Sites grandes que precisam proteger seus aplicativos usam algo chamado de Network IDS (Intrusion Detection System), também conhecido como IPS (Intrusion Prevention System), que pode rejeitar pacotes com base em determinados critérios (IP de origem, comportamento, impressão digital, etc.) Muitos IDSs permitem que você solte um pacote no chão (por exemplo, sem resposta), encerre uma sessão TCP / UDP imediatamente, adicione você a uma lista negra, direcione a sessão para um honeypot, etc. Este tópico pode ser extremamente complicado e muito interessante: a Cisco e outros vendem aparelhos caros para isso, alguns administradores de segurança gastam sua carreira fazendo isso, etc. Sites grandes como Facebook, Twitter e Google têm IDSs extremamente complicados que fazem coisas muito interessantes.
Um IDS é um dispositivo no nível da rede, não no nível do aplicativo. Um IDS no nível do aplicativo ainda está sujeito a vários outros ataques, como DDOS, TCP & Ataques de nível IP, etc.
No entanto, nem todos podem implementar um IDS de rede. No nível do Apache, muitas pessoas usam o mod_security como um IDS em nível de aplicativo. Por padrão, o mod_security já vem com a capacidade de proteger um site de vários ataques comuns e pode ser personalizado para fazer coisas específicas que você deseja. O mod_security pode ser executado no 'Modo permissivo', no qual ele avisará sobre ataques e imprimirá o que ele acha que deveria fazer, e 'modo de bloqueio', no qual bloqueia ativamente os ataques percebidos. De seu FAQ:
ModSecurity™is an open source, free web application firewall (WAF) Apache module. With over 70% of all attacks now carried out over the web application level, organizations need all the help they can get in making their systems secure. WAFs are deployed to establish an external security layer that increases security, detects and prevents attacks before they reach web applications. It provides protection from a range of attacks against web applications and allows for HTTP traffic monitoring and real-time analysis with little or no changes to existing infrastructure.
Eliminar uma sessão nesse nível na pilha OSI é um pouco desajeitado, mas algumas pessoas fazem algo próximo. Consulte Como eliminar todas as solicitações usando mod_security
mod_security nem sempre é uma perspectiva fácil, mas o mod_rewrite também pode ficar muito complicado. O mod_security tem muita documentação e uma comunidade experiente de usuários para usar.