Estoy implementando un servicio web y tengo un proceso de daemon que detecta repetidos intentos fallidos de inicio de sesión desde cualquier fuente dada. Si se producen demasiados, la dirección IP se bloquea durante un tiempo determinado.
Esto es similar a los paquetes fail2ban o (ahora en desuso) denyhosts.
Mi preocupación es si el mal actor está detrás de una puerta de enlace NAT para una organización grande (una universidad o Fortune 1000 por ejemplo), entonces la prohibición afectará a todos los que están detrás de esa puerta de enlace, no solo a la única estación que ejecuta los ataques de diccionario.
¿Hay algún método viable para evitar ese efecto secundario?
ACTUALIZACIÓN: cambié el título según la sugerencia y se me ocurre que este problema se aplica a casi cualquier tipo de ataque, no solo al ataque del diccionario que describí.