Halihallo Michael

[httpd.conf und deine Bauanleitung]: Hier kann ich leider nicht mitreden, da ich den Apache noch nie verwendet habe (d. h. online schon, aber diesen Webspace administriere nicht ich)

Keine Ahnung, wie man das dem WebServer verklickern soll, dass er
Prozesse unterbinden soll.
Da müsste man wohl schon einen eigenen programmieren.

Es reicht, wenn man den URL umschreibt - dieser ist ja dafür zuständig, ob das CGI-Skript gestartet wird oder nicht.

Klar. Ich wusste jedoch nicht, das dies funktioniert.

Ein sehr viel besseres Kriterium ist es eben, dass der Attackende sehr
viele Requests in kurzer Zeit ausführt.

Um das zu merken, brauchst Du aber ein Gedächtnis - also muß das Skript die entsprechende Buchführung selbst erledigen.
Das kann der Apache alleine nicht mehr leisten, weil HTTP gedächtnislos funktioniert.

Stimmt. Deshalb auch der Tip mit dem SessionManagement. Ansonsten werden andere User auch in Mitleidenschaft gezogen, da das Programm dann für alle "Ausgelastet" ist.

Viele Grüsse

Philipp