[plamo:25657] Re: ssh dos

[早間]

早間です。

> 
> いわゆる syn attack ですね。
> 
> こいつは client port を変えながら、syn を udp のごとく
> たたきまくります。昨今の BroadBand 環境だと、tcpdump を
> しても動体視力が良くないと見えないぐらい。
>

防御はそれぞれに必要だと思います。

ssh の デーモンは、Plamo の設定では最大10接続を許可しています。
また、syn atack の様な境遇を予測しているとは思えません。そのため
簡単に、最大値のデーモンを起動させてしまいますし、デーモンの生存時
間も判然としません。

その点、昔から様々なアタックに悩まされている、web サーバや MTA な
どの機能の多くが外部からのアタック対策に費やされています。
その点、ssh は問題です。

また、ログ自体も接続元の IP が判りにくいです。

SSH は自らの暗号の安全性を過信しているのでは無いでしょうか。

暗号を破らずに、妨害する手合いが増えて来たのです。

MTA でも、http でも、このような妨害があると IP を含んだログを残し
ています。 
ssh はパスワードエラーを起こしても IP を含んだログを残しません。

現段階では、こちらが効果的に拒否をするとアタックを停止してくれます。
相手もアタックを確認する手段が無いようです。

種々の防御を試みましたが、iptables と同じ程度しか効果が出ません。
この方法は、今は「お買い得」です。i.e. 安い、早い、効果がある。
おまけに、相手IPも特定できます。

-- 早間 義博