Abbiamo un nuovo client con un server web che sta facendo troppi abusi sui proxy. Access_log è pieno di questo tipo di righe:
64.187.XXX.XXX - - [12/May/2015:10:32:10 -0300] "GET https://ads.exoclick.com:443/ads.js HTTP/1.0" 404 204 "http://www.salefutures.com/?p=1349" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/532.0 (KHTML, like Gecko) Chrome/4.0.206.1 Safari/532.0"
Ovviamente ho pensato prima su fail2ban di bandire tramite IPtables ogni IP incriminato, e sì, ha funzionato, ma stiamo ricevendo così tante richieste che fail2ban ha iniziato a mangiare RAM come un matto.
Oltre a fail2ban funziona OK, bannando gli IP, ma il problema è che questo webserver è una VM con molte risorse e dietro di esso c'è un firewall D-Link DFL-2560G.
Il fatto è che questo tipo di richieste sta generando in Layer 7 (come HTTP va nel livello applicazione) e sta dimostrando di essere molto difficile filtrare questo tipo di richieste prima che raggiungano il server web. Inoltre, il modulo di filtro dell'app di questo server necessita di una licenza che non viene acquistata dal client, quindi mi lascia poche opzioni e non so davvero da dove iniziare.
Qualcuno può darmi qualche idea?