Hi, nun mal ein paar Infos, die ich aufgrund meiner Nachfragen/Beschwerden bekam. Kontaktiert hatte ich dazu: BSI-CERT, IFCC (FBI), Fa. Savvis, Fa. Exodus. Zumindest das CERT und IFCC gehen davon aus, daß es sich um eine DOS Attacke gehandelt hat. Beide Institutionen raten mir, sollte so etwas nochmals vorkommen, den gesamten Traffic mittels tcpdump mitzuschneiden, und ihnen dann neben den Logeinträgen zukommen zu lassen. Ein Mitarbeiter des CERT hat auch eine recht interessante Erklärung zu der Häufigkeit, dem IP-Adresswechsel, etc. abgegeben. Sowohl das CERT als auch IFCC waren recht interessiert an den Daten, und wollen auch weiterhin gerne informiert werden, sollte sich Savvis oder Exodus dazu melden. Zum Thema DROP oder REJECT gibt es keine klaren, sich festlegenden Meinungen: im Tenor: je mehr Anfragen solcherart kommen, desto größer ist die Wahrscheinlichkeitkeit, daß man aufgrund der REJECTs und dem damit zusätzlich entstehenden Verkehrs das eigene System unerreichbarer macht - allerdings auf Kosten "legitimer" Systeme, welche eine Verbindung aufbauen wollen. Laut Fa. Savvis allerdings verhält sich das Ganze etwas anders - wobei das Resultat des betroffenen Systems allerdings gleich bleibt. Dort habe ich mich erkundigt, on sie etwas gegen diese massiven Verbindungsversuche unternehmen können/würden, da das angegebene Quellnetzwerk zu den ihren gehört. Nun gab es vor einigen Minuten eine offizielle Antwort von dort: es würde sich um einen Suchrobot der Fa. "Overpeer, Inc." handeln, welcher andere Systeme/Netzwerke nach "copyrighted material" in Netzwerken & p-2-p Clients sucht. Die Fa. Overpeer habe ich nun einmal per Email angeschrieben, um zu erfahren, ob dem tatsächlich so ist - zumindest ist dies laut ihrer Website durchaus denkbar (http://www.overpeer.com/). Fa. Exodus hat sich bis dato noch gar nicht gemeldet ... So, nun wäre es zukünftig noch hilfreich, wenn es eine Möglichkeit gäbe, automatisch bspw. eine 20 minütige tcpdump Aufzeichnung anstoßen zu lassen .. ;-) Gruß Torsten