Estou vendo um padrão de vários URLs semelhante às seguintes linhas nos registros nginx recentemente.
GET /
GET /somepath/
GET /otherpath/
GET /
GET /somepath/
GET /otherpath/
...
Já estou usando o fail2ban para determinados URLs, mas não consegui encontrar uma solução para esse padrão. Regras como "solicitações repetitivas mais de n vezes por segundo para este URL" não são adequadas para esse comportamento, pois o bot faz 0-3 solicitações por segundo para o mesmo URL e essa regra também bloquearia vários usuários compartilhando o mesmo número de ip.
É possível aplicar uma regra em fail2ban para vários padrões de URL?
Tags fail2ban