我的snmp服务器使用3%的CPU和大约600 kbit / s的带宽。
使用“ iftop”,我的服务器正在通过HTTP端口将数据发送到未知IP,但是目标IP无法ping并且没有打开HTTP端口。
myhostname.com.br:snmp => 144.168.68.43:http 520Kb 487Kb 487Kb
<= 40.2Kb 37.6Kb 37.6Kb
所有默认值(snmpd.conf),我仅将其用于本地MRTG。
这是OpenVZ下的CentOS 7。有什么想法吗?
答案 0 :(得分:1)
这些通知/陷阱或对Get请求的响应吗?
有人在轮询您的SNMP服务,就这么简单。
如果您不希望他们这样做,请对它们(或它)进行防火墙防护。
公共服务经常由随机的陌生人轮询,这有时是自动探测的结果,但有时是出于明确的恶意目的。这就是为什么我们有防火墙。
ICMP ping和HTTP都与它无关。 SNMP响应转到请求来自的相同地址(IP和端口)-端口的选择实际上是任意的,但是似乎发起者已明确决定使用端口80,因为它通常是开放端口,并且没有引起太多的注意。坦率地说,这本身是可疑的,因为除非存在特殊的技术限制,否则可靠且授权的SNMP管理器将使用更常规地分配给SNMP流量的端口(例如UDP 162)。
如果没有迹象表明传入请求触发了此流量,则您的SNMP代理将自行执行此操作。您是否配置了它?如果没有,则可能是您被黑了,而其他人则以这种方式对其进行了配置。
尽管您确实应该检查发生了什么,您仍然可以将其防火墙关闭(防火墙可以双向访问!)。
如果没有传入的请求,并且您的SNMP管理器未配置为向144.168.68.43发送通知,那么您是否还不知道另一个 SNMP管理器?您安装的某些软件支持SNMP?否则,您真的会遇到麻烦。
答案 1 :(得分:0)
我认为我找到了问题。该IP与MIB有关,它从无法访问的IP中读取内容。
如果我将其阻止(iptables),“新闻”将每2-3秒开始记录一次:
Nov 19 10:33:44 loki snmpd[18942]: send response: Failure in sendto
Nov 19 10:33:44 loki snmpd[18942]: -- SNMPv2-MIB::sysDescr.0
Nov 19 10:33:44 loki snmpd[18942]: -- SNMPv2-MIB::sysORDescr.1
Nov 19 10:33:44 loki snmpd[18942]: -- SNMPv2-MIB::sysObjectID.0
Nov 19 10:33:44 loki snmpd[18942]: -- SNMPv2-MIB::sysORDescr.2
Nov 19 10:33:44 loki snmpd[18942]: -- DISMAN-EVENT-MIB::sysUpTimeInstance
Nov 19 10:33:44 loki snmpd[18942]: -- SNMPv2-MIB::sysORDescr.3
Nov 19 10:33:44 loki snmpd[18942]: -- SNMPv2-MIB::sysContact.0
(....)
我只是不知道如何解决...至少,服务器没有损坏。