LinkSLA智能运维管家V6.0版支持通过SNMP Trap对设备进行监控告警，Trap是一种主动推送网络设备事件或告警消息的方式，与SNMP轮询（polling）不同，具有以下几点优势：

1. 实时监控与快速响应

SNMP Trap能够实时将告警主动发送到平台，无需等待采集器定期轮询，可更快地发现和响应故障问题。

2. 降低网络带宽消耗

相比polling轮询，Trap减少频繁查询请求，降低网络带宽使用。采集器无需定期轮询每个设备的状态，而是在设备出现重要事件时主动汇报 。

3. 可配置和灵活性

设备可配置发送不同类型的Trap消息，涵盖各种事件和状态变化，如设备重启、接口状态变化、阈值超限等。SNMP Trap可以灵活适应不同的监控需求和策略 。 

下面分享一起由Trap监控发现的网络攻击案例。

告警异常

5月17日平台上收到某用户的交换机“SDN-S6250当NFPP事件发生时，生成该消息”的告警，同时伴随大量端口离线和恢复的告警。   

查看告警详情，锁定是ARP-Dos网络攻击。告警描述信息中给出了源IP、MAC地址以及物理端口号，方便工程师进行快速定位问题。这种攻击通过发送大量虚假ARP请求或响应来消耗目标设备的资源，使其无法正常工作，可能导致网络中断、服务中断或数据包丢失，给网络安全和运行带来严重影响。

查找网络攻击源并处理

1、通知现场工程师，MOC工程师配合一起查找网络攻击源。      

2、现场工程师查看交换机日志，该端口出现大量up和down日志信息，禁用日志中出现的仪器设备。

3、设备禁用后持续观察，ARP-Dos网络攻击告警没再出现，问题解决。

4、为避免 AR- DoS 攻击及未知影响，MOC工程师进一步建议：

1）使用防火墙或其他网络设备过滤恶意ARP 请求和响应，以阻止攻击流量进入网络。

2）定期监控网络流量，以及 ARP 请求和响应的频率和模式。异常的 ARP 流量可能是攻击的迹象。

3）部署 IDS 和 IPS 来检测并阻止 ARP DoS 攻击，可以根据预定义的规则检测恶意的 ARP 流量并采取相应的措施。

4）合理配置网络设备，例如交换机和路由器，以限制 ARP 流量的影响范围，并防止 ARP 缓存过载。   

5）使用 VLAN 和网络隔离技术将网络划分为多个逻辑区域，以限制攻击的传播范围。

6）定期更新和维护网络设备、检测ARP 欺骗和网络安全培训等，避免ARP-DoS 攻击。

案例总结

网络设备启用NFPP和Trap告警相结合，实现对网络安全事件的快速反应，值守工程师第一时间接收工单，并初步判断问题，沟通现场工程师，协助解决问题，形成工单闭环，避免事件升级。

知识拓展

通过本次事件，不难发现NFPP的主要功能和优势。

1、防止DDoS攻击

NFPP通过限制特定类型的流量和连接请求来防止分布式拒绝服务（DDoS）攻击。缓解攻击带来的网络拥塞和服务中断问题 。

2、流量管理和控制

NFPP允许管理员定义和实施流量管理策略，控制不同类型流量的带宽使用情况。这有助于确保关键业务应用获得足够的带宽，提升网络整体性能和服务质量 。

3、保护网络设备

NFPP可以对网络设备（如路由器、交换机）的管理接口进行保护，防止未经授权的访问和操作。通过限制访问控制列表（ACL）和启用身份验证机制，提升设备安全性。

4、防范网络扫描和探测

通过检测和阻止网络扫描行为（如端口扫描、主机探测），可以有效防止攻击者收集网络拓扑和服务信息，降低网络暴露面 。

5、增强日志记录和监控

NFPP策略通常包括增强的日志记录和监控功能，帮助网络管理员及时发现和响应异常活动。通过实时监控和分析日志，可以更早地检测到潜在威胁并采取措施 。

声明：原创内容，转载请注明。