Assim como ocorre com o DNS e o NTP, o SNMP também pode ser explorado para ataques de DRDoS. A vulnerabilidade a ataques de DRDoS existe quando dispositivos na rede permitem consultas pública de gerenciamento através do protocolo SNMP. O atacante, então, realiza consultas nestes dispositivos como se fosse a vítima, através do spoofing de pacotes.
A vulnerabilidade pode ser detectada através do seguinte comando (em uma máquina Linux for a de sua rede):
# snmpget -c public -v 2c "ip" 1.3.6.1.2.1.1.1.0 # snmpget -c public -v 2c "ip" 1.3.6.1.2.1.1.5.0Se estes comandos retornarem algo diferente de timeout, o dispositivo está vulnerável. Esta falha pode ser corrigida seguindo as recomendações a seguir:
- Desativar SNMP v1 e v2c e utilizar SNMP v3
- Não utilizar comunidades padrões, como: public e private
- Restringir o acesso SNMP para hosts específicos através de listas de controle de acesso (ACLs).
- Restringir todas as saídas SNMP através da utilização de views.
- Desativar o protocolo SNMP nos dispositivos que não precisarem de gerenciamento.
Os links a seguir mostram exemplos de configurações que podem ser aplicadas para restringir consultas e corrigir a vulnerabilidade: