« Отговор #10 -: Mar 04, 2010, 09:52 »
Просто ползваш по-къдрави пароли и забраняваш root logins, оттам нека си се пробват. Когато системата се ползва от няколко хора вече е по-сложно, защото може да имат различни разбирания за силна парола.
Съществува и една друга гадост, която е известна на по-малък брой хора. sshd по принцип си има лимит на броя неавтентицирани конекции (по дефолт е 10) и не е много сложно да отвориш толкова на брой връзки до sshd-то и да ги държиш отворени. Когато запълниш connection pool-а дотам че да удариш този лимит, никой повече не може да се върже на сървъра докато някоя от конекциите не таймаутне (което става бързо). Става обаче малко по-бавно ако след отваряне на връзката пратиш SSH протоколен низ, примерно "SSH-2.0-hahor". След пращането му, сървърът е избрал коя версия на ssh протокола да ползва и ти праща ciphersuite и чака клиентския такъв, за да се сдоговорят какви алгоритми да ползват. Проблемът е че веднъж пратиш ли протоколния низ, поради някакво решение на разработчиците, в повечето случаи, връзката таймаутва доста по-бавно (след една до няколко минути). Та лошите само трябва да извъртят един безкраен цикъл с няколко пъти echo "SSH-2.0-hahor" | nc victim 20" и sleep известен период до следващата итерация, резултатът е че victim става недостъпен по ssh докато не спре атаката. Това определено е доста дразнещо ако единственият вариант да си достъпиш машината е remote през ssh - нищо не може да се направи.
Тогава вече има смисъл от разни фокуси с iptables.