Ataques de DRDoS explorando consultas SNMP

Ataque

Assim como ocorre com o DNS e o NTP, o SNMP também pode ser explorado para ataques de DRDoS. A vulnerabilidade a ataques de DRDoS existe quando dispositivos na rede permitem consultas pública de gerenciamento através do protocolo SNMP. O atacante, então, realiza consultas nestes dispositivos como se fosse a vítima, através do spoofing de pacotes.

Solução

A vulnerabilidade pode ser detectada através do seguinte comando (em uma máquina Linux for a de sua rede):

# snmpget -c public -v 2c "ip" 1.3.6.1.2.1.1.1.0
# snmpget -c public -v 2c "ip" 1.3.6.1.2.1.1.5.0

Se estes comandos retornarem algo diferente de timeout, o dispositivo está vulnerável. Esta falha pode ser corrigida seguindo as recomendações a seguir:

Os links a seguir mostram exemplos de configurações que podem ser aplicadas para restringir consultas e corrigir a vulnerabilidade: