Apache: mitigando ataque DOS con fail2ban

Básicamente configurando de este modo fail2ban conseguimos parar a un atacante que haga exageradas peticiones GET o POST que podrían dejar frito nuestro servidor. Añadimos las siguientes líneas al archivo de conguración jail.local

[http-dos]
enabled = true
filter = http-dos
action = iptables-multiport[name=http-dos,port="80,443"]
sendmail-whois[name=http-dos, dest=alertas@micorreo.com, sender=alertas@micorreo.com, sendername="Fail2Ban"]
logpath = /opt/lampp/logs/access_log
maxretry = 300
findtime = 300
bantime = 300

maxretry: Especifica cuantos intentos vamos a dejar antes de banear la ip.
findtime: Es el período de tiempo en segundos que estamos contando los “reintentos” (300 segundos = 5 minutos).
bantime: Es el tiempo que debemos esperar para liberar las peticiones, osea el tiempo que la IP estará baneada, en este caso se trata de 5 minutos.

Ahora creamos el archivo de filtrado en /etc/fail2ban/filters.d/http-dos.conf y dentro de el colocamos el siguiente contenido:

[Definition]
failregex = .*\"(GET|POST).*
ignoreregex =

Reiniciamos fail2ban

service fail2ban restart

Una manera sencilla de comprobar el funcionamiento de nuestra configuración anterior es utilizando ab (Apache Benchmark - parte del paquete apache2-utils) , así:

ab -n 500 -c 10 http://tu-sitio-web-punto-com:80/

Fuente:http://rootear.com/seguridad/mitigar-ataques-ddos-fail2ban