Secara otomatis memodifikasi iptables berdasarkan data log Apache untuk memblokir klien yang berperilaku buruk

Apakah ada alat di Linux untuk secara otomatis memodifikasi iptables sehingga dapat memblokir klien yang bermasalah berdasarkan analisis dari log Apache? Saya membantu menjalankan situs yang terkadang kewalahan oleh permintaan dari pengguna tertentu. Satu-satunya solusi adalah menambahkan entri di iptables untuk memblokir klien yang menyinggung. Biasanya sudah terlambat pada saat saya dapat bereaksi secara manual - karenanya, saya ingin beberapa mekanisme berbasis aturan untuk memodifikasi iptables. Saya akan menebak bahwa beberapa jenis logika fuzzly atau analisis statistik akan diperlukan.

Anda dapat menggunakan sesuatu seperti fail2ban , yang IIRC, memiliki pemeriksa log Apache.

Anda mungkin ingin mempertimbangkan untuk menggunakan iptables untuk menilai batas koneksi yang masuk. Yang dalam pengaturan paling dasar akan memberi Anda kemampuan untuk membatasi koneksi masuk ke nomor per menit.

Misalnya, Anda mungkin ingin hanya mengizinkan 10 ping per menit dari satu alamat IP. Memang mendapatkan sedikit lebih canggih dari itu, dengan opsi untuk menetapkan batas burst di atas batas rata-rata jangka panjang.

Beberapa instruksi yang baik tentang pengaturannya http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_with_iptables/

Lihat OSSEC . Penganalisa file log terbaik yang pernah saya gunakan. Ini juga mendukung respons aktif berdasarkan analisis.