Странный трафик snmpd - PullRequest
Новая
       11

Странный трафик snmpd

0 голосов
/ 19 ноября 2018

мой сервер snmp использует 3% процессорного времени и около 600 кбит / с полосы пропускания.

Используя "iftop", мой сервер отправляет данные на неизвестный IP-адрес через порт HTTP, но целевой IP-адрес не проверяется и не открывается ни один порт HTTP. 

myhostname.com.br:snmp                          => 144.168.68.43:http                                   520Kb   487Kb   487Kb
                                                <=                                                     40.2Kb  37.6Kb  37.6Kb

Все значения по умолчанию (snmpd.conf), я просто использую его для локальной MRTG.

Это CentOS 7 под OpenVZ. Есть идеи?

Ответы [ 2 ]

0 голосов
/ 19 ноября 2018

Я думаю, что нашел проблему. Этот IP-адрес связан с MIB, считывая что-то с недоступного IP-адреса.

Если я его блокирую (iptables), «журнал» начинает регистрироваться каждые 2-3 секунды: 

Nov 19 10:33:44 loki snmpd[18942]: send response: Failure in sendto
Nov 19 10:33:44 loki snmpd[18942]:     -- SNMPv2-MIB::sysDescr.0
Nov 19 10:33:44 loki snmpd[18942]:     -- SNMPv2-MIB::sysORDescr.1
Nov 19 10:33:44 loki snmpd[18942]:     -- SNMPv2-MIB::sysObjectID.0
Nov 19 10:33:44 loki snmpd[18942]:     -- SNMPv2-MIB::sysORDescr.2
Nov 19 10:33:44 loki snmpd[18942]:     -- DISMAN-EVENT-MIB::sysUpTimeInstance
Nov 19 10:33:44 loki snmpd[18942]:     -- SNMPv2-MIB::sysORDescr.3
Nov 19 10:33:44 loki snmpd[18942]:     -- SNMPv2-MIB::sysContact.0
(....)

Я просто не знаю, как это исправить ... по крайней мере, сервер не скомпрометирован.

0 голосов
/ 19 ноября 2018

Это уведомления / ловушки или ответы на запросы Get?

Ответы

Кто-то опрашивает вашу службу SNMP, все просто.

Если вы не хотите, чтобы они это делали, отключите их (или это) через брандмауэр.

Общедоступные службы часто опрашиваются случайными незнакомцами, иногда в результате автоматической проверки, а иногда и для явно вредоносныхцели.Вот почему у нас есть брандмауэры.

Ни пинг ICMP, ни HTTP не имеют к этому никакого отношения;Ответы SNMP идут на тот же адрес (IP и порт), с которого поступили запросы - выбор порта фактически произвольный, но может показаться, что отправитель специально решил использовать порт 80, потому что это обычно открытый порт, и онне привлекать много внимания.Это само по себе откровенно подозрительно, потому что, если нет странных технических ограничений, аутентичный и авторизованный менеджер SNMP будет использовать порт, более условно выделенный для трафика SNMP (например, UDP 162).

Ловушки (уведомления)

Если нет никаких свидетельств того, что входящие запросы инициируют этот трафик, то ваш агент SNMP делает это самостоятельно.Вы настроили это для этого?Если нет, возможно, вас взломали, и кто-то другой настроил его таким образом.

Вы все равно можете отключить его (брандмауэр работает в обе стороны!), Хотя вам действительно следует проверить, что произошло.

В противном случае

Если нет входящих запросов, и ваш SNMP-менеджер не настроен на отправку уведомлений на 144.168.68.43, то у вас есть другой SNMP-менеджер, который выне в курсе?Какой-то программный продукт, который вы установили и который поддерживает SNMP?В противном случае вы действительно в беде.

...