ssh brute force 공격을 받았는데 질문있습니다.

안녕하세요

리눅스 킹 초짜입니다.

다름이 아니라 며칠전에 집에 홈서버를 만들었습니다

별다른 용도는 아니고 순전히 그냥 개인 학습용으로요 ㅎㅎ

해서 외출해서 밖에서 접속해서도 이것저것 해보려 공유기 공인IP랑 맵핑도 시켜놓고 잘 쓰고 있었는데

이걸 웬걸요..

오늘 메인PC로 인터넷 하다가 속도가 어마어마하게 떨어진걸 보고 느낌이 좋지가 않았습니다.

속도가 엄청나게 떨어진거에요. 그러다가 PC가 Gateway 를 못찾더라구요.

보니까 공유기가 죽어있더라구요(아이피타임)


웬지 느낌?이 와서

리눅스 머신을 랜선에서 딱 빼니까 그제서야 인터넷이 다시 원활히 되더라구요.

어느세 저도 모르게 중국발 ssh brute forcing 공격에 당하고 있던 상황이었던거죠

/var/log/secure 을 보니까 엄청나게 로그가 쌓여있더라구요

일단 /etc/hosts.deny 에 IP 추가해서 부랴부랴 공격자들 IP 는 막았습니다.

그래서 일단 블럭할 IP 추가하고 sshd restart 도 한다음에
공유기 공인IP도 변경을 하고(공유기 MAC변경방법)
랜선을 다시 공유기에 연결하였더니,

다시 공유기가 뻗더라구요.

그래서 다시 리눅스 머신 랜선을 빼봤죠.

그럼 또 인터넷이 되요...


토폴로지는 이렇습니다.


ISP
  |
  |
IP time  공유기
  |
  |------메인PC(윈도우)
  |
리눅스머신(공인IP로 맵핑됨)


요런 상황인데 도대체 왜 리눅스 머신 랜선만 꽂으면 공유기가 뻗는 현상이 발생할까요?
공유기 공인IP도 변경해주었고, /etc/hosts.deny에 블럭할 IP도 추가해 준대다가(tcpdump 로 확인해보니 문젠 없었습니다) 랜선맞 꽂으면 공유기가 뻗길래 재부팅도 해줬는데도 안되서

옆에 있던 또다른 공유기를 연결했는데
그 공유기도 리눅스머신의 랜선맞 꽂으면 뻗더라구요.

이건 공유기 문제는 아니라고 생각 됩니다.

리눅스 머신에서 SSH 데몬이 혹시 뭐 받은 Request 에 대해 쌓아놓고 처리하는 그런 부분이 있는지요?

쨌든 일단 지금 랜선 뽑았다가 한 20분 뒤에 연결하니까 다시 잘 되긴 하는데(뻗었던 공유기 둘다 이상무)

어기서 도대체 문제가 뭐였는지를 좀 알고싶습니다.
혹시 잘 아시는분 계시나요?

알려주시면 저도 잘 배워서 열심히 정보공유하겠습니다.

OS는 Centos 6.7 , selinux 는 disabled 상태입니다.

한수 부탁드립니다.