SNMP reflection DDoS
Небольшое исследование, посвящённое DDoS атакам с использованием публично доступных SNMP-серверов с типичным ("public") или подобранным именем community (которое по сути является паролем в SNMP): http://www.prolexic.com/kcresources/prolexic-threat-advisories/prolexic-ddos-threat-advisory-snmp-reflector/TA-SNMP-Reflection-A4-052014.pdf
Идея в том, что SNMP-сервера могут выдавать ответы сильно большого размера, в тысячи раз больше запроса (GetBulkRequest). Таким образом, подделав адрес отправителя в запросе, хакеры провоцируют серверы на отправку массы пакетов на атакуемый IP, создавая таким образом DDoS.
В качестве защиты рекомендуется не выставлять SNMP голой жопой в интернеты, а если уж очень надо, то использовать SNMPv3, он менее подвержен таким атакам, чем 2 версия. В вышеуказанном документе также приводится образец сигнатуры для обнаружения таких атак в сетевом трафике посредством IDS.
Идея в том, что SNMP-сервера могут выдавать ответы сильно большого размера, в тысячи раз больше запроса (GetBulkRequest). Таким образом, подделав адрес отправителя в запросе, хакеры провоцируют серверы на отправку массы пакетов на атакуемый IP, создавая таким образом DDoS.
В качестве защиты рекомендуется не выставлять SNMP голой жопой в интернеты, а если уж очень надо, то использовать SNMPv3, он менее подвержен таким атакам, чем 2 версия. В вышеуказанном документе также приводится образец сигнатуры для обнаружения таких атак в сетевом трафике посредством IDS.