Sie sind nicht angemeldet.

Lieber Besucher, herzlich willkommen bei: sourceserver.info. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

MadMakz

Super Moderator

  • »MadMakz« ist der Autor dieses Themas

Beiträge: 1 877

Wohnort: ~#

Rootserver vorhanden: Ja

  • Nachricht senden

1

Sonntag, 28. Dezember 2014, 15:07

Diskussion "DDoS-Schutz fastIT/MyLoc"

Diese Diskussion entstammte ürsprünglich aus dem Thread http://sourceserver.info/board6-off-topi…vh-erfahrungen/

Spoiler Spoiler


FastIT (Düsseldorf) hat eine neue Discount-Marke gestartet. 1gbps mit 500mbps garantiert http://www.servdiscount.com/ .
Wer mich unterstützen will kann diesen link benutzen http://www.servdiscount.com/?kwk=850081

Der i7-3770 mit 32GB und 2x100GB SSD ist z.B. eine sehr nette Zockermaschiene für gerade mal 40€

Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »MadMakz« (30. Dezember 2014, 15:43) aus folgendem Grund: split


2

Sonntag, 28. Dezember 2014, 15:27

Frage ist wie viel die DDoS-Protection aushält? Wenn es die ist die Webtropia auch anbietet, dann kannst du die gleich vergessen. ( http://blog.webtropia.com/2014/10/30/ddo…on-fuer-server/) Da gehen die Server schon bei einen Booter mit 3gbps down und solche bekommt man teilweise kostenlos. DDoS gehört mittlerweile zum Alltag.

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Bara« (28. Dezember 2014, 15:32)


MadMakz

Super Moderator

  • »MadMakz« ist der Autor dieses Themas

Beiträge: 1 877

Wohnort: ~#

Rootserver vorhanden: Ja

  • Nachricht senden

3

Sonntag, 28. Dezember 2014, 15:35

1. Preis -> Gegenleistung (In Frankreich muss man auch mit einberechnen das der Strom dort so gut wie nichts kostet dank Atomkraft)
2.

Zitat

In den nächsten Monaten werden wir unsere Systeme weiter entwickeln um auch größere Angriffe abfangen zu können. Wir halten auch an dieser Stelle auf dem Laufende.

3. Hat OVH >2.5 Trerrabits mehr Kapazität um zu Kompensieren.

Ich will OVH damit nicht schlecht machen. Im gegenteil; Bei einem deutschen Standort muss man immer mit einbeziehen das unsere IT Infrastruktur und Preise ein ganzes Stück hinterher hingt. Warum wohl ist die Intergenia nach Frankreich ausgewandert?

OVH, als Europäisches und Welweites, Großunternehmen hat einen Großteil der Inländischen und Grenzüberschreitenden Glasfaserstrecken zu den Exchange-Punkten selbst Finanziert und zieht sogar noch Kapital daraus (vermietung Leitunkskapazität).
In deutschland gibt es Kaum ein RZ Unternehmen welches sich das im alleingang ohne Insolvenz leisten könnte.
Und wer sich RZ-Mäßig nahe eines DECIX niederlassen will zahlt in Frankfurt a.M. unglaublich hohe Miet-/Pacht-/Bauplatzpreise die sich dann wiederum in den Stellplatzpreisen wiederspiegelt.

Übrigens; Weil wir gerade beim Thema sind. Hetzner hat keine direkten DTAG Peerings mehr weil die Telekom utopische preise verlangt. So viel zur (Politischen) IT-Infrastruktur hierzulande.

Das RZ's hier überhaupt noch Konkurenzfähig bleiben ist den Routertechnologien zu verdanken die es schaffen 40-100Gbps über die selbe Leitung zu jagen die zuvor nur 10gbps ermöglichten.

Daran sind allerdings nicht die einzelnen RZ betreiber schuld. Die nörgeln schon seit Jahrzehnten das keine Gelder locker gemacht werden.
Vielleicht sehen wir ja in den nächsten Jahren mal eine Allianz aller Großen Unternehmen die den IT-Ausbau des Landes selbst in die Hand nehmen. So wie Google es in den USA an geht.
Denn lange geht das so nicht mehr gut wenn wir weiter/wieder bedeutung als IT-Land haben wollen.

Und alles auf die Telekom abwälzen ist auch nicht richtig, die sind dafür nicht (alleine) zuständig seit sie nicht mehr Staatlich sind. Die braucht man nach Staatsvertag (oder war es TK-Gesetzt?) nur um die TAE-Buchse zuhause mit dem Kabel unter dem Bürgesteig zu verdraten.
Bei anderen anschlusstechnologien braucht man sie afaik erst garnicht.

Dieser Beitrag wurde bereits 12 mal editiert, zuletzt von »MadMakz« (28. Dezember 2014, 16:36)


Sleip

Fortgeschrittener

Beiträge: 378

Beruf: Management

Rootserver vorhanden: Ja

  • Nachricht senden

4

Sonntag, 28. Dezember 2014, 16:37

FastIT (Düsseldorf) hat eine neue Discount-Marke gestartet. 1gbps mit 500mbps garantiert http://www.servdiscount.com/ .
Wer mich unterstützen will kann diesen link benutzen http://www.servdiscount.com/?kwk=850081
Der i7-3770 mit 32GB und 2x100GB SSD ist z.B. eine sehr nette Zockermaschiene für gerade mal 40€


Das sieht in der Tat sehr gut aus, das Problem bei myLoc zu denen ja auch Webtropia gehören ist das sie sehr schnell sehr gerne bei eingehenden DDoS Angriffen die entsprechende IP null-routen, schon mehrfach in einigen Foren gelesen, auch kürzlich gab es da im Serversupportforum einen Thread das der neue DDoS Schutz scheinbar noch nicht so funktioniert wie angekündigt und die Server demnach immer noch null-geroutet werden. Ich meine was nützt mir eine garantierte 500Mbit/s Peak Bandbreite wenn schon nach paar Sekunden alles abgeschaltet wird? Genau garnichts, denn gerade das soll die höhere Bandbreite ja etwas kompensieren wenn der DDoS Schutz am arbeiten ist.

Frage ist wie viel die DDoS-Protection aushält? Wenn es die ist die Webtropia auch anbietet, dann kannst du die gleich vergessen. ( http://blog.webtropia.com/2014/10/30/ddo…on-fuer-server/) Da gehen die Server schon bei einen Booter mit 3gbps down und solche bekommt man teilweise kostenlos. DDoS gehört mittlerweile zum Alltag.


So sehe ich das auch, sollte das sich in naher Zukuft (wie angekündigt) aber verbessern ist myLoc eine echte Alternative.

.... Apropos Hoster, schon gehört das Host Europe gerade Server4You und Serverloft aufgekauft hat?

myLoc

Anfänger

Beiträge: 8

Rootserver vorhanden: Nein

  • Nachricht senden

5

Dienstag, 30. Dezember 2014, 09:39

Guten Morgen zusammen,

vielen Dank für Euer Interesse an unseren Dedicated Server Produkten von servdiscount.com!

Wie Ihr richtet erkannt habt, setzen wir bei servdiscount.com dieselbe DDoS-Protection ein, welche wir auch für webtropia.com (DDoS Blog-Beitrag von webtropia.com ) verwenden.

Ihr schreibt, dass Euch die Protection in unserer Phase 1 unserer DDoS-Protection nicht groß genug ist. Mich würde daher einmal interessieren für den weiteren Ausbau unserer Protection, welche Größenordnung für Euch ausreichend wäre, damit Ihr Eure Server vor DDoS-Attacken geschützt bei uns betreiben könnt.

Gerne könnt Ihr Euch per E-Mail bei mir unter ch@myLoc.de wenden.

Danke!

Gruß und einen guten Rutsch!
Christoph

MadMakz

Super Moderator

  • »MadMakz« ist der Autor dieses Themas

Beiträge: 1 877

Wohnort: ~#

Rootserver vorhanden: Ja

  • Nachricht senden

6

Dienstag, 30. Dezember 2014, 13:47

Hallo Christoph, schön zu sehen das ihr hier auch ein Auge drauf habt :) Und das vor allem nicht Undercover ;)

Ich denke die Breite spielt zunächst weniger eine Rolle als die zeitliche Länge der Null-Route.

Wenn ihr pauschal den Server, sagen wir 60 Minuten, in eine Null schickt, brauch der Angreifer, nach dem ersten Nullen, lediglich das ganze nach 60 Minuten wiederholen um die nächste Null zu vordern.
Damit kann der Angreifer den Ziel-Server mit weniger Aufwand länger vom Netz halten.

Ich denke da müsste Global etwas mit den Peeringpartnern passieren um die Quellhosts besser isolieren zu können und diese so früh wie möglich in der Route vom Netz zu nehemen. So eine art automatisiertes Feedback-System. Natürlich ist das aufgrund von IP-Spoofing meistens schwer, aber wenn alle Betreiber sich auf einen Standart einigen könnten wäre das durchaus machbar, zumindest für Großattacken denke ich.


Wie breit sollte der Schutz pauschal pro Port sein?
Für sowas bin ich denke ich der falsche Ansprechpartner da ich mich persönlich mit der Problematik bislang nicht großartig beschäftigt habe.
Wobei man bei 100mbit UDP-Flood nicht gleich die ganze Kiste vom Netz nehmen muss natürlich.

Gruß
Max

Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von »MadMakz« (30. Dezember 2014, 14:04)


TeC

Anfänger

Beiträge: 45

Rootserver vorhanden: Ja

  • Nachricht senden

7

Dienstag, 30. Dezember 2014, 14:14

Hallo Christoph,

zunächst möchte ich auf einen Thread im SSF verweisen: http://serversupportforum.de/forum/dediz…tion-infos.html

In eurem Blog hast du folgendes verkündet:

Zitat von »"http://blog.webtropia.com/2014/10/30/ddos-protection-fuer-server/"«

in der Phase 1 unserer DDoS-Protection können wir bis zu eine halbe Million Pakete/sec Filtern.


Dazu mal eine Stimme aus dem SSF:

Zitat von »"Fusl"«

bei einem Test mit 80Mbits ~40k pps genulled


Wie kann das sein?


Zur eigenen Erfahrung: Wir hatten seit 30. Oktober über 14 Serversperrungen aufgrund eingehender DDoS-Attacken. Eine eMail bezüglich Filterung erfolgte nie, lediglich der Sperrhinweis. Die Größe des Angriffs war also immer weitaus größer und die Protection hat zumindest uns keinerlei Hilfe gebracht.

Auf eine Nachfrage teilte man uns mal mit, der Angriff hätte sich zwischen 1-3 Millionen Pakete pro Sekunde bewegt. Damit solltet ihr eine Größe in der Hand haben.

Sleip

Fortgeschrittener

Beiträge: 378

Beruf: Management

Rootserver vorhanden: Ja

  • Nachricht senden

8

Dienstag, 30. Dezember 2014, 14:29


Ihr schreibt, dass Euch die Protection in unserer Phase 1 unserer DDoS-Protection nicht groß genug ist. Mich würde daher einmal interessieren für den weiteren Ausbau unserer Protection, welche Größenordnung für Euch ausreichend wäre, damit Ihr Eure Server vor DDoS-Attacken geschützt bei uns betreiben könnt.


Hallo Christoph,

freut mich dich auch hier zu sehen, wir hatten schon mal im SSF miteinander zu tun gehabt, im übrigen finde ich Eure öffentliche Art sich in Foren mit den Kunden zu unterhalten und auf Fragen einzugehen echt Spitze. :thumbsup:

Mir als Kunde ist es eigentlich eher wichtig das die "handelsüblichen" DDoS Angriffe um die 3 Gbit/s die man so für kleines Geld kaufen kann nicht gleich zum nullrouten der IP führen und damit zur Nichterreichbarkeit des Servers, ich denke da könnt Ihr Euch an OVH orientieren (Gesamtkapazität der Filter von 480 Gbit/s). Da Ihr keine konkreten Zahlen nennt welche Bandbreite eure Filter abdecken kann man nur mutmaßen, du schreibst etwas von 500.000 Paketen pro Sekunde, die sind mit nur wenig aufwand schnell zu erreichen. Zudem finde ich es komplett sinnfrei von einer DDoS Protection zu sprechen wenn Ihr es nichtmal schafft wie der Kollege über mir schreibt einen 80Mbit/s Flood zu verhindern ohne den Server zu nullrouten, solche Angrife bekomme ich mit vermutlich auch mit meinem vServer für 1.99€ hin der an einer 100Mbit/s Leitung hängt, solange solch kleinen Angriffe zum null-routen führen bleibt Ihr als Anbieter für mich uniteressant.

Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von »Sleip« (30. Dezember 2014, 14:39)


Beiträge: 1 534

Wohnort: Krefeld

Beruf: Student

Rootserver vorhanden: Nein

  • Nachricht senden

9

Dienstag, 30. Dezember 2014, 15:08

Hallo Christoph und ein herzliches Willkommen auch von meiner Seite aus. Erstmal auch Hut ab vor der PR Arbeit, die Ihr leistet.
Auch finde ich es sehr gut, dass man Farbe bekennt anstatt hier inkognito rumzuschwirren.

Auch uns ist es aufgefallen, dass man schon bei kleineren Attacken direkt "genullt" wird.
Auch bei ausgiebigen Tests mit anderen Serverbetreibern ist uns diese "Routine" aufgefallen und das ist genau diese Routine, die den Server für die Zeit unbrauchbar macht.
Bei Diensten die immer erreichbar sein müssen ist das natürlich ein großes Problem. Eine Attacke entfaltet sich meistens mit fortlaufender Zeit, sprich Sie läuft an, erzielt einen Peak und nach dem Stopp sieht man noch die Ausläufer. Uns ist aufgefallen, dass schon beim Start der Tests immer wieder der Server sofort "genullt" wurde bevor die Attacke sich überhaupt entfalten konnte.

Von einem Abfangen der DOS Attacke kann man hier also bedingt reden.
Mir ist schon bewusst, dass es schwierig ist die richtige Balance zu finden und das ist genau der Unterschied zwischen einer guten FW und keiner FW.

Wir waren auch schon bei Anbietern wo man bei einer DOS Attacke nur ein kleines Laggen gemerkt hat die FW sprang sofort an und alles lief weiter wie normal.
Andererseits waren wir auch schon bei Anbietern bei denen der Server sofort genullroutet wurde oder aufgrund eines Fehlers der Server gar nicht mehr ausm Nullrouting rauskam.
Über die Jahre haben wir schon so ziemlich alles mitgemacht.

Ich würde mir von Euch wünschen, dass Ihr genau diese Balance findet. Wäre ein gute Vorsatz für 2015 :P

In diesem Sinne wünsche ich Euch allen schonmal einen guten Rutsch.
LG
GeNeRaLbEaM

Wer Rechtschreibfehler findet, darf sie behalten.

myLoc

Anfänger

Beiträge: 8

Rootserver vorhanden: Nein

  • Nachricht senden

10

Dienstag, 30. Dezember 2014, 15:08

Hallo zusammen,

zunächst einmal vielen Dank für das schnelle Feedback!

Anbei meine Rückmeldung zu den einzelnen Themen:

@ MadMakz: Das Ziel unserer DDoS-Protection (Filterung) ist es möglich wenig Server noch nullrouten zu müssen, sondern es zu schaffen einen großen Teil der DDoS-Attacken zu filtern und so die Erreichbarkeit des attacktierten Servers weiterhin zu gewährleisten. Nullrouten sollten nur noch erfolgen, wenn die Attacke für uns zu groß ist um diese Filtern zu können.

@ TeC: Ist dieses Problem bei der geringen Anzahl von Paketen und Bandbreite auch in den vergangenen Tagen noch aufgetreten? Es gab anfänglich noch Probleme, dass nicht alle Netze von uns in die neue DDoS-Protection integriert werden konnte. Wenn es aktuell noch bei derart geringen Bandbreiten und Paketen zu Sperrungen kommt, dann sende mir bitte einmal Deine Kundennummer ch@webtropia.com zu.

@ Sleip: Es ist sicherlich richtig, dass unere DDoS-Protection von der Größe er nicht mit der von OVH mithalten, kann da OVH einen viel größeren Backbone und viel mehr Server betreibt als wir. Das wir aber letztendes nicht das entscheidende sein für eine gute oder schlechte DDoS-Protection. Unser Ziel ist es den Großteil der alltäglichen Attacken (hier sollten 80 Mbit Attacken mit 40k Paketen sicherlich abgedeckt sein) die auf unsere Kunden eingehen filtern zu können. Außergewöhnlich große Attacken werden wir auch zukünftig komplett blockieren müssen.

Gruß
Christoph

MadMakz

Super Moderator

  • »MadMakz« ist der Autor dieses Themas

Beiträge: 1 877

Wohnort: ~#

Rootserver vorhanden: Ja

  • Nachricht senden

11

Dienstag, 30. Dezember 2014, 15:42

Wird hier nicht das Thema langsam verfehlt? Es war die Rede von SYS/OVH und nicht myLoc.

@Mods verschiebt dies bitte in ein neuen Thread.

Done.

TeC

Anfänger

Beiträge: 45

Rootserver vorhanden: Ja

  • Nachricht senden

12

Dienstag, 30. Dezember 2014, 16:14

Hallo Christoph,

welche Gründe liegen denn vor, den Server für zwei Stunden zu sperren? Andere Anbieter nullen hier meist nur um die 20 - 30 Minuten.

Wenn große Attacken schon nicht gefiltert werden können, sollte zumindest die Sperrzeit nicht all zu groß sein. Erfahrungsgemäß springt das Nullen ja recht schnell an, damit ist der Aufwand für den Angreifer gering, einen Server für zwei Stunden lahmzulegen.

myLoc

Anfänger

Beiträge: 8

Rootserver vorhanden: Nein

  • Nachricht senden

13

Dienstag, 30. Dezember 2014, 16:34

Hallo Tec,

ich werde die genauen Zeiten der Sperrung gerne einmal mit der zuständigen Abteilung diskutieren und Dir dann hierzu ein Feedback zukommen lassen.

Gerne kannst Du mir Deine Mail Adresse unter ch@myLoc.de zukommen lassen, dann kann ich Dir im Laufe der kommenden Woche hierzu ein Feedback geben.


Gruß
Christoph

Nitro

Stammgast

Beiträge: 58

Wohnort: Bayern

Beruf: Zerspanungsmechaniker

Rootserver vorhanden: Ja

  • Nachricht senden

14

Dienstag, 30. Dezember 2014, 17:23

Ich bin seit 3 Jahren myloc Kunde und mitlerweile ist die DOS Protection einfach zu schwach. Ich hatte vor einigen Wochen das Problem das wir permanente Angriffe bekommen haben. Einige Tage später bekam ich eine Nachricht auf meinem TeamSpeakServer mit dem Inhalt :

Zitat

<17:18:23> "Synt3x": hi

<17:19:49> "Synt3x":
just to let you know its me who is attacking your servers or someone is
doing it for me. just because of your poolparty server. take it offline
or enjoy ddos on your other servers 2
Daraufhin habe ich den einzelen Server abgeschaltet da sonst alle drei IPS auf dem rootserver offline waren. Vor kurzem habe ich den Server wiedermal online gestellt und 6 Stunden später waren wir wieder komplett offline. Aktuell ist es so das ich den Server nicht online stellen kann weil ansonsten alles offline geht. Durch die permanente Datenflut wurde ich manuell von einem Supporter genullroutet, die nullrout war 5 Tage aktiv für die ich am Ende keinerlei Entschädigung bekommen habe. Der Support wusste auch nicht mehr weiter mein Ansprechpartner war "Stefan Schwarz" der am Ende nurnoch meinte das wir das Vertragsverhältnis auflösen sollten da myloc nichtmehr die Dienstleistung erbringen kann für die ich bezahle.

Falls ich mal ein anderes Angebot finde das mir den Schutz bietet den ich brauche werde ich zu diesem wechseln obwohl ich damit die alten IP's aufgeben muss.

Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »Nitro« (30. Dezember 2014, 17:29)


myLoc

Anfänger

Beiträge: 8

Rootserver vorhanden: Nein

  • Nachricht senden

15

Dienstag, 30. Dezember 2014, 18:06

Hallo Nitro,

danke für die Schilderung der Probleme die sich aus den Attacken auf Deinen Server bei uns ergeben haben!

Kannst Du mir einmal Deine Kundennummer an ch@myLoc.de zusenden? Ich würde mir die Vorgänge gerne einmal ansehen.


Gruß
Christoph

MadMakz

Super Moderator

  • »MadMakz« ist der Autor dieses Themas

Beiträge: 1 877

Wohnort: ~#

Rootserver vorhanden: Ja

  • Nachricht senden

16

Dienstag, 30. Dezember 2014, 18:14

@Nitro, TS3 logt doch IP's? Schon mal geschaut zu welchem Anbieter diese passt? Wenn er ein DDoS in Auftrag geben hat ist er bestimmt auch zu dämlich TS über einen Proxy zu benutzen. Falls der ISP in EU-Recht fällt direkt deren Abuse anschreiben (manche sperren dann nämlich manchmal deren Heimanschluss) und Anzeige gegen unbekannt mit IP XY erstatten (logs sichern und mitnehmen nicht vergessen, evtl noch eine schriftliche bestätigung über DDoS an deine Server von MyLoc einholen bzw. Email Info über Sperrung aufgrund von Angriff dazupacken).

Edit: Wenn's ne Schwedische IP ist fress ich nen Besen XD

Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »MadMakz« (30. Dezember 2014, 18:27)


Nitro

Stammgast

Beiträge: 58

Wohnort: Bayern

Beruf: Zerspanungsmechaniker

Rootserver vorhanden: Ja

  • Nachricht senden

17

Dienstag, 30. Dezember 2014, 18:24

@myLoc
Die Email ist versendet.

@MadMakz
Ich hab das damals auch den Query aufgemacht, allerdings kam die Verbindung wie auch nicht anders zu erwarten von einem Proxy Server. Ich weiß nicht ob der Verlauf noch solange gespeichert bleibt aber ich kann dir das auch gerne nochmal raussuchen. Allerdings wüsste ich nicht was ich mit einer Proxy Ip anfangen soll.

Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »Impact« (30. Dezember 2014, 20:10) aus folgendem Grund: Bitte keine Fullquotes. Danke.


TeC

Anfänger

Beiträge: 45

Rootserver vorhanden: Ja

  • Nachricht senden

18

Sonntag, 4. Januar 2015, 19:06

Eine Frage hätte ich noch: Ist es immer noch so, dass alle IP-Adressen im Falle eines Angriffes - auf nur eine davon - gesperrt werden?

Beiträge: 1 534

Wohnort: Krefeld

Beruf: Student

Rootserver vorhanden: Nein

  • Nachricht senden

19

Montag, 5. Januar 2015, 14:20

@Makz

Im Regelfall bekommt der Inhaber der IP ein schreiben vom Anbieter. So wird das bei uns gehandelt.
Er wird aufgefordert diese Aktivitäten zu unterbinden. Erst wenn mehrere Beschwerden zur gleichen IP eingehen, dann werden die Jungs vom Abuse Team tätig.

Was aber nicht automatisch bedeutet, dass eine Netzsperre verhängt wird.
LG
GeNeRaLbEaM

Wer Rechtschreibfehler findet, darf sie behalten.

myLoc

Anfänger

Beiträge: 8

Rootserver vorhanden: Nein

  • Nachricht senden

20

Donnerstag, 8. Januar 2015, 15:39

Hallo Tec!

Vielen Dank für Deine Frage zu unserer DDoS-Protection!
Eine Frage hätte ich noch: Ist es immer noch so, dass alle IP-Adressen im Falle eines Angriffes - auf nur eine davon - gesperrt werden?
Wenn eine IP-Adresse auf Deinem Server (egal ob Haupt IP- oder zusätzliche IP-Adresse) angegriffen wird, so wird im Falle, dass unsere Filterung nicht greift, eine Nullroute für die angegriffene IP-Adresse gesetzt. Diese Nullroute gilt nur für die tatsächlich auch angegriffene IP-Adresse und nicht für weitere IP-Adressen, welche auf dem Server hoch gefahren sind. Sprich wenn eine IP-Adresse Deines Servers attackiert wird, ist Dein Server über die anderen IP-Adressen noch weiterhin erreichbar.

Gruß
Christoph