Linux 上是否有任何工具可以根据对 Apache 日志的分析自动修改 iptables 以阻止有问题的客户端?我帮助运营一个网站,该网站有时会被特定用户的请求淹没。唯一的解决方案是在 iptables 中添加一个条目来阻止有问题的客户端。当我能够手动做出反应时,通常为时已晚 - 因此,我希望有一些基于规则的机制来修改 iptables。我猜某种模糊逻辑或统计分析是必要的。
答案1
你可以使用类似失败2ban据我回忆,它内置有一个 Apache 日志检查器。
答案2
您可能要考虑使用 iptables 来限制传入连接的速率。其最基本的设置将使您能够将传入连接限制为每分钟一定数量。
例如,您可能希望每分钟仅允许来自单个 IP 地址的 10 次 ping。它确实比这更复杂一些,可以选择在长期平均限制之上设置突发限制。
一些关于设置的良好说明http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_with_iptables/
答案3
查看操作系统安全评估中心。我用过的最好的日志文件分析器。它还支持基于分析的主动响应。