• Wenn der (vermeintliche) Angreifer ein Tool auf einem höheren OSI-Level benutzt, dann wartet das bis zum jeweiligen Timeout mit dem nächsten Schritt. Also wirst Du so - jedenfalls bei Skriptkiddies - die Effektivität des Angreifers bedeutend senken, wenn er z.B. 30 Sekunden wartet statt nach ein paar Millisekunden genau zu wissen wohin er gegriffen hat…

und was ist mit apache ab und ähnlichen Tools? Die eröffnen mal eben 150 Request-Threads und mehr.

Die einfache Anwort:

https://code.fastix.org/Projekte/Apache%2Cmod_evasive%2Ciptables%3AHelfer-Skripte zum (zeitweisen) Blockieren von IP-Adressen/

Des Pudels Kern:

https://code.fastix.org/showFile.php?file=Projekte/Apache%2Cmod_evasive%2Ciptables%3AHelfer-Skripte zum (zeitweisen) Blockieren von IP-Adressen/fwblock

Freilich muss man bei Verwendung vom mod_evasive den ersten Angriff erstmal bis zu einem gewissen Grad überstehen. Für ganz harte Fälle gibt es natürlich explizite Firewalls mit eigener Hardware, welche ein derartiges Fluten feststellen und dann auch die Pakete „droppen“.