Назад | Перейти на главную страницу

Отслеживание DoS-атак с помощью snmp

Есть ли способ отслеживать DoS-атаки с помощью SNMP или любого другого программного обеспечения, основанного на Linux, и которое могло бы контролировать маршрутизатор / коммутаторы и предупреждать при обнаружении DoS-атаки?

Безусловно, есть, хотя это зависит от характера DoS и инструментов, предоставляемых SNMP.

  • Количество пакетов в секунду - хороший показатель, если устройство поддерживает его, поскольку многие DoS-атаки проявляются как множество пакетов, пытающихся заполнить способность ссылок отслеживать такое количество элементов.
  • Пропускная способность интерфейса аналогична, поскольку другой способ DoS - выбросить больше трафика, чем может обработать ссылка.
  • ЦП - еще один замечательный инструмент, поскольку DoS-атаки для конкретных устройств могут проявляться в том, что процессор маршрутизатора / брандмауэра / коммутатора выходит из строя и вызывает плохие вещи.

Убедитесь, что в вашем пакете мониторинга установлен порог предупреждений, превышающий нормальный, и вы должны их поймать.

SNMP - это всего лишь инструмент для получения информации, счетчиков, с устройства.

Используя только snmp, вы сможете получать только трафик, проходящий через интерфейсы, и базовую информацию, такую ​​как использование ЦП и ОЗУ.

Netflow, с другой стороны, представляет собой протокол, предназначенный для сообщения о структуре потока, и очень полезен для обнаружения DoS-атак.

Вы можете объединить два и использовать Netflow MIB это будет сообщать о наиболее активных пользователях и позволит вам отслеживать текущие DoS-атаки.