有没有办法使用 SNMP 或任何其他基于 Linux 的软件来监控 DoS 攻击,并可以监控路由器/交换机并在观察到 DoS 攻击时发出警报?
答案1
肯定存在,但这取决于 DoS 的性质和 SNMP 公开的设备。
- 如果设备支持的话,每秒数据包数是一个很好的指标,因为许多 DoS 攻击表现为大量数据包试图饱和链接跟踪那么多项目的能力。
- 接口吞吐量也是如此,因为 DoS 的另一种方式是发送超过链路处理能力的流量。
- CPU 是另一个重要因素,因为针对特定设备的 DoS 攻击可能表现为路由器/防火墙/交换机 CPU 耗尽并导致坏事发生。
确保在你的监控包中设置高于正常值的警报阈值,这样你就能够捕获这些警报。
答案2
SNMP 只是一个从设备检索信息和计数器的工具。
仅使用 snmp,您将只能获得流经接口的流量以及 CPU 和 RAM 使用情况等基本信息。
另一方面,Netflow 是一种旨在报告流量模式的协议,对于检测 DoS 攻击非常有用。
你可以将两者结合起来,使用Netflow 管理信息库它将会报告最高谈话者,并允许您监控正在进行的 DoS。