Комментарии 7
совершенно не стоит негодовать и писать о том что держать открытой наружу snmp community может только дилетант
Нет, я все-таки понегодую.
Хотя думаю, человек, работающий в TAC, повидал на своем веку немало других примеров идиотизма.
Ради интереса. Как обычно определяете, что именно SNMP был причиной сброса RIB к примеру? Ошметки netflow? И разве сброс RIB не подразумевает тут же его наполнение с нуля, что в свою очередь потребует постоянного потока команд на сброс, иначе за секунды всё восстановится?
Определяем ровно так что больше никаких следов, про это и баг завели. Неприятный конечно косяк что снмп ничего не логирует. Кроме сброса таблицы выключает роутинг (аналог no ip route). Это замечают. &) Кроме того большая часть пограничных роутеров имеет пару статических записей. Маршруты по умолчанию, что-то с треками, много есть причин. Полностью обпиреные граничные устройства редкость.
Жестоко, да.
Печально, что тот же курс CCNA, если мне память не изменяет, уделяет немало часов вопросам вроде «чем enable secret отличается от enable password» и «как защитить VTY», но вот про мощь и соответствующие риски SNMP там почти ничего. Я сам долгое время был уверен, что SNMP разве что счетчики с интерфейсов может выдать, и, вероятно, такая же мысль была у большинства любителей выставлять эту штуку наружу (да еще и без ACL, да еще и версии 2c, да еще и со слабым коммьюнити). Сейчас глянул exam topics — одно упоминание слова «SNMP», начинающееся со слова «describe». В уже устаревшем гайде ICND1 тоже фактически ничего кроме «SNMP может отправлять трапы». Может, как-нибудь пнете коллег, чтобы при следующей ревизии программ сертификации уделили внимание этому вопросу?
И можно номер того дефекта на будущее? В принципе, у меня бывали связанные с SNMP проблемы (например, излишне активные системы мониторинга, перегружающие RP), и при периодическом отсутствии возможности делать SPAN с RP и остром нежелании снимать дебаги при и так полностью прогруженном процессоре возникала определенная головная боль. Наличие циклической таблицы («show snmp history» или как-то так), которую нельзя очистить через SNMP и в которой будут проставлены хотя бы время, IP адрес обратившегося и OID, было бы идеально и вряд ли сильно ударило бы по ресурсам.
Печально, что тот же курс CCNA, если мне память не изменяет, уделяет немало часов вопросам вроде «чем enable secret отличается от enable password» и «как защитить VTY», но вот про мощь и соответствующие риски SNMP там почти ничего. Я сам долгое время был уверен, что SNMP разве что счетчики с интерфейсов может выдать, и, вероятно, такая же мысль была у большинства любителей выставлять эту штуку наружу (да еще и без ACL, да еще и версии 2c, да еще и со слабым коммьюнити). Сейчас глянул exam topics — одно упоминание слова «SNMP», начинающееся со слова «describe». В уже устаревшем гайде ICND1 тоже фактически ничего кроме «SNMP может отправлять трапы». Может, как-нибудь пнете коллег, чтобы при следующей ревизии программ сертификации уделили внимание этому вопросу?
И можно номер того дефекта на будущее? В принципе, у меня бывали связанные с SNMP проблемы (например, излишне активные системы мониторинга, перегружающие RP), и при периодическом отсутствии возможности делать SPAN с RP и остром нежелании снимать дебаги при и так полностью прогруженном процессоре возникала определенная головная боль. Наличие циклической таблицы («show snmp history» или как-то так), которую нельзя очистить через SNMP и в которой будут проставлены хотя бы время, IP адрес обратившегося и OID, было бы идеально и вряд ли сильно ударило бы по ресурсам.
«no ip routing» и определяем так что никаких следов у настроена простая snmp write community.
С айпада пишу, приходится бороться с ним. &)
С айпада пишу, приходится бороться с ним. &)
На Extreme Networks на днях такая же фигня была.
Активность может быть связана не столько с целью сбросить RIB, сколько к подготовке к DDoS атакам с использованием SNMP (например, SNMP amplification). Коэффициент для SNMP amplification атак может достигать значения 650x (например, для DNS amplification это значение может достигать 8x).
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Всплеск brute-force атак направленный на легко подбираемые доступные для записи snmp community