Мы используем основанные на оборудовании Cisco брандмауэры, а не сервер основанные на программном обеспечении, и они не упускают шаблоны действия и блокируют их долгое время (30-90 дней iirc). Я уверен, что другие брандмауэры могут сделать это, но не имеют опыта. В основном то, что я говорю, - то, что, если Ваш брандмауэр может использовать правила искать злоупотребление затем, Вы будете видеть преимущество просто блокирование известных преступников.
Если это стоит, спорно, и я действительно не знаю.
До Вашей жалобы на то, что они происходят из другого дюйм/с и можно только реагировать путем блокирования IP... Можно зафиксировать это с обратным прокси как Apache в обратном режиме прокси (с чем-то как mod_proxy / mod_security) или HAProxy. В основном, если Вы знаете шаблоны заранее, можно просто отбросить те запросы, прежде чем они даже доберутся до веб-сервера.
Кроме того, некоторое время словаря эти брандмауэры являются Брандмауэрами веб-приложения вызова (WAFS). Они воздействуют на Уровень 7 путем исследования Запросов HTTP и ответов.
Вы могли всегда брать часть ПРЕДСТАВЛЕНИЯ В ВИДЕ СТРОКИ/ПОЛУЧЕНИЯ, Вы находите и так как Вы уже имеете строковый модуль для iptables, регистрируете/отбрасываете те пакеты и потенциально автоматизируете добавление их к брандмауэру со сценарием.
вообще говоря, я сказал бы, что Вы хороши для блокирования их дюйм/с, потому что они, возможно, были скомпрометированы так или иначе, и если они были скомпрометированы, и Вы ловите одно нападение, Вы могли бы скучать по другому.