fail2ban хорош в обнаружении известных плохих паттернов, которые повторяются. Множественные ошибки аутентификации ssh соответствуют регулярному выражению и забанены.
fail2ban плохо обнаруживает неизвестные шаблоны и не имеет очевидного механизма срабатывания, основанного только на времени. Отметить все как неудавшееся и разобраться в действиях (которые вам нужно будет написать) кажется ужасным. Повсюду ложные срабатывания, а как насчет людей, которые естественным образом нажимают каждые 15 секунд? Плохо для производительности, отправка всех запросов через джейлы fail2ban. А пользователи, которые хотят меньше походить на ботов, могут маскировать нечеловечески точные схемы синхронизации. wget --случайное-ожидание доступен, например, в инструменте командной строки.
Итак, ваши поиски инструмента продолжаются. Вам нужно будет сделать этот выбор, мы не даем рекомендаций по сбою сервера. Возможно, подойдет централизованная система ведения журналов для анализа и хранения событий. Подумайте о запросах, на которые ему может понадобиться ответить, например, «вывести список сообщений, содержащих некоторый IP-адрес, во всей нашей инфраструктуре». Достаточно причудливые инструменты ведения журнала называют себя системой управления информацией и событиями безопасности (SIEM). Даже более причудливые с автоматизированными рабочими процессами стали называть себя оркестрацией безопасности, автоматизацией и реагированием (SOAR). Однако это может быть слишком много, и, возможно, вы просто выполняете поиск файлов журнала на специальной основе, когда боты кажутся плохими.
Список разрешенных IP-адресов, состоящий из одной цифры, кажется маленьким. Вы уже нашли один сервис (CloudFlare), который сам по себе превосходит этот.Практические списки разрешений не станут меньше из-за постоянной фрагментации пространства IPv4 и добавления служб и приложений.
