最近ssh への辞書攻撃(brutessh)が流行っている．そこで，linux の iptables のモジュールで 対策を取る方法について色々検討してきた．

その結果， ipt_recent モジュールが一番良い方法であるという結論に達した．ipt_recent モジュールとは，

• カーネル空間に {IPアドレス，時刻} の組からなる表を生成
• ある条件を満たした場合 IPアドレス を表へ登録
• IPアドレスが表に載っているか確認

といった処理を実現する iptable のモジュールである．

これら機能を利用すると

• 頻繁に特定のポート(例えば22番ポート)へ接続を試みる送信元IPアドレスの "表"を生成．
• 送信元IPが"表に"載っていれば，その接続要求は drop する．

のような処理が実現できる．