Ugye külön szerveren vannak a logok, nem a webszerveren?
Az én megoldásom eltérő az itt felsoroltaktól.. Haproxy, amikor egyébként jól működik a rendszer? Na ne..... A kérdező csupán védelmet akar a rosszfiúk ellen.
No akkor írjunk egy scriptet. :-) Elemezni kell a logokat és jól áttekinthető (shellscriptből vagy phpval legenerálni valami weboldalt) statisztikát gyártani belőlük, percenként, óránként, naponként leosztva.
Ha ez megvan, azonnal látod a legitim, rendszeresen látogató hostokat. (Pl. proxy.otpbank.hu + tsai.) (Egyébként azt is el tudnám képzelni, hogy ezen a logszerveren futó stat weblapon a hostra való kattintással azonnal blokkolhatom azt egy iptables szabály beillesztésével.)
A scriptedbe ezeket a jófiúkat belegyógítod whitelistre vagy skiplistnek is nevezhetném. A többi, X hit / Y idő-t meghaladó kérést produkáló hostot pedig automatikusan Z időre egy DROP-ra beillesztett iptables szabállyal elintézed, az egész rendszert pedig futtatod cronból P percenként. Persze mindig csak a logfájl azon utolsó sorait nézi át, amiket még nem látott, így gyorsabb lehet a feldolgozás. Ezért írtam, hogy külön szerveren legyen, ne a webszerveren. A feldolgozott logfájl meg mehet SQL-be a későbbi könnyebbség miatt VAGY már eleve SQL-be logolni. És vannak még ötleteim. :)
Biztos van erre az egészre már készen is valami progi. Esetleg aki ismer ilyet, megoszthatná. Fail2ban egy félnek jó, de ezen kívül?
\o\ |o| /o/