Un peu de doc sur le portknocking :
http://doc.ubuntu-fr.org/port-knocking Mais le portknocking t'aidera seulement si la cause de tes coupures viens d'un bruteforce trop violent. Ca reste quand même exceptionnel (pas le bruteforce mais un bruteforce qui DoS).
Que donne : grep 'authentication failure' /var/log/auth.log |wc -l ?
Il est également possible que ce soit au niveau de ta sonde qu'il y ai un problème. D'ailleurs c'est quoi cette sonde ? Elle fait quoi, juste un handshake ou une connexion ssh ?
Pour augmenter la verbosité des log de sshd :
man sshd_config 5 :
LogLevel
Gives the verbosity level that is used when logging messages from sshd(8). The possible values are: QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2, and DEBUG3. The default is INFO. DEBUG and DEBUG1 are equivalent. DEBUG2 and DEBUG3 each specify higher levels of debugging out‐put. Logging with a DEBUG level violates the privacy of users and is not recommended.
Si tu veux réduire le bruteforce et donc la charge sur ton serveur ssh tu peux également regarder du coté de fail2ban (
http://doc.ubuntu-fr.org/fail2ban ) qui est moins poilue que le portknocking.
My 2 cents,
L.
PS: Moi je parie sur la sonde !