fail2ban rất tốt trong việc phát hiện các kiểu xấu đã biết xảy ra lặp đi lặp lại. Nhiều lỗi xác thực ssh khớp với biểu thức chính quy và bị cấm.
fail2ban rất tệ trong việc phát hiện các mẫu không xác định và không có cơ chế rõ ràng để kích hoạt chỉ dựa trên thời gian. Gắn cờ mọi thứ là không thành công và phân loại nó thành các hành động (mà bạn sẽ cần phải viết) có vẻ thật kinh khủng. Kết quả dương tính giả ở khắp mọi nơi, còn những người có xu hướng nhấp chuột cứ sau 15 giây một cách tự nhiên thì sao. Không tốt cho hiệu suất, gửi tất cả các yêu cầu thông qua fail2ban bỏ tù. Và những người dùng muốn trông ít giống bot hơn có thể che giấu các kiểu thời gian chính xác một cách vô nhân đạo. wget --random-wait có sẵn trong một công cụ dòng lệnh chẳng hạn.
Vì vậy, tìm kiếm của bạn cho một công cụ tiếp tục. Bạn sẽ cần thực hiện lựa chọn này, chúng tôi không đưa ra khuyến nghị về Lỗi máy chủ. Có thể một hệ thống ghi nhật ký tập trung là phù hợp để phân tích cú pháp và lưu trữ các sự kiện. Hãy suy nghĩ về các truy vấn mà nó có thể cần trả lời, chẳng hạn như "liệt kê các thư chứa một số IP trên toàn bộ cơ sở hạ tầng của chúng tôi". Các công cụ ghi nhật ký đủ lạ mắt tự gọi mình là thông tin bảo mật và quản lý sự kiện (SIEM). Ngay cả những người ưa thích hơn với quy trình làm việc tự động hóa cũng đã bắt đầu tự gọi mình là điều phối, tự động hóa và phản hồi bảo mật (SOAR). Tuy nhiên, đây có thể là quá nhiều và có thể bạn chỉ grep các tệp nhật ký trên cơ sở đặc biệt khi các bot có vẻ không ổn.
Danh sách cho phép IP có kích thước một chữ số có vẻ nhỏ. Bạn đã tìm thấy một dịch vụ (CloudFlare) mà chính nó đã vượt qua điều đó.Danh sách cho phép thực tế sẽ không nhỏ hơn, với không gian IPv4 bị phân mảnh và thêm các dịch vụ và ứng dụng.
