Você já olhou para Fail2Ban ? Foi criado para resolver exatamente o problema que você descreve. Você também pode endereçar isso via iptables diretamente conforme descrito neste post
Um de nossos servidores gerou umaccess.log de 19Gb% no espaço de cerca de 24 horas e o servidor caiu nesse período. Gostaríamos de implementar algumas medidas para proteger contra ataques de DDOS, mas olhando para o log de acesso, existem centenas de GET solicitações do endereço IP do servidor real puxando arquivos em cache de mod_pagespeed .
Eu tenho procurado este guia IP tables , mas pelo que eu posso reunir, o servidor em si é o principal culpado de conexões simultâneas (freqüentemente acima de 200 por vez) ou o acesso é de muitos diferentes Endereços IP (principalmente Espanha e Alemanha).
No momento em que escrevo isto, o IP do servidor tem 225 conexões simultâneas, embora haja apenas dois visitantes navegando no site (um sendo eu). Os logs contêm apenas toneladas desses pedidos GET do Serf / 1.1.0 mod_pagespeed / 1.9.32.1-4238.
Li muitas outras perguntas da SE / SF, incluindo a referência ao canônico, e estou tendo em mente que isso pode parecer uma opinião / solicitação de recomendações, mas estou realmente inseguro sobre o que preciso analisar para proteger contra o que está acontecendo neste servidor.
O servidor está executando o Linux CentOs 6.4 x86_64 e o Apache.
Desde que postamos essa pergunta, realizei todas as etapas em este guia .
Você já olhou para Fail2Ban ? Foi criado para resolver exatamente o problema que você descreve. Você também pode endereçar isso via iptables diretamente conforme descrito neste post