Port knocking: назначение и обзор инструментов

А если у меня ботнет с 1000000 IP и тыкаются в твою машину с одного IP не более 2 раз в час?

По факту кнокинг просто прячет порт, тем самым давая злоумышленнику меньше информации о хосте.

А если у меня ботнет с 1000000 IP и тыкаются в твою машину с одного IP не более 2 раз в час?

пусть у нас скажем 16 символьный пароль. пусть символы A-Za-z0-9, итого 26*2+10 = 62 символа.
пусть один «вредоносный» ip может открыть 65536 соединений к серверу (учитывая что tcp/ip соединение характеризуется четвёркой «удалённый_ip:удалённый_порт:локальный_ip:локальный_порт» это впринципе должно быть осуществимо, но это верхний предел для одного реального ip-шника в ipv4 на сколько я понимаю).
пусть каждое соединение пытается 10 раз в секунду (что невозможно для ssh на сколько я поинмаю потому что там задержки стоят, но примем чтобы просто оценить сверху «уж точно»).

итого имеем 62^16 возможных комбинаций. 62^16 это больше чем 4,7E28 комбинаций если я верно посчитал.

далее, 10*65536 = 655360 попыток в секунду с одного ip что меньше чем 2,6E5. ipшников у тебя 1E6, итого 2,6E11 попыток в секунду. в году 3600*24*366 <= 3,2E7 секунд, итого 2,6E11*3,2E7 <= 8,32E18 попыток в год. Ну и 4,7E28/8,32E18 <= 0,5E10 лет нужно чтобы сделать брутфорс, что всего навсего в три раза меньше времени существования нашей вселенной :)

так что можешь не волноваться если у тебя 16 символьный случайный пароль. как бы тебя не ломали, но это будет точно не брутфорс.

PS. против портнокинга и фейл2бан ничего не имею, с ними гораздо чище в логах. но с т.з. безопасности надёжнее иметь хороший пароль или/и авторизацию по ключу.

UPD1. да, там у меня 2,6E5 неверно, получается 6,6E5 вроде. лень пересчитывать так как порядок практически не измениться. может это будет 200млн лет вместо 500млн. практической угрозы это не несёт.

UPD2. ну и да, два раза в час это смешно, сколько бы ip не было, время нужное для реализации атаки перебором на случайный 16 символьный пароль с любого разумного количества ip при двух запросах в секунду с одного ip заведомо значительно превысит время существования нашей вселенной.

Ну это я увижу по вздувщимся логам fail2ban Хотя почитать про методы безусловно стоит. Как минимум информации о системе потенциальному злоумышленнику явно меньше.

В этом случае заDDoSить проще чем ломать. И брутфорсить не имеет смысла.

да вы просто в ударе, кэп! в любом случае если пароль 16 символов то брутфорсить не имеет смысла. какой «этот» случай вы имели ввиду?