Moin!

Bei den "aktuellen" Scans hast du recht, ich selbst hatte aber shconmal das, von mir genannte, Problem.

Wenn's wirklich ein DoS war, war es aber kein Scan. Weil DoS und Scannen sich gegenseitig irgendwie ausschließen - was will man denn noch als Ergebnisse vom Scan erhalten, wenn die Kiste kaum noch antwortet?

Da hast du recht. Was der Sinn war, ist mir auch wurscht ;) Zumindest war mein Log nach dem Angriff voll Loginversuchen per SSH

Man hat als Serverbetreiber keinerlei Chance, etwas gegen einen DoS-Angriff zu unternehmen.

Die einzige Möglichkeit ist IMO das Runterfahren des Servers. Diverse paketsniffer bieten diese Option bei einem erkannten Angriff, dessen Regeln man selbst definieren kann. Dann kann man zumindest "auf die harte Tour" den Traffic verhindern. Oft wird der Angriff dann abgebrochen, wenn die Verbindung zum Server weg ist.

Eine rechtlich bedenklich Lösung wäre der Einsatz von einem Script zum Gegenangriff. ich glaub "Stacheldraht" heisst da eins. Da werden andere rechner kontaktiert, die dieses Script installiert haben, ihnen mitgeteilt, welche IP der Angreifer hat und dann wird ein gemeinsamer Gegenangriff gestartet. In dem Fall aber schlecht, wenn der ANgreifer die IP maskiert hat und der Gegenangriff gegen den falschen Server läuft :D