" fail2ban által elhárított támadásnak vélsz egy kutyaközönséges 404-es hibával végződő HTTP kérést. " - ha adott forrásból olyan kérés(ek) érkeznek, amik nincsenek az adott szerveren, _és_ valamilyen webes alkalmazás sérülékenységet tartalmazó részét szeretnék próbálgatni, az nem a kutyaközönséges 404, úgyhogy teljesen jogos, ha támadási mintának tekinti, és már IP-szinten tiltja a forrást. Ráadásul ezzel azoknak a kutya közönséges 404-gyel végződő kéréseket sem kell feldolgozni a szervernek.
Egyébként meg fordítsuk meg a kérdést: Ha logban látsz (szemmel, splunk kiböki, stb) támadásra utaló kérések sorozatát, akkor mit teszel? Reaktívan elkezdet a támadást valahol megfogni egy szűréssel, nem? Vagy azt mondod, hogy elég figyelni rá, mert úgyis sok erőforrás vana támadói oldalon, fölösleges bármilyen módon szűrni a forgalmat?