Monitorar ataque DoS com snmp [closed]

2

Existe alguma maneira de monitorar ataques DoS com SNMP ou qualquer outro software que, baseado no Linux, possa monitorar roteadores / switches e alertar quando um ataque DoS for observado?

    
por User4283 16.01.2012 / 19:51

2 respostas

1

O mais certo é que, embora dependa da natureza do DoS e da instrumentação exposta pelo SNMP.

  • Pacotes por segundo é uma boa métrica para ser usada se o dispositivo oferecer suporte, já que muitos ataques DoS aparecem como muitos pacotes tentando saturar a capacidade dos links de rastrear muitos itens.
  • O rendimento da interface também, uma vez que outra maneira de DoS é lançar mais tráfego do que o link pode manipular.
  • A CPU da
  • é outra ótima, já que os ataques DoS específicos do dispositivo podem se manifestar à medida que a CPU do roteador / firewall / switch está acabando e fazendo com que coisas ruins aconteçam.

Certifique-se de definir limite de alerta acima do normal em seu pacote de monitoramento, e você deve pegá-los.

    
por 16.01.2012 / 20:17
0

O SNMP é apenas uma ferramenta para recuperar informações, contadores, de um dispositivo.

Usando apenas o snmp, você só conseguirá que o tráfego flua pelas interfaces e informações básicas, como o uso de CPU e RAM.

O Netflow, por outro lado, é um protocolo projetado para reportar padrões de fluxo, e é muito útil para detectar ataques DoS.

Você pode combinar os dois e usar um MIB do Netflow que irá relatar os principais palestrantes e permitir que você monitore o DoS em andamento.

    
por 15.08.2012 / 00:03

Tags