Hello,

So würde ich das nicht ausdrücken. Schließlich kann der Angreifer, wenn es seine Bandbreite zulässt, auch schon von Anfang an die Maximalanzahl an gleichzeitigen Zugriffen ausreizen. Wie gesagt, eine Sperre bei 3 (oder 10 oder...) gleichzeitigen Zugriffen über dieselbe IP ist sinnvoller.

Die Profis in diesem Berich haben Dank Thorn-Deamon & Co. genügend verschiedene IPs unterschiedlicher Netze zur Verfügung. Vielleicht ist Dein Server auch schon ein Mitglied einer Schläfergruppe für DDoS-Attacken. Das kann man leider auch nur noch sehr schwer erkennen. Wenn der Provider nicht ständig ein Scan fährt, um die Signaturen zu erkennen, ist alles möglich. Ich beschäftige mich seit 1996 mit diesen Dingen und habe da eigentlich in der Uni Linz einen verlässlichen Auskunftgeber für Gegenmaßnahmen gefunden.

Harzliche Grüße aus http://www.annerschbarrich.de

Tom