サーバーの/var/log/messagesにすごい勢いで同じアドレスからのssh接続のエラーメッセージが出ていたので。
1秒に3~4回接続メッセージを投げている。
ユーザーに対する辞書攻撃と、それに対応するパスワードの辞書攻撃なんだろう。
ということで早急に対処。sshdを直接起動するのをやめて、inetd経由にすることにした。
後は1分間の接続回数を絞って何度も接続させないように変更。
本当にしつこい場合はグローバルアドレス指定でdenyしようかと思っています。
そういうことをする人に対して逆襲をする仕組みとかあれば面白いのにな。ブービートラップみたいな。