Pourquoi mes journaux sshd affichent-ils de nombreux essais sur des ports non valides?

Mon démon ssh est configuré pour écouter sur le port 2221. J'ai également désactivé la connexion root à partir de ssh.

Je ne comprends pas pourquoi auth.logje vois des tentatives de connexion à d'autres ports (exemple avec 4627 ici).

May 17 15:36:04 srv01 sshd[21682]: PAM service(sshd) ignoring max retries; 6 > 3
May 17 15:36:08 srv01 sshd[21706]: User root from 218.10.19.134 not allowed because none of user's groups are listed in AllowGroups
May 17 15:36:08 srv01 sshd[21706]: input_userauth_request: invalid user root [preauth]
May 17 15:36:10 srv01 sshd[21706]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.10.19.134  user=root
May 17 15:36:12 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:15 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:17 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:19 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:24 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:27 srv01 sshd[21706]: Failed password for invalid user root from 218.10.19.134 port 4627 ssh2
May 17 15:36:27 srv01 sshd[21706]: Disconnecting: Too many authentication failures for root [preauth]

SSHD est censé tenir compte de ces essais. Pourquoi les journaux indiquent-ils que l'utilisateur / mot de passe ne correspond pas alors qu'il ne devrait pas recevoir la demande (mauvais port)? Suis-je en train de manquer quelque chose?

Les journaux vous indiquent:

Quelqu'un avec l'IP 218.10.19.134et le port 4627essayait plusieurs fois de se connecter en tant qu'utilisateur root avec un mot de passe. Mais:

• l'utilisateur root est de invalidtoute façon, les journaux vous informent simplement des tentatives de connexion
• la méthode de connexion tentée était l' passwordauthentification (pas la clé publique ou autre)
• le port source était 4627, le port de destination était 2221(non écrit dans les journaux, car sshd écoute seulement 2221, aucune autre tentative sur d'autres ports n'est remarquée par sshd)
• après quelques tentatives, sshd a bloqué la connexion par disconnectingla connexion tcp

Vous trouverez tous les mots en surbrillance de ma réponse dans vos journaux, à l'exception du 2221.

Le numéro de port indiqué dans le journal est le port côté client, pas le vôtre.