SSH útočníci začínají zkoušet vyšší porty

A kdyz se zakaze jen ICMP typ 8? Na ostatni ICMP to nema vliv. Takze sit by mela jet.

Pravda. Pak ale můžu místo pingu použít něco, co vygeneruje jinou ICMP zprávu. Třeba nějaké Unreachable nebo tak.

To s tím neprivilegovaným portem je dobrý postřeh!

„ale muze i preforwardovat klice jinam“

Myslíš tím ssh-agenta? To ještě někdo používá? :)

„a pro lidi co zrovna nemohou jit ze sve IP adresy mit pripravene VPN nebo treba i ssh na serverech, o ktere nekdo dobre pecuje a pres ktere se teprve pak hlasi kam potrebuje“

Já bych to tak nehrotil, podle mě snad všechny útoky na SSH jdou přes slabá hesla a tomu se dá zabránit. Pokud se bojíš 0-day útoku na SSH démona, tak tím bude postižen hopbox stejně jako cílový stroj.

„a nebo pouzit veci jako Google Authenticator“

Moc bych v GA nedoufal, slabé heslo bych řešil jinak a backdoornutý počítač, že kterého se loguješ, to nevyřeší, alespoň tedy od té doby, co někdo napsal sslsnoop

Dane, nezda sa vam komicke vyslovit myslienku "zbytocne spomalit utok"? Nie je to tak trochu ako povedat, naco mat plot okolo domu, ved to len zbytocne spomali zlodeja?

Osobne zastavam nazor, ze 100% ochrana systemu viacmenej neexistuje, a preto je zabezpecenie vecou postupneho a viacnasobneho opevnovania. Kazde poleno, ktore hodime utocnikovi pod nohy na ceste k cielu sa moze stat tou povestnou kvpapkou, kedy si povie kaslem na tento system, nestoji mi za to a sustredi sa niekam inam.

Jako ISP bych odpojil kazdeho, jehoz stroj neodpovi na ping, v kazdym pripade s takovyma lidma odmitam resit jakekoli jejich potize, protoze to sou jen jejich potize.

preto kopec isp providerov stale uz na svojej urovni blokuje icmp

Fakt kopec? Já jsem narazil jenom na dva - a poznám to snadno, k takovým mi nefunguje konektivita, nebo alespoň nefungovala, dokud jsem měl malé MTU (jak píše Petr výše).

Zadneho takoveho ISP neznam ... zeby proto, ze zadny neexistuje?

Co je ti potym, jak můj stroj reaguje na vnějšek? Místo prázdného výkřiku, jsi mohl alespoň nastínit situaci, co Ti jako vadí.

Co je ti potom, ze jezdim po silnici vlevo? Tak na ni nelez ne?

Druhá věc je, že zahazováním ICMP správ omezuje tak maximálně sebe - nebude mu fungovat konektivita tak, jak by asi předpokládal. U ježdění vlevo tomu tak není.

ale my nejsme na silnici, proste chceme utajit svoje pocitace.

Jako ISP by jsi si to v zivote nedovolil, pokud to nemas ve VOP. ....

ten si o problémy říká sám.

Myslím si, že ten kdo si toho nevšiml dřív, je především pan Hansteen. Pokusy o prolomení ssh na všech portech sleduji už roky.

Ony taky všechny rozsahy nejsou skenovány rovnoměrně. Že si toho nevšiml může klidně znamenat, že má svoje stroje v "klidnější" části sítě, která třeba nebyla dlouho naalokovaná...

Akurat to ma dva nedostatky:
1. trva to o hodne dyl preskenovat porty treba jen po 10000, a tedy prolezt celej sitovej segment
2. da se to lepe filtrovat. Treba: prichozi spojeni na "x" ruznych portu behem "y" vterin, a dam ti pauzu alespon na par hodin!

Krom toho, tyhle boti hledaji snadne cile. Nebudou se zdrzovat s jednim pocitacem nekolik minut nez najdou ssh-port, radeji za ten samej cas proskenujou tisice dalsich...

2. No jo, nemáte rádi uživatele, kteří si vás nmapnou. Jenom aby někdy nenapadlo vás podívat se, co všechno za služby vlastně publikujete do sítě :-)

Ja pouzivam taketo obmedzenie v iptables:
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/min --limit-burst 3 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j DROP

A to pravidlo ti nezablokuje tvůj přístup na SSH v případě útoku? Nemělo by tam být spíše recent?

Nesuhlasim s tvrdenim, ze je zmena portu rovnaka ako predlzenie hesla o 2 bajty. Predlzenim hesla o 2 znaky sa zvysi pocet potrebnych pokusov pri utoku 65536krat (treba skusit vsetky kombinacie; ak teda nie je v sshd vazny bug); pri zmene portu sa pocet potrebnych pokusov zvacsi o 65536 (najskor uhadnem port, potom idem hadat heslo).

A ono někdy bylo? :-D

tu blbost s uhodnutim portu jako prodlouzeni hesla o dva byty... s tim prisel kdo? Hansteen? nebo autor zpravicky ci nekdo cestou?

protoze porty se hadat nemusi. ty se jednoduse zkusi. po vyzkouseni rozsahu dvou bytu prave jedenkrat odpadaji dalsi kombinace se zbytkem bytu v hesle.