Modifica automaticamente iptables in base ai dati di registro di Apache per bloccare i client con comportamenti scorretti

Esiste uno strumento su Linux per modificare automaticamente iptables in modo da bloccare un client problematico sulla base di un'analisi del registro di Apache? Aiuto a gestire un sito che a volte viene sopraffatto dalle richieste di un determinato utente. L'unica soluzione è aggiungere una voce in iptables per bloccare il client offensivo. Di solito è troppo tardi quando posso reagire manualmente, quindi vorrei un meccanismo basato su regole per modificare iptables. Immagino che sarebbe necessaria una sorta di logica fuzzly o analisi statistica.

Puoi usare qualcosa come fail2ban , che IIRC, ha un controllo log di Apache integrato.

Si consiglia di utilizzare iptables per limitare le connessioni in entrata. Che nella sua impostazione più semplice ti darà la possibilità di limitare le connessioni in entrata a un numero al minuto.

Ad esempio, potresti voler consentire solo 10 ping al minuto da un singolo indirizzo IP. Diventa un po 'più sofisticato di così, con la possibilità di impostare limiti di scoppio oltre i limiti medi a lungo termine.

Alcune buone istruzioni su come configurarlo http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_with_iptables/

Dai un'occhiata a OSSEC . Il miglior analizzatore di file di registro che ho usato. Supporta anche la risposta attiva basata sull'analisi.