Можно ли с помощью iptables ограничить входящие пакеты по IP-адресу источника на основе среднего количества входящих пакетов для всех IP-адресов источника? Если да, то как?
Я хотел бы ограничить количество новых IP-адресов средним числом входящих пакетов всех предыдущих IP-адресов в среднем с небольшим всплеском.
Это сделано для того, чтобы не увеличивать лимит пакетов при росте количества запросов, поэтому это должно быть своего рода очень простым обнаружением аномалии.
Это больше работа QOS в сочетании с iptables. По сути, вы используете цель MARK, чтобы привязать ее к правилам QoS, установленным с помощью tc (из пакета iproute).