I miei registri server vengono riempiti con Connection Reset by xxx.xxx.xxx.xxx [preauth] :
$ cat /var/log/auth.log | grep 'Connection Reset'
Mar 13 19:52:30 server sshd[29366]: Connection reset by xxx.xxx.xxx.xxx [preauth]
Mar 13 19:52:33 server sshd[29366]: Connection reset by xxx.xxx.xxx.xxx [preauth]
Mar 13 19:52:41 server sshd[29366]: Connection reset by xxx.xxx.xxx.xxx [preauth]
Mar 13 19:52:50 server sshd[29366]: Connection reset by xxx.xxx.xxx.xxx [preauth]
Mar 13 19:52:53 server sshd[29366]: Connection reset by xxx.xxx.xxx.xxx [preauth]
...
Questo va avanti per ore e ore. L'indirizzo IP in questione non ha tentato alcun tentativo di accesso legittimo.
A quanto ho capito, la reimpostazione della connessione è approssimativamente analoga alla composizione del telefono di qualcuno, quindi immediatamente al riaggancio. Quindi quale obiettivo sta cercando di raggiungere questa persona?
(Come domanda secondaria, esiste un'espressione regolare fail2ban che rileverà questo comportamento e lo interromperà?)