记一次 破案 ssh 频繁大量连接 的经历

• 早上收到 git 服务器异常登录报警，最后查到是同事连 VPN 访问的，正常。

• 我去查看下 ssh 连接记录，sudo journalctl -u ssh 和 sudo tail -f /var/log/auth.log

• 结果很惊讶，有 2 个 ip 地址在不停的连接，每秒 2-3 条连接，10 小时有 7 万次了。

• 熟悉的人都知道，一般都是 ssh 暴力破解的，我也就没细看直接 block ip 地址。

• 后来同事反馈无法 git clone 代码，细看才发现屏蔽的居然是公司的 ip 地址啊! 抓紧解除。

• 我细看 ssh log，原来并不是暴力破解，每次连接都是成功的，就是连接太频繁。

• 继续思考为啥这么多连接呢？

• 到公司软路由，sudo iftop -i br0 -f "dst port 22" 查看了有 2 台机器有很多连接。

• 最后找到同事了解情况，机器部署的是 Hound 代码搜索引擎，有 78 个仓库需要搜索。

• 但为啥晚上还有这么多请求呢？这个连接太频率也太高了。

• https://github.com/hound-search/hound#hound

• 看官方文档，原来默认每 30s 去获取代码更新，78 个仓库的话，每秒就会有 2-3 个连接。

• 至此破案了，仓库太多，默认检查更新时间太短，造成了 ssh 频繁大量的连接。让同事修改检查时间，避免太频繁的请求。