После вывешивания астера наружу, боты сначала сканят через sip options, а потом, когда насканят (астер отвечает 200-м или 404-м кодом) начинают перебор через некоторое время. Для главы защиты я б попробовал сравнить (некая глава анализа) защиту на фаерволле (что может противопоставить iptables в чистом виде), далее - сторонняя прога, не относящаяся к самому астеру (например тот же fail2ban, либо, как высший пилотаж - какой нить IDS (хз, правда какой)), и сам астер. Т.е. три ипостаси: почему лучше например только это, почему этого недостаточно и т.п.