Использование iptables вместо разрешения ARP
«УСТАНОВЛЕНО» просто означает, что соединение установлено на уровне TCP; он ничего не говорит вам о том, прошли ли они аутентификацию. Общая последовательность такова:
- TCP-соединение от клиента (/ злоумышленника) к серверу устанавливается
- Клиент пытается аутентифицироваться
- Если клиент прошел аутентификацию, клиент делает ... что-то по соединению. TCP-соединение остается «УСТАНОВЛЕННЫМ» до тех пор, пока они не отключатся.
- Если клиенту не удается пройти аутентификацию (обычно после 3 попыток), сервер разрывает соединение.
Если кто-то запускает на вас атаку по подбору пароля, и вы проверяете, пока он пытается ввести пароль, вы увидите соединение «УСТАНОВЛЕНО». Если они не задерживаются между попытками (т. Е. Как только одна попытка подключения не удалась, подключитесь заново и попробуйте снова), то вы почти всегда будете видеть «УСТАНОВЛЕННОЕ» соединение.
С другой стороны, если вы видите, что одно и то же соединение остается активным некоторое время (то есть тот же удаленный IP-адрес и номера портов, а не постоянно меняются номера портов), то либо кто-то проник, либо они бездельничают в течение некоторого времени. ужасно долгое время между угадыванием пароля. В таком случае вам следует волноваться.
Но если вы действительно хотите знать, что происходит, проверьте журналы! (Как сказал Ипор Сирсер в комментарии.) Если злоумышленник не стер их, они будут гораздо более информативными, чем просто просмотр TCP-соединений.
Кроме того, поскольку вы подвергаетесь атаке (что происходит автоматически, поскольку у вас есть доступ к ssh в Интернете), убедитесь, что ваша служба ssh правильно заблокирована ! Отключите вход в систему с правами root, ограничьте количество пользователей, которые могут входить в систему, убедитесь, что вы используете трудно угадываемые пароли, и (если возможно) отключите пароли в пользу аутентификации с открытым ключом.