Los registros de mi servidor se están llenando con Connection Reset by xxx.xxx.xxx.xxx [preauth]
:
$ cat /var/log/auth.log | grep 'Connection Reset'
Mar 13 19:52:30 server sshd[29366]: Connection reset by xxx.xxx.xxx.xxx [preauth]
Mar 13 19:52:33 server sshd[29366]: Connection reset by xxx.xxx.xxx.xxx [preauth]
Mar 13 19:52:41 server sshd[29366]: Connection reset by xxx.xxx.xxx.xxx [preauth]
Mar 13 19:52:50 server sshd[29366]: Connection reset by xxx.xxx.xxx.xxx [preauth]
Mar 13 19:52:53 server sshd[29366]: Connection reset by xxx.xxx.xxx.xxx [preauth]
...
Esto continúa durante horas y horas. La dirección IP en cuestión no ha intentado ningún intento de inicio de sesión legítimo.
Según tengo entendido, un restablecimiento de la conexión es más o menos análogo a marcar el teléfono de alguien y luego colgarlo de inmediato. Entonces, ¿qué objetivo está tratando de lograr esta persona?
(Como una pregunta secundaria, ¿hay un regex fail2ban que detectará este comportamiento y lo detendrá?)