Мониторинг DoS-атак с помощью snmp [closed]
Есть ли способ отслеживать DoS-атаки с помощью SNMP или любого другого программного обеспечения, основанного на Linux и которое могло бы контролировать маршрутизатор / коммутаторы и предупреждать, когда наблюдается DoS-атака?
Безусловно, да, хотя это зависит от характера DoS и инструментов, предоставляемых SNMP.
- Количество пакетов в секунду является хорошей метрикой для захвата, если устройство поддерживает ее, поскольку многие DoS-атаки проявляются как множество пакетов, пытающихся заполнить способность каналов отслеживать такое количество элементов.
- Аналогичным образом пропускная способность интерфейса, поскольку Другой способ DoS - выбросить больше трафика, чем может обработать канал.
- ЦП - еще один замечательный вариант, поскольку DoS-атаки для конкретных устройств могут проявляться в том, что процессор маршрутизатора / брандмауэра / коммутатора выходит из строя и вызывает неприятные вещи.
Убедитесь, что в вашем пакете мониторинга установлен порог предупреждений, превышающий нормальный, и вы должны их поймать.
SNMP - это всего лишь инструмент для получения информации, счетчиков, с устройства.
Используя только snmp, вы сможете получать трафик, проходящий только через интерфейсы, и базовую информацию, такую как как использование ЦП и ОЗУ.
Netflow, с другой стороны, представляет собой протокол, предназначенный для сообщения о структуре потока, и очень полезен для обнаружения DoS-атак.
Вы можете объединить два и использовать Netflow MIB , который будет сообщать ведущие ораторы и позволяют отслеживать продолжающийся DoS.