使用 snmp 监控 DoS 攻击

使用 snmp 监控 DoS 攻击

有没有办法使用 SNMP 或任何其他基于 Linux 的软件来监控 DoS 攻击,并可以监控路由器/交换机并在观察到 DoS 攻击时发出警报?

答案1

肯定存在,但这取决于 DoS 的性质和 SNMP 公开的设备。

  • 如果设备支持的话,每秒数据包数是一个很好的指标,因为许多 DoS 攻击表现为大量数据包试图饱和链接跟踪那么多项目的能力。
  • 接口吞吐量也是如此,因为 DoS 的另一种方式是发送超过链路处理能力的流量。
  • CPU 是另一个重要因素,因为针对特定设备的 DoS 攻击可能表现为路由器/防火墙/交换机 CPU 耗尽并导致坏事发生。

确保在你的监控包中设置高于正常值的警报阈值,这样你就能够捕获这些警报。

答案2

SNMP 只是一个从设备检索信息和计数器的工具。

仅使用 snmp,您将只能获得流经接口的流量以及 CPU 和 RAM 使用情况等基本信息。

另一方面,Netflow 是一种旨在报告流量模式的协议,对于检测 DoS 攻击非常有用。

你可以将两者结合起来,使用Netflow 管理信息库它将会报告最高谈话者,并允许您监控正在进行的 DoS。

相关内容