我尝试搜索这个问题;我发现很多人在问,但我没有找到一个可行的(对我来说)解决方案。
我有一个应用程序,它将每个连接记录在自定义日志文件中。
当 fail2ban 在 5 秒内检测到来自同一 IP 的超过 10 个连接时,它会禁止“攻击者”600 秒。
实际情况是,攻击者在被禁止之前可以建立 11/20 个连接(这没关系)。
之后我收到了每行 > 11 的xxx.xxx.xxx.xxx already banned消息fail2ban.log。每秒都有一条这样的消息;就像 fail2ban 在禁令之后花 1 秒钟处理具有相同 IP 的每一行日志一样。
但与此同时,我有另一个来自另一个 IP 的攻击者,他成功连接更多次(即 50 次),因为 fail2ban 正在分析来自前一个 IP 的日志行(每秒 1 条)。
等等... 当 fail2ban 处理日志中的过去行时,新攻击者会建立数千个连接。这是渐进式的,只有前几个攻击者会被禁止。
我现在让 fail2ban 分析 1 小时或更早之前建立的连接的线路。