ブルートフォースアタックに勝利宣言 - なぜか数学者にはワイン好きが多い

しばらくぶりにチェックしてみると，劇的に撃退してました！
使った方法は，PAMレベル（pam_af_inet）とblocksshdの併用です．
アンチブルート・フォースアタック - なぜか数学者にはワイン好きが多い
 アンチブルートフォースアタック - なぜか数学者にはワイン好きが多い

なかなか撃退は難しかったです．
なんたってこんな感じで，

# grep Invalid /var/log/auth.log | less
Jan  5 19:03:54 sshd[94061]: Invalid user hsiui from 212.192.189.42
Jan  5 19:06:53 sshd[94186]: Invalid user hsiukin from 193.145.50.92
Jan  5 19:24:13 sshd[94742]: Invalid user hsu from 196.7.25.36
Jan  5 19:28:54 sshd[94867]: Invalid user hsuh from 212.192.189.42
Jan  5 19:35:20 sshd[95109]: Invalid user htl from 79.187.3.138
Jan  5 19:57:55 sshd[95665]: Invalid user huang from 81.142.247.70
Jan  5 20:30:32 sshd[96538]: Invalid user huangsh from 217.8.61.146
Jan  5 21:10:46 sshd[97529]: Invalid user hwang from 200.35.90.116
Jan  5 21:34:45 sshd[98138]: Invalid user hwanss from 90.182.211.25
Jan  5 22:02:47 sshd[98950]: Invalid user iain from 193.138.250.159
Jan  5 22:08:58 sshd[99093]: Invalid user ianwolf from 194.204.14.104
Jan  5 22:12:33 sshd[99189]: Invalid user ic from 200.40.68.122
Jan  5 22:29:52 sshd[99632]: Invalid user idliaw from 118.102.160.142
Jan  5 22:36:53 sshd[99862]: Invalid user if from 190.146.246.36

短期間に大量にアクセスしてくるでもなく，アクセス元のIPアドレスも異なり，でもユーザ名を見ると明らかに同一犯人．

記録されたIPアドレスを集計すると，こんな感じでした．

1184 OrgName: RIPE Network Coordination Centre
447 OrgName: Asia Pacific Network Information Centre
386 OrgName: Latin American and Caribbean IP address Regional Registry
120 OrgName: RIPE Network Coordination Centre
98 OrgName: Asia Pacific Network Information Centre
54 OrgName: Latin American and Caribbean IP address Regional Registry
54 OrgName: African Network Information Center
18 OrgName: Road Runner HoldCo LLC
10 OrgName: Verizon Internet Services Inc.
9 OrgName: TELUS Communications Inc.
7 OrgName: BellSouth.net Inc.
6 OrgName: African Network Information Center
6 OrgName: AT&T Internet Services

近いうちに，もうちょい詳しい統計データや，pfctlの設定等を公開しますね．