SNMP端口指南：161和162端口网络监控

SNMP 有两个主要作用。 SNMP 管理器是提出问题或接收通知的监控系统。 SNMP 代理在受监控的设备上运行，并通过管理信息库 (MIB) 公开值。

对于日常监控，管理器在 UDP 161 上向代理发送 get、get-next、get-bulk 或 set 请求。对于事件驱动监控，设备在 UDP 162 上向管理器发送陷阱或通知。通知被确认；陷阱通常是一劳永逸的。

UDP 161 是大多数团队在询问 SNMP 端口是否打开时所指的端口。如果需要轮询，则监控收集器必须可以访问每个受监控设备。 UDP 162 是陷阱的反向方向，并从设备向收集器发出通知。

由于 SNMP 主要使用 UDP，因此简单的仅 TCP 检查可能会错过真实行为。 TCP 端口检查器对于一般可达性模式很有用，但 SNMP 验证应包括 SNMP 感知命令或针对确切社区、用户和 MIB 对象的监控收集器测试。

SNMPv1 和 SNMPv2c 使用行为类似于共享密码的社区字符串。它们仍然很常见，尤其是在较旧的网络中，但它们不提供强大的身份验证或隐私。如果社区字符串泄露，攻击者可能会读取敏感的清单和拓扑数据。

SNMPv3 添加了基于用户的安全性、身份验证和可选的隐私加密。对于新部署，具有身份验证和隐私功能的 SNMPv3 应作为默认设置。如果 SNMPv2c 仍然有必要，请严格限制其范围并使用唯一的非默认社区字符串。

仅在受信任的监控收集器与其管理的设备之间打开 SNMP。典型来源包括 NMS 平台、可观测性收集器、SIEM 集成、容量规划系统和专用陷阱接收器。

不要将 SNMP 暴露于公共互联网。 SNMP 可以显示接口名称、设备型号、固件版本、路由详细信息、序列号和性能计数器。如果启用设置操作，可写 SNMP 访问可能会更加危险。

在允许 SNMP 之前，请确定设备是否应支持轮询、陷阱、通知或全部三种。确认 SNMP 版本、允许的源 IP、团体字符串或 SNMPv3 用户、身份验证和隐私算法以及公开哪些 MIB 视图。

端口检查可以显示路径是否可达，但 SNMP 成功取决于协议级策略。使用 snmpwalk、snmpget、snmpbulkwalk 或监控平台本身来确认预期的 OID 返回数据并且拒绝未经授权的来源。

在网络设备上，仅在管理接口或受信任的 VRF 上启用 SNMP（如果可能）。配置 SNMPv3 用户、使用 ACL 限制源地址并定义 MIB 视图，以便监控系统仅看到其需要的内容。

在 Linux 上，通常使用 net-snmp。配置 snmpd 以侦听目标接口，定义 SNMPv3 用户或受限社区，并仅允许来自监控收集器的 UDP 161。陷阱接收器（例如 snmptrapd）需要在收集器上打开 UDP 162。

在 Windows Server 上，与现代遥测选项相比，SNMP 是传统的，但它仍然出现在较旧的监控堆栈中。如果启用，则限制接受的主机，避免默认社区字符串，并在可行的情况下首选较新的代理或 Windows 本机监视。

首先确认收集器和设备之间的基本网络可达性。然后使用与监控平台相同的 SNMP 版本、凭据和安全设置从收集器运行 snmpwalk 或 snmpget。

对于陷阱，生成或等待已知事件并确认收集器在 UDP 162 上接收该事件。如果陷阱未到达，请检查设备陷阱目标、源接口、路由、ACL、NAT、收集器防火墙规则以及收集器是否实际正在侦听。

如果轮询失败，代理可能会被禁用、侦听不同的接口、被 ACL 阻止或拒绝社区或 SNMPv3 用户。如果只有部分OID失败，则可能是MIB视图、设备固件、权限或监控模板错误。

如果陷阱失败，则设备可能会发送到错误的收集器地址、使用错误的源接口，或者被路由和防火墙策略阻止。请记住，轮询和陷阱使用相反的流量方向，因此一个可以工作，而另一个则失败。

尽可能使用具有身份验证和隐私功能的 SNMPv3。禁用默认社区（例如公共和私人），除非确实需要，否则避免写入访问，并将允许的源限制为监视收集器。

保持设备固件和代理修补、记录 SNMP 身份验证失败、监控查询量并对意外来源发出警报。将 SNMP 数据视为敏感数据，因为它可以揭示足够的基础设施详细信息以帮助攻击者计划横向移动。