我试图寻找这个; 我发现很多人问,但我没有成功地find一个工作(对我来说)的解决scheme。
我有一个应用程序logging每个连接的自定义日志文件。
当fail2ban在5秒钟内从同一个ip检测到超过10个连接时,它将禁止“攻击者”600秒。
攻击者在禁止之前可以build立11/20个连接(没关系)。
之后,我得到xxx.xxx.xxx.xxx already banned fail2ban.log消息每行> 11.每秒有一个这样的消息; 这就像fail2ban禁止后每个具有相同IP的日志行一样。
但与此同时,另一个来自另一个IP的攻击者又成功地连接了多次(即50次),因为fail2ban正在分析来自以前IP(每秒1个)的日志行。
依此类推…虽然fail2ban处理过去的日志logging,但新的攻击者可以创build数千个连接。 这是渐进的,只有前几个攻击者被禁止。
我现在正在分析从1小时或更长时间以前build立连接的线路。