L'attacco DDoS è distribuito Denial of Service. Aprendo una grande quantità di connessioni al server, l'utente malintenzionato può raggiungere il limite massimo di richieste di autenticazione parallele di ssh
server (definito in sshd_config
variabile MaxStartups
) e impedire l'esecuzione di richieste di autenticazione valide. Inoltre, una sessione non autenticata di un utente malintenzionato viene eliminata dopo il tempo definito come LoginGraceTime
in sshd_config
(predefinito 120s).
Fortunatamente, questa funzione è implementata in un modo che dovrebbe limitare gli attacchi DDoS utilizzando "random early drop" utilizzando tre valori: "start: rate: full". Il valore predefinito è 10:30:100
, che si traduce in:
sshd(8) will refuse connection attempts with a probability of “rate/100” (30%) if there are currently “start” (10) unauthenticated connections. The probability increases linearly and all connection attempts are refused if the number of unauthenticated connections reaches “full” (100).
(dalla pagina di manuale per sshd_config(5)
)
Ciò significa che l'attaccante non può "uccidere" il tuo sistema, ma a un certo punto, dovrai riprovare prima di connetterti.