Sto notando sul mio server digitale oceano, che sto ricevendo un volume elevato di tentativi di autenticazione. Non ho alcuna password in quanto utilizzo l'autenticazione della chiave, quindi non sono preoccupato per un'interruzione. Ma un determinato attaccante può praticamente uccidere un sistema inviando richieste di autorizzazione?
C'è qualcosa che puoi fare per proteggerti da attacchi ddos come questo?
L'attacco DDoS è distribuito Denial of Service. Aprendo una grande quantità di connessioni al server, l'utente malintenzionato può raggiungere il limite massimo di richieste di autenticazione parallele di ssh server (definito in sshd_config variabile MaxStartups ) e impedire l'esecuzione di richieste di autenticazione valide. Inoltre, una sessione non autenticata di un utente malintenzionato viene eliminata dopo il tempo definito come LoginGraceTime in sshd_config (predefinito 120s).
Fortunatamente, questa funzione è implementata in un modo che dovrebbe limitare gli attacchi DDoS utilizzando "random early drop" utilizzando tre valori: "start: rate: full". Il valore predefinito è 10:30:100 , che si traduce in:
sshd(8) will refuse connection attempts with a probability of “rate/100” (30%) if there are currently “start” (10) unauthenticated connections. The probability increases linearly and all connection attempts are refused if the number of unauthenticated connections reaches “full” (100).
(dalla pagina di manuale per sshd_config(5) )
Ciò significa che l'attaccante non può "uccidere" il tuo sistema, ma a un certo punto, dovrai riprovare prima di connetterti.