Исправление AndreyKl, (текущая версия) :
А если у меня ботнет с 1000000 IP и тыкаются в твою машину с одного IP не более 2 раз в час?
пусть у нас скажем 16 символьный пароль. пусть символы A-Za-z0-9, итого 26*2+10 = 62 символа.
пусть один «вредоносный» ip может открыть 65536 соединений к серверу (учитывая что tcp/ip соединение характеризуется четвёркой «удалённый_ip:удалённый_порт:локальный_ip:локальный_порт» это впринципе должно быть осуществимо, но это верхний предел для одного реального ip-шника в ipv4 на сколько я понимаю).
пусть каждое соединение пытается 10 раз в секунду (что невозможно для ssh на сколько я поинмаю потому что там задержки стоят, но примем чтобы просто оценить сверху «уж точно»).
итого имеем 62^16 возможных комбинаций. 62^16 это больше чем 4,7E28 комбинаций если я верно посчитал.
далее, 10*65536 = 655360 попыток в секунду с одного ip что меньше чем 2,6E5. ipшников у тебя 1E6, итого 2,6E11 попыток в секунду. в году 3600*24*366 <= 3,2E7 секунд, итого 2,6E11*3,2E7 <= 8,32E18 попыток в год. Ну и 4,7E28/8,32E18 <= 0,5E10 лет нужно чтобы сделать брутфорс, что всего навсего в три раза меньше времени существования нашей вселенной :)
так что можешь не волноваться если у тебя 16 символьный случайный пароль. как бы тебя не ломали, но это будет точно не брутфорс.
PS. против портнокинга и фейл2бан ничего не имею, с ними гораздо чище в логах. но с т.з. безопасности надёжнее иметь хороший пароль или/и авторизацию по ключу.
UPD1. да, там у меня 2,6E5 неверно, получается 6,6E5 вроде. лень пересчитывать так как порядок практически не измениться. может это будет 200млн лет вместо 500млн. практической угрозы это не несёт.
UPD2. ну и да, два раза в час это смешно, сколько бы ip не было, время нужное для реализации атаки перебором на случайный 16 символьный пароль с любого разумного количества ip при двух запросах в секунду с одного ip заведомо значительно превысит время существования нашей вселенной.
Исправление AndreyKl, :
А если у меня ботнет с 1000000 IP и тыкаются в твою машину с одного IP не более 2 раз в час?
пусть у нас скажем 16 символьный пароль. пусть символы A-Za-z0-9, итого 26*2+10 = 62 символа.
пусть один «вредоносный» ip может открыть 65536 соединений к серверу (учитывая что tcp/ip соединение характеризуется четвёркой «удалённый_ip:удалённый_порт:локальный_ip:локальный_порт» это впринципе должно быть осуществимо, но это верхний предел для одного реального ip-шника в ipv4 на сколько я понимаю).
пусть каждое соединение пытается 10 раз в секунду (что невозможно для ssh на сколько я поинмаю потому что там задержки стоят, но примем чтобы просто оценить сверху «уж точно»).
итого имеем 62^16 возможных комбинаций. 62^16 это больше чем 4,7E28 комбинаций если я верно посчитал.
далее, 10*65536 = 655360 попыток в секунду с одного ip что меньше чем 2,6E5. ipшников у тебя 1E6, итого 2,6E11 попыток в секунду. в году 3600*24*366 <= 3,2E7 секунд, итого 2,6E11*3,2E7 <= 8,32E18 попыток в год. Ну и 4,7E28/8,32E18 <= 0,5E10 лет нужно чтобы сделать брутфорс, что всего навсего в три раза меньше времени существования нашей вселенной :)
так что можешь не волноваться если у тебя 16 символьный случайный пароль. как бы тебя не ломали, но это будет точно не брутфорс.
PS. против портнокинга и фейл2бан ничего не имею, с ними гораздо чище в логах. но с т.з. безопасности надёжнее иметь хороший пароль или/и авторизацию по ключу.
UPD1. да, там у меня 2,6E5 неверно, получается 6,6E5 вроде. лень пересчитывать так как порядок практически не измениться. может это будет 200млн лет вместо 500млн. практической угрозы это не несёт.
UPD2. ну и да, два раза в час это смешно, сколько бы ip не было, время нужное для атаки перебором с любого разумного количества ip с двумя запросами в секунду с ip заведомо превысит время существования вселенной.
Исправление AndreyKl, :
А если у меня ботнет с 1000000 IP и тыкаются в твою машину с одного IP не более 2 раз в час?
пусть у нас скажем 16 символьный пароль. пусть символы A-Za-z0-9, итого 26*2+10 = 62 символа.
пусть один «вредоносный» ip может открыть 65536 соединений к серверу (учитывая что tcp/ip соединение характеризуется четвёркой «удалённый_ip:удалённый_порт:локальный_ip:локальный_порт» это впринципе должно быть осуществимо, но это верхний предел для одного реального ip-шника в ipv4 на сколько я понимаю).
пусть каждое соединение пытается 10 раз в секунду (что невозможно для ssh на сколько я поинмаю потому что там задержки стоят, но примем чтобы просто оценить сверху «уж точно»).
итого имеем 62^16 возможных комбинаций. 62^16 это больше чем 4,7E28 комбинаций если я верно посчитал.
далее, 10*65536 = 655360 попыток в секунду с одного ip что меньше чем 2,6E5. ipшников у тебя 1E6, итого 2,6E11 попыток в секунду. в году 3600*24*366 <= 3,2E7 секунд, итого 2,6E11*3,2E7 <= 8,32E18 попыток в год. Ну и 4,7E28/8,32E18 <= 0,5E10 лет нужно чтобы сделать брутфорс, что всего навсего в три раза меньше времени существования нашей вселенной :)
так что можешь не волноваться если у тебя 16 символьный случайный пароль. как бы тебя не ломали, но это будет точно не брутфорс.
PS. против портнокинга и фейл2бан ничего не имею, с ними гораздо чище в логах. но с т.з. безопасности надёжнее иметь хороший пароль или/и авторизацию по ключу.
да, там у меня 2,6E5 неверно, получается 6,6E5 вроде. лень пересчитывать так как порядок практически не измениться. может это будет 200млн лет вместо 500млн. практической угрозы это не несёт.
Исправление AndreyKl, :
А если у меня ботнет с 1000000 IP и тыкаются в твою машину с одного IP не более 2 раз в час?
пусть у нас скажем 16 символьный пароль. пусть символы A-Za-z0-9, итого 26*2+10 = 62 символа.
пусть один «вредоносный» ip может открыть 65536 соединений к серверу (учитывая что tcp/ip соединение характеризуется четвёркой «удалённый_ip:удалённый_порт:локальный_ip:локальный_порт» это впринципе должно быть осуществимо, но это верхний предел для одного реального ip-шника в ipv4 на сколько я понимаю).
пусть каждое соединение пытается 10 раз в секунду (что невозможно для ssh на сколько я поинмаю потому что там задержки стоят, но примем чтобы просто оценить сверху «уж точно»).
итого имеем 62^16 возможных комбинаций. 62^16 это больше чем 4,7E28 комбинаций если я верно посчитал.
далее, 10*65536 = 655360 попыток в секунду с одного ip что меньше чем 2,6E5. ipшников у тебя 1E6, итого 2,6E11 попыток в секунду. в году 3600*24*366 <= 3,2E7 секунд, итого 2,6E11*3,2E7 <= 8,32E18 попыток в год. Ну и 4,7E28/8,32E18 <= 0,5E10 лет нужно чтобы сделать брутфорс, что всего навсего в три раза меньше времени существования нашей вселенной :)
так что можешь не волноваться если у тебя 16 символьный случайный пароль. как бы тебя не ломали, но это будет точно не брутфорс.
PS. против портнокинга и фейл2бан ничего не имею, с ними гораздо чище в логах. но с т.з. безопасности надёжнее иметь хороший пароль или/и авторизацию по ключу.
Исходная версия AndreyKl, :
А если у меня ботнет с 1000000 IP и тыкаются в твою машину с одного IP не более 2 раз в час?
пусть у нас скажем 16 символьный пароль. пусть символы A-Za-z0-9, итого 26*2+10 = 62 символа.
пусть один «вредоносный» ip может открыть 65536 соединений к серверу (учитывая что tcp/ip соединение характеризуется четвёркой «удалённый_ip:удалённый_порт:локальный_ip:локальный_порт это впринципе должно быть осуществимо, но это верхний предел для одного реального ip-шника в ipv4 на сколько я понимаю).
пусть каждое соединение пытается 10 раз в секунду (что невозможно для ssh на сколько я поинмаю потому что там задержки стоят, но примем чтобы просто оценить сверху „уж точно“).
итого имеем 62^16 возможных комбинаций. 62^16 это больше чем 4,7E28 комбинаций если я верно посчитал.
далее, 10*65536 = 655360 попыток в секунду с одного ip что меньше чем 2,6E5. ipшников у тебя 1E6, итого 2,6E11 попыток в секунду. в году 3600*24*366 <= 3,2E7 секунд, итого 2,6E11*3,2E7 <= 8,32E18 попыток в год. Ну и 4,7E28/8,32E18 <= 0,5E10 лет нужно чтобы сделать брутфорс, что всего навсего в три раза меньше времени существования нашей вселенной :)
так что можешь не волноваться если у тебя 16 символьный случайный пароль. как бы тебя не ломали, но это будет точно не брутфорс.
PS. против портнокинга и фейл2бан ничего не имею, с ними гораздо чище в логах. но с т.з. безопасности надёжнее иметь хороший пароль или/и авторизацию по ключу.