Modifique automaticamente as tabelas de ip com base nos dados de log do Apache para bloquear clientes mal comportados

Existe alguma ferramenta no Linux para modificar automaticamente o iptables de modo a bloquear um cliente problemático com base em uma análise do log do Apache? Ajudo a executar um site que às vezes fica sobrecarregado com solicitações de um usuário específico. A única solução é adicionar uma entrada no iptables para bloquear o cliente infrator. Geralmente é tarde demais para que eu possa reagir manualmente - portanto, gostaria que algum mecanismo baseado em regras modificasse as tabelas de ip. Eu acho que seria necessário algum tipo de lógica confusa ou análise estatística.

Você pode usar algo como fail2ban , que o IIRC, possui um verificador de log do Apache embutido.

Você pode considerar o uso de iptables para limitar a taxa de conexões de entrada. O qual, na configuração mais básica, permitirá limitar as conexões de entrada a um número por minuto.

Por exemplo, convém permitir apenas 10 pings por minuto a partir de um único endereço IP. Ele fica um pouco mais sofisticado do que isso, com a opção de definir limites de burst além dos limites médios de longo prazo.

Algumas boas instruções sobre como configurá-lo http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_with_iptables/

Confira OSSEC . Melhor analisador de arquivos de log que já usei. Ele também suporta resposta ativa com base na análise.