW-Challenges, WAF, Self-Service-Portal — auf AS215197.
Kein US-Recht. Keine Shared Platform. Kein Single Point of Failure.
Die Zero Services GmbH wurde 2026 als BSI-qualifizierter DDoS-Mitigationsdienstleister gemäß §3 BSIG gelistet — geprüft und qualifiziert zur Verteidigung Kritischer Infrastrukturen (KRITIS) durch die nationale Cyber-Sicherheitsbehörde Deutschlands. Zur ganzen Geschichte →
Eigenes Netzwerk & Rechenzentren
Überwachte Metriken
Jahre Infrastruktur-Erfahrung
Rechenzentren Weltweit
Jeder Request durchläuft eine sequentielle Kette. Volumetrische Angriffe werden am Netzwerk-Edge verworfen. Was Ihren Origin erreicht, ist sauber.
BGP-Flowspec-Regeln verwerfen UDP-Floods, SYN-Floods und Amplification-Angriffe am Netzwerk-Edge innerhalb von Sekunden.
Erkennt Bot-Frameworks anhand der TLS-Handshake-Signatur — unabhängig von IP-Rotation.
Kundendefinierte Regeln nach Geo, IP, ASN, JA4-Fingerprint oder URL-Pfad.
TCP-Level-Flood-Schutz mit null CPU-Overhead. Slow-HTTP-Erkennung fängt Slowloris und Slow POST ab.
Per IP, per Pfad, per Fingerprint. Cluster-synchronisiert über alle Edge-Nodes.
Granulares Rate-Limiting nach TLS-Fingerprint und URL-Pfad für gezielte Bot-Mitigation.
Argon2-basierte Rechenaufgaben. Browser lösen sie in Millisekunden. Bot-Farmen verbrennen CPU.
Per-Service-Cache reduziert Origin-Last bei Angriffen und verbessert TTFB.
Coraza WAF mit OWASP CRS. Separate Container pro Service. Einstellbare Paranoia-Level.
Nur sauberer Traffic.
Konfigurieren, überwachen und reagieren — ohne Tickets oder Wartezeiten.
Match auf Geo, ASN, IP, Pfad, JA4-Fingerprint. Blockieren, Rate-Limitieren, Challenge oder Erlauben. Drag-and-Drop-Priorität.
RPS, Bandbreite, Response Codes, blockierte Angriffe. Echtzeit-Health aller Edge-Nodes auf einen Blick.
ACME-Automatisierung (Let's Encrypt, Buypass, ZeroSSL, Google) oder eigener Upload. Auto-Renewal, kein Downtime.
Sofortige Sperrung und Wartungsmodus. Propagiert zu allen Edge-Nodes innerhalb von Sekunden.
Jede Änderung protokolliert mit Zeitstempel, Benutzer und Diff. Volle Nachverfolgbarkeit für Compliance.
Eigenes Logo, Farben, Challenge-Pages, Error-Pages. Volles Branding im Dedicated-Plan.
Vollständige Edge-Plattform auf eigenem Netzwerk (AS215197). Deutsche und europäische Datenresidenz. Keine Third-Party-Bottlenecks.
Multi-Site-Anycast-Edge-Nodes mit git-basierter Config-Distribution. Edge-Nodes laufen weiter, auch wenn die Control Plane ausfällt.
Aktive Health Checks. Automatisches Failover. Traffic auf gesunde Backends verteilt.
Backhaul per CrossConnect, MPLS oder VPN. Origin nie öffentlich erreichbar.
TCP-Dienste und VPN-Endpunkte schützen. Eigenständige L3/L4-Filterung für IP-Transit-Kunden verfügbar.
Dasselbe Team, das die Server, die Cluster und das Netzwerk betreibt, baut und betreibt auch ZERO-PROTECT. Keine Hand-offs.
Per-Service-Metriken für eigenes Grafana, Alerting und Langzeit-Retention.
BSI-qualifiziert. Deutsche Infrastruktur. Für Organisationen, bei denen Downtime reale Konsequenzen hat.
Versorger, Energie, Telekommunikation, Behörden. BSI-qualifiziert gemäß §3 BSIG. Deutsche Datenresidenz. Audit-Logging für Compliance.
Jede Minute Downtime ist verlorener Umsatz. Edge-Caching, sofortige Notfall-Aktionen und transparente Clean-Traffic-Abrechnung.
Strikte Compliance-Anforderungen. Deutscher Vertragspartner. Vollständiger Audit-Trail. Dedizierte Edge-Nodes für komplette Tenant-Isolation.
Layer-3/4-Mitigation via BGP Flowspec wird innerhalb von Sekunden am Netzwerk-Edge angewendet. Layer-7-Schutzmaßnahmen (Rate Limiting, PoW Challenges, WAF) sind always-on — sie müssen nicht erst "eingreifen", weil sie bei jedem Request bereits aktiv sind.
Statt eines CAPTCHAs senden wir dem Browser eine kleine Rechenaufgabe (Argon2-basiert). Ein echter Browser löst sie in Millisekunden — der Nutzer merkt nichts. Eine Bot-Farm braucht echte CPU-Zeit pro Request, was großangelegte L7-Angriffe wirtschaftlich unrentabel macht. Schwierigkeit ist pro Service einstellbar.
JA4 erstellt einen Fingerprint aus TLS-Handshake-Parametern — Cipher Suites, Extensions, unterstützte Versionen. Bots, die dasselbe Framework nutzen, erzeugen identische Fingerprints, auch wenn sie durch Tausende IPs rotieren. Wir rate-limitieren nach Fingerprint, nicht nur nach IP.
Ja. Sie richten Ihre DNS-Records auf die ZERO-PROTECT Anycast-IPs. Traffic fließt zuerst durch unsere Edge-Nodes, wird gefiltert, und sauberer Traffic wird an Ihre Origin-Server weitergeleitet. Einrichtung dauert Minuten.
Die gesamte Traffic-Verarbeitung findet auf deutscher und europäischer Infrastruktur statt (AS215197). Zero Services GmbH ist ein deutsches Unternehmen. Kein CLOUD Act. Kein FISA 702. Ihre Traffic-Daten bleiben in Europa.
White-Label-Branding (eigenes Logo, Farben, Support-URLs, Challenge-Page-Text, Error Pages) ist im Dedicated-Plan verfügbar. Shared-Kunden können Challenge- und Error-Page-Text anpassen.
Ja. Zero Services GmbH ist als BSI-qualifizierter DDoS-Mitigationsdienstleister gemäß §3 BSIG gelistet. Die gesamte Traffic-Verarbeitung läuft auf deutscher und europäischer Infrastruktur (AS215197). Die Qualifizierung richtet sich speziell an Dienstleister für Betreiber kritischer Infrastrukturen.
Wir könnten unbegrenzte Kapazität oder extrem hohe Tbps-Werte behaupten. Macht jeder große DDoS-Anbieter. Aber diese Zahlen beschreiben die theoretische, globale Scrubbing-Kapazität über alle PoPs hinweg — nicht das, was am Edge-Standort tatsächlich verfügbar ist, an dem Ihr Traffic ankommt. Echte Mitigation hängt davon ab, woher der Angriff kommt, welche Pfade er nimmt und wie viel Kapazität an genau diesem Ingress-Punkt bereitsteht. Die Headline-Zahl auf einer Marketing-Seite hilft nicht, wenn ein 400-Gbps-Flood an einem einzelnen Standort auftrifft.
Wir machen es anders: Wir sagen Ihnen genau, was unser Edge an jedem Standort absorbieren kann, und haben klare Eskalationswege darüber hinaus — Upstream-Scrubbing und BGP-Blackholing auf Peering-Ebene (DE-CIX Frankfurt, AMS-IX Amsterdam). Ehrliche Dimensionierung schlägt Marketing-Versprechen.
Ja. Wer eigenes Routing betreibt und keinen Reverse Proxy benötigt, bekommt eigenständigen L3/L4-Schutz per BGP Flowspec. Volumetrische Angriffe (UDP-Floods, SYN-Floods, Amplification) werden an unseren Upstream-Routern am Netzwerk-Edge gefiltert. Kein DNS-Wechsel, kein Reverse Proxy, kein Application-Layer-Stack — nur sauberer Transit.
Beschreiben Sie Ihr Setup. Wir empfehlen den passenden Plan, richten Ihren Portal-Zugang ein — und sind danach jederzeit für Sie erreichbar.