Danke für Eure zahlreichen Antworten, ich hänge mich mal hier ein.

meine erste Frage ist:

Hast Du eine offene Zielgruppe, oder eine geschlossene?
Im zweiten Fall kämem die Zugriffe ja sowieso nur bis zur Zugriffskontrolle/Authorisation und dann zum Dispatcher.

Beides. Ich habe ca. 30 registrierte Nutzer, die Services hinter einem Login nutzen. Dieser Bereich ist auch nicht betroffen. Dies gilt nur für den öffentlichen Bereich.

meine zweite Frage:

wieviele ordentliche Zugriffe™ hättest Du schätzungsweise noch, wenn Du die Bots total aussperren würdest? Gemeint ist: woher kennen die ordentlichen™ Besucher deine Seite?

Ordentliche Zugriffe bewegen sich in der Größenordnung von bis zu 1000 Besuchern im Monat. Die Seite ist fast ausschließlich regional interessant, und deren URL ist über einen alternativen Printweg bekannt. Die Zugriffszahl würde sich nur aus Bequemlichkeitsgründen (nicht gebookmarkte Startseite) verringern.

dritte Frage:

Wie sieht dein Marketingplan (Pos: Kommunikation) aus?

Nun, Marketing klingt sehr nach (kommerziellem) Business. Die Seite ist allerdings eher als zusätzlicher Digitalkanal aufzufassen, was den öffentlichen Bereich anbelangt. Für die zugriffsbeschränkten Dienste gilt dies nicht, aber deren Benutzer sind allesamt mit vollständigen Daten bekannte Pflichtmitglieder. Tatsächlich ist dies der Bereich, der von DoS-Angriffen oder anderer Serverüberlastung am schmerzlichsten betroffen wäre.

Lösungsideen

Wenn Du nur eine geschlossene Zugriffsgruppe bedienen willst, schreibe ein Log für Fehlversuche. Dieses kannst Du dann bei fail2ban anmelden. Somit würden mehrfache Fehlversuche über die IP unterbunden. (Achtung: dies ist nur ein statistisches, also prozentual fehlerträchtiges Mittel). Eine Stufe schärfer wäre dann noch die Einrichtung des Filters "recidive" für fail2ban. Damit könntest Du Mehrfach-Mehrfach-Verletzer (sic!) für längere Zeit bis dauerhaft aussperren.

Ad Infinitum fürde dies dann zum LAN bzw. Einzelplatz führen.

Tatsächlich habe ich eine Art Fehlersystem implementiert, ursprünglich als Ersatz für fehlende Rückmeldungen. Da die Aufrufszahlen in der Vergangenheit überschaubar waren, konnte ich das mit einzelnen Emails lösen. Ich habe dafür an mehreren Stellen Kontrollmöglichkeiten. Beispielsweise ein Skript, das auf den Aufruf einer Errorpage reagiert. An anderer Stelle habe ich einen Zähler, der ursprünglich die administrativ genutzten IP's aus der Zählung heraushalten sollte.

Theoretisch könnte ich ohne Verluste eine sehr restriktive Zugangskontrolle einführen, aber um diesen Aufwand zu betreiben (Geo-IP-basierte Sperren, vielleicht sogar "unsichtbare" Authentifizierungen via permanentem Cookie oder datenschutzrechtlichem Teufelszeug - Stichwort tracking), bin ich noch nicht wütend genug, um es mal salopp auszudrücken.

Web bedeutet teilen

Der philosophische Ansatz des WWW bedeutet aber teilen!

Durchaus ein Grund, nicht den "einfachen Weg" zu wählen.

Gegen teilen habe ich nichts einzuwenden. Außer, wenn das Teilen bedeutet, dass jedes erwünschte Teil von mehr als tausend fast sinnfreien beiseite gedrückt wird. Noch ist es nicht bedrohlich - aber ich habe auch etwas gegen Verschwendung, und 0,1% Nutzen sind nicht sinnvoll, vom Stromverbrauch ganz abgesehen.

Überlege also genau, welche Informationen für welche Zielgruppe frei verfügbar sein sollen und richte den Server und den Host (z. B. mit Logging und fail2ban) dafür gezielt ein.

Prinzip

Das Prinzip dahinter ist aber die passende (Ent)schichtung der Aufgaben. Eine PHP-Applikation könnte zwar alle Schichten bedienen, sollte dies aber nicht tun.

Glück Auf
Tom vom Berg