snmp設計用於滿足網路管理員不斷增長的需求。從20世紀90年代初起,snmp已經整合到幾乎所有你能想到的網路系統中,包括許多網路安全系統。snmp是查詢和配置裝置的一種協議。snmp陷阱和通知是裝置在特定事件發生時生成的特殊snmp訊息。雖然snmp協議整體來說不是乙個日誌記錄系統,但是snmp陷阱和通知可以看作日誌訊息的型別。雖然許多網路裝置能夠通過syslog傳送事件資訊,但是有些裝置不能,特別是舊裝置,因此snmp陷阱和通知是從裝置獲得其他途徑不能收集的事件資訊的一種方法。在某些情況下,通過snmp傳送的資訊型別與通過syslog傳送的不同。
snmp有多個版本,通常稱作snmpv1、snmpv2和snmpv3。詳細介紹snmp超出了本書的範圍,所以我們只關注陷阱/通知、獲取和設定。下面的小節介紹這些主題,但是首先我們必須討論管理器和**的概念。
1. 管理器和**
snmp陷阱是snmpv1協議的一部分。snmp通知是snmpv2和snmpv3協議的一部分。陷阱和通知之間的關鍵區別是通知包含了接收者向傳送者發回確認的功能。裝置必須經過配置才能產生訊息,包括什麼事件生成訊息,向**傳送訊息。
和syslog一樣,snmp通過udp實現,因此和syslog有同樣的可靠性問題。2023年,cert發現snmp的許多商業實現有漏洞。今天,這個問題大體上已經被人遺忘,**商試圖進一步解決這些安全問題。但是,對這些問題的存在必須引起注意。snmpv2通知允許從接收者發回確認,至少提供了比單向udp訊息更可靠的訊息傳遞。
snmpv1陷阱使用明文傳送,且沒有身份認證,這也和syslog一樣。因此,它們也容易遭到相同型別的欺騙攻擊。snmpv2通知也以明文傳送。snmpv3有可選擇的訊息認證,可以抵禦欺騙攻擊,代價是占用了傳送者和接收者上的一些cpu週期。
3.snmp get
snmp協議允許「get」(獲取)操作,你可以用它從乙個裝置或者系統上讀取資訊。你能夠得到什麼?這很大程度上取決於裝置的實現。例如,路由器將跟蹤每個介面的傳送和接收位元組數等資訊。作業系統通常允許你獲得cpu使用、記憶體使用等資訊。從裝置或者系統中可以獲得有助於日誌分析的資訊。但是在實踐中,這既不實用、也不現實。在網路管理界有個概念叫做陷阱導向輪詢(trap-directed polling)。這意味著,當你接收到某種snmp陷阱,使用snmp get輪詢裝置以讀取附加資訊,進一步關聯或者驗證剛剛收到的陷阱。但是一般來說,傳送陷阱的安全裝置所作的只是:傳送陷阱,但是並不跟蹤任何可以「獲取」的資訊。
4.snmp set
為了完整性,我們將簡短地討論snmp set(設定)。顧名思義,snmp set允許你更改遠端系統上的某個數值。例如,網橋實現某種規範,允許你使用snmp set開關交換機埠。為此,你必須知道連線到特定埠的主機的mac位址。
5.snmp作為日誌資料替代方案的問題
如前所述,syslog訊息的乙個大問題是沒有標準的格式。這意味著,**商abc的日誌訊息很可能與**商xyz的不同。然而,對於snmp,情況也只是略好一些。snmp使用了所謂的mib(management information base,管理資訊庫)。概略地說,這是特定系統所支援的陷阱和通知的定義。下面是來自snort mib的一條通知:
檢視這一通知的結構細節和含義並不重要。我們只想對snmp有乙個總體的概念。需要指出的一點是定義中的objects部分。這是將在通知中傳送的單獨事件細節。例如,sida-sensorversion在同乙個mib中的定義如下:
這是我們了解了特定細節的樣子,在這個例子中,它是乙個字串,表示報告該通知的snort版本。
遺憾的是,儘管mib為良好格式、容易理解的訊息提供了乙個強大的框架,但是**商很少提供這樣的mib。**商用各種辦法歪曲它。例如,mib可能與裝置或者系統實際傳送的陷阱或者通知不符。或者,對底層snmp實現進行了更改,但是mib沒有更新,很快就變得不同步。然後,當我們這些終端使用者使用mib來理解陷阱時,即使沒有完全被誤導,也至少會被弄糊塗。
最終,**商沒有花時間建立和上面的snort示例類似的mib,而是建立乙個傳送單變數的陷阱,這個變數就是乙個自由格式的文字字串。結果是,snmp陷阱和syslog訊息一樣難以解析。實際上,許多**商使用的是和syslog訊息相同的訊息,並將其包裝在snmp陷阱中。
所以,snmp可能不是收集日誌資訊的最佳方式,但是它可能是從某些裝置獲取資訊的唯一手段。
《日誌管理與分析權威指南》一2 2 2 日誌語法
任何格式的日誌檔案都具有語法,日誌語法在概念上與語言 如英語 語法相似。人類語言語法中的句子通常包含乙個主語 乙個謂語 有時還包含乙個表語,當然還有補語和定語。句子的語法涵蓋句子成員之間的關係和他們的含義。需要注意的是,語法並不涉及訊息的內容。換句話說,語法處理的是如何構造我們所要表述的內容,而不是...
HTTP權威指南 基礎知識 連線管理與HTTP結構
1 所有的tcp連線都是tcp ip承載的,http連線實際上就是tcp連線及其使用規則。http 應用層 http 應用層 tcp 傳輸層 tsl or ssl 安全層 ip 網路層 tcp 傳輸層 網路介面 資料鏈路層 ip 網路層 網路介面 資料鏈路層 3 tcp連線是通過4個值 源ip位址 ...
和我一起學《HTTP權威指南》 連線管理
幾乎所有的http通訊都是由tcp ip承載的。瀏覽網頁時客戶端執行的操作 如瀏覽 瀏覽器收到這個url時,會執行如下圖的步驟。1.1tcp的可靠資料管道 http連線實際上是tcp連線和一些使用連線的規則 tcp連線是網際網路上的可靠連線,tcp為http提供一條可靠的位元傳輸管道,從tcp連線一...