Moin!

Immerhin hatte ich Anregungen gegeben, wie man solchen Scans gelassen entgegensehen kann. Gefahr besteht nämlich nur, wenn

• der sshd angreifbar ist, oder
• ein Useraccount angreifbar ist durch zu einfache Passworte bei bekanntem Usernamen.

Das stimmt so nicht.
Ein Angriff kann im extremfall die Bandbreite ausreizen und somit den Server lahmlegen. Und da helfen dir weder Sicherheitsupdates, noch gesperrte Ports.

Richtig, aber ein DoS ist nochmal was ganz anderes, als ein SSH-Accountscan.

Die zu beobachtenden SSH-Scans dienen offenbar einzig und allein dazu, durch Masse an gescannten Systemen genau die ausfindig zu machen, bei denen vorgegebene Accountnamen und simple Passworte benutzt werden.

Wäre hingegen ein DoS beabsichtigt, wäre erstens überhaupt kein aktiver Service notwendig, und man würde zweitens nicht nur für die zu beobachtende kurze Zeit scannen. Meine Beobachtungen haben bislang das Muster "ein Account pro Sekunde, Dauer zwischen 30 Minuten und 3 Stunden" bei diesen Scans gezeigt. Das ist alles andere als ein DoS. Es sei denn, das reizt die Bandbreite schon komplett aus - dann wäre das allerdings ein unbeabsichtigter Nebeneffekt.

- Sven Rautenberg