Estoy notando en mi servidor digital ocean, que estoy obteniendo un gran volumen de intentos de autenticación. No tengo contraseñas, ya que uso sshe key auth, por lo que no me preocupa una interrupción. ¿Pero un atacante determinado básicamente puede matar un sistema al enviar solicitudes de autenticación?
¿Hay algo que pueda hacer para protegerse contra ataques de ddos como este?
El ataque DDoS se distribuye denegación de servicio. Al abrir una gran cantidad de conexiones a su servidor, el atacante puede alcanzar el límite máximo de solicitudes de autenticación paralelas de ssh server (definido en sshd_config variable MaxStartups ) e impedir que las solicitudes de autenticación válidas fallen. Además, una sesión no autenticada de un atacante se elimina después del tiempo definido como LoginGraceTime en sshd_config (120s por defecto).
Afortunadamente, esta función se implementa de una manera que debería limitar los ataques DDoS mediante el uso de la "caída temprana aleatoria" utilizando tres valores: "inicio: tasa: completa". El valor predeterminado es 10:30:100 , que se traduce en:
sshd (8) rechazará los intentos de conexión con una probabilidad de "tasa / 100" (30%) si actualmente hay "inicio" (10) conexiones no autenticadas. La probabilidad aumenta linealmente y todos los intentos de conexión se rechazan si el número de conexiones no autenticadas alcanza el "total" (100).
(de la página del manual para sshd_config(5) )
Esto significa que el atacante no puede "matar" tu sistema, pero en algún momento, deberías volver a intentarlo antes de conectarte.