Egyébként meg fordítsuk meg a kérdést: Ha logban látsz (szemmel, splunk kiböki, stb) támadásra utaló kérések sorozatát, akkor mit teszel? Reaktívan elkezdet a támadást valahol megfogni egy szűréssel, nem? Vagy azt mondod, hogy elég figyelni rá, mert úgyis sok erőforrás vana támadói oldalon, fölösleges bármilyen módon szűrni a forgalmat?
Szarok rá általában, ha tudom, hogy nincs publikus zero day sebezhetőségem, a normál forgalomhoz képest annyira lófasz se, hogy nincs értelme reagálni rá. A DDoS-t megfogja a szolgáltató, a célzott támadáshoz meg úgyse ér semmit a fail2ban. Kár rá akár egy percet is pazarolni, hogy false negative és false positive kéréseket adminisztráljak, és foglalkozzak azzal, hogy egy-egy furcsa hibát vajon a fail2ban okoz, mert általában okoz, ha van.
Ha van publikus zero day sebezhetőségem, ami pillanatnyilag nem javítható, de van rá workaround, akkor azt alkalmazom, amíg a javítás meg nem történik.
Ha van nem publikus zero day sebezhetőségem, akkor nyilván nem tudok róla, megtörnek mit a szart, ha van fail2ban, ha nincs.
Én nem látok értelmes helyet a fail2ban számára. DDoS ellen nem véd. Ad-hoc puhatolózások ellen nem véd, mert ezek nem potenciális támadások. Célzott támadás ellen nem véd, mert könnyen kikerülhető. Placebo.