Comments 7
совершенно не стоит негодовать и писать о том что держать открытой наружу snmp community может только дилетант
Нет, я все-таки понегодую.
Хотя думаю, человек, работающий в TAC, повидал на своем веку немало других примеров идиотизма.
Ради интереса. Как обычно определяете, что именно SNMP был причиной сброса RIB к примеру? Ошметки netflow? И разве сброс RIB не подразумевает тут же его наполнение с нуля, что в свою очередь потребует постоянного потока команд на сброс, иначе за секунды всё восстановится?
0
Определяем ровно так что больше никаких следов, про это и баг завели. Неприятный конечно косяк что снмп ничего не логирует. Кроме сброса таблицы выключает роутинг (аналог no ip route). Это замечают. &) Кроме того большая часть пограничных роутеров имеет пару статических записей. Маршруты по умолчанию, что-то с треками, много есть причин. Полностью обпиреные граничные устройства редкость.
0
Жестоко, да.
Печально, что тот же курс CCNA, если мне память не изменяет, уделяет немало часов вопросам вроде «чем enable secret отличается от enable password» и «как защитить VTY», но вот про мощь и соответствующие риски SNMP там почти ничего. Я сам долгое время был уверен, что SNMP разве что счетчики с интерфейсов может выдать, и, вероятно, такая же мысль была у большинства любителей выставлять эту штуку наружу (да еще и без ACL, да еще и версии 2c, да еще и со слабым коммьюнити). Сейчас глянул exam topics — одно упоминание слова «SNMP», начинающееся со слова «describe». В уже устаревшем гайде ICND1 тоже фактически ничего кроме «SNMP может отправлять трапы». Может, как-нибудь пнете коллег, чтобы при следующей ревизии программ сертификации уделили внимание этому вопросу?
И можно номер того дефекта на будущее? В принципе, у меня бывали связанные с SNMP проблемы (например, излишне активные системы мониторинга, перегружающие RP), и при периодическом отсутствии возможности делать SPAN с RP и остром нежелании снимать дебаги при и так полностью прогруженном процессоре возникала определенная головная боль. Наличие циклической таблицы («show snmp history» или как-то так), которую нельзя очистить через SNMP и в которой будут проставлены хотя бы время, IP адрес обратившегося и OID, было бы идеально и вряд ли сильно ударило бы по ресурсам.
Печально, что тот же курс CCNA, если мне память не изменяет, уделяет немало часов вопросам вроде «чем enable secret отличается от enable password» и «как защитить VTY», но вот про мощь и соответствующие риски SNMP там почти ничего. Я сам долгое время был уверен, что SNMP разве что счетчики с интерфейсов может выдать, и, вероятно, такая же мысль была у большинства любителей выставлять эту штуку наружу (да еще и без ACL, да еще и версии 2c, да еще и со слабым коммьюнити). Сейчас глянул exam topics — одно упоминание слова «SNMP», начинающееся со слова «describe». В уже устаревшем гайде ICND1 тоже фактически ничего кроме «SNMP может отправлять трапы». Может, как-нибудь пнете коллег, чтобы при следующей ревизии программ сертификации уделили внимание этому вопросу?
И можно номер того дефекта на будущее? В принципе, у меня бывали связанные с SNMP проблемы (например, излишне активные системы мониторинга, перегружающие RP), и при периодическом отсутствии возможности делать SPAN с RP и остром нежелании снимать дебаги при и так полностью прогруженном процессоре возникала определенная головная боль. Наличие циклической таблицы («show snmp history» или как-то так), которую нельзя очистить через SNMP и в которой будут проставлены хотя бы время, IP адрес обратившегося и OID, было бы идеально и вряд ли сильно ударило бы по ресурсам.
0
«no ip routing» и определяем так что никаких следов у настроена простая snmp write community.
С айпада пишу, приходится бороться с ним. &)
С айпада пишу, приходится бороться с ним. &)
0
На Extreme Networks на днях такая же фигня была.
0
Активность может быть связана не столько с целью сбросить RIB, сколько к подготовке к DDoS атакам с использованием SNMP (например, SNMP amplification). Коэффициент для SNMP amplification атак может достигать значения 650x (например, для DNS amplification это значение может достигать 8x).
+1
Sign up to leave a comment.
Всплеск brute-force атак направленный на легко подбираемые доступные для записи snmp community