最近出てきたDoS検知用のapacheモジュール、mod_dosdetectorを眺めています(Ver.0.01）。

ただ、280行目付近の [c num=1] client->suspected = 0; int last_count = client->count; client->count = client->count - client->interval * cfg->period; if(client->count < 0) client->count = 0; client->count ++; [/c] がよくわからん。
期間外のアクセスを切り落としていると思うのだけど、 [c num=1] client->suspected = 0; int last_count = client->count; client->count = client->count - client->interval * cfg->threshold; if(client->count < 0) client->count = 0; client->count ++; [/c] な気もするし。