私のサーバーは私のSSHポートで絶えず無差別代入攻撃を受けています。
私は非標準のSSHポート、ポートスキャナのファイアウォールブラックリストを使用していますが、SSHポートで問題となるIPアドレスを禁止するためにカスタムfall2banに似たスクリプトを使用しています。ところが、これらの攻撃は分散しており、攻撃IPをブロックしても新しい攻撃IPが無限に注がれるようです。
SSHサーバーが認証されたクライアントにのみ応答できるようにする認証メカニズムはありますか?
Wireguardにも似たものがあると思います。サーバーは、正しいキーを使用しないすべてのネットワークトラフィックを完全に無視します。これにより、攻撃プロキシはそのポートでリッスンしているエントリがあるかどうかもわかりません。
SSHにも同様のものがありますか?これにより、私のSSHサーバーは、クライアントが接続を許可されている場合にのみログインプロンプトで応答します。
これはクライアント証明書認証の役割になりますか?
ベストアンサー1
サーバーは、正しいキーを使用しないすべてのネットワークトラフィックを完全に無視します。これにより、攻撃プロキシはそのポートでリッスンしているエントリがあるかどうかもわかりません。
SSHはTCPベースのプロトコルです。認証は TCP 接続内で行われます。つまり、まずTCPハンドシェイクを使用してTCP接続を確立する必要があります。これは、SSH自体が認証が成功するまでネットワークトラフィックにまったく反応しないメカニズムを持つことができないことを意味します。
メカニズムがありますが、ポートノックまたは変形シングルパッケージ認証この手順を通過した送信元 IP アドレスのみが SSH サーバーに接続できる事前認証手順を追加します。