La correspondance [mono]limit[/mono] n’est pas vraiment adaptée à cet usage. Il ne fait aucune distinction entre les sources des paquets, et affecte donc indistinctement les attaquants et les utilisateurs légitimes. Cela peut résulter en un déni de service contre ces derniers si le trafic généré par les attaquants est suffisant. A mon avis [mono]limit[/mono] ne devrait être utilisé que pour protéger les ressources du serveur contre une surcharge (dont l’épuisement causerait un déni de service de toute façon).
Des correspondances plus adaptées sont plutôt à chercher du côté de [mono]connlimit[/mono], [mono]haslimit[/mono] ou [mono]recent[/mono]. Mais là encore elles ne prennent en compte au mieux que le nombre de connexions SSH par adresse source, ça ne vaut pas une solution de type fail2ban ou équivalent qui se base sur les journaux d’échec de SSH.