如何利用SNMP实现网络攻击缓解？

ntopng的最大优势之一是它能够将源自不同层和多个源的数据关联在一起。例如，ntopng可以查看IP数据包，以太网帧，并同时轮询SNMP设备。这使ntopng可以有效地执行关联并观察：

• IP地址的行为（例如，该IP是否被列入黑名单？）
• 网络中承载IP流量的MAC地址
• MAC地址的物理位置（即，给定的MAC地址以及中继和访问端口所遍历的物理交换机）

ntopng，从4.1版本开始，利用这些信息通过SNMP实现攻击缓解。换句话说，ntopng：

1. 使用一种成为分数的折衷表示来确定IP是否是攻击者（客户端分数）或受害人（服务器分数）。
2. 查找攻击者连接到的物理交换机和访问端口。
3. 使用SNMP将访问端口关闭，从而有效地切断攻击者与健康网络的连接。

通过SNMP的缓解攻击是作为一个ntopng插件实现的，可在Enterprise M及更高版本中使用，并可从用户脚本配置页面启用。

让我们看看实际发生的情况。

在此示例中，攻击者主机192.168.2.149配置为向192.168.2.222运行端口扫描nmap-sS。ntopng，使用流量和SNMP数据能够识别主机192.168.2.149是连接到交换机192.168.2.168的千兆以太网15的接口的PcEngines。

ntopng立即检测到端口扫描

事实上，有许多以192.168.2.149为来源的警报“TCP连接被拒绝”流——apu是192.168.2.149的DNS名称。由于这种可疑的活动，192.168.2.149的分数有明显增加。

此分数足够高，可以确保通过SNMP发起的攻击缓解措施。在主机分数增加后的一分钟内，缓解措施会导致SNMP设备上的端口被关闭。

从现在开始，攻击者主机 192. 168 .2 .149有效地与网络断开连接，因此它变得无害了。现在要网络管理员进行干预，对攻击者主机进行必要的清理操作。解决问题后，可以从preferences选项中再次打开SNMP端口。

通过ntopng中实现的SNMP攻击缓解，这只是使ntopng不仅是一个监控和可视化工具，而且还可以主动防止攻击者损害网络的第一步。

接下来是通过缓解外部攻击者来保护网络的能力。nScrub是可以缓解DDoS攻击的工具的一个很好的例子。敬请关注新闻！