Este informe identifica hosts con SNMPv2 de acceso público, que responden al «público» de la comunidad y que tienen el potencial de ser utilizados en ataques de amplificación por parte de delincuentes que desean realizar ataques de denegación de servicio.
El OID que se sondea es 1.3.6.1.2.1.1.1.0 (sysDescr) y si el host responde a ese sondeo, se sondea el host para OID 1.3.6.1.2.1.1.5.0 (sysName). Los comandos de shell análogos serían:
snmpget -c público -v 2c [ip] 1.3.6.1.2.1.1.1.0
snmpget -c público -v 2c [ip] 1.3.6.1.2.1.1.5.0
Para obtener más información sobre los esfuerzos de escaneo, consulte la página de resumen de escaneo de Internet.
Nombre de archivo: scan_snmp
CAMPOS
timestamp | Hora en que se sondeó la IP en UTC+0 |
ip | IP del dispositivo en cuestión |
protocol | Protocolo en el que se produjo la respuesta de DNS (generalmente UDP) |
port | Puerto del que provino la respuesta SNMP |
hostname | Nombre DNS inverso del dispositivo en cuestión |
sysdesc | Descripción del sistema obtenida de OID 1.3.6.1.2.1.1.1 |
sysname | Nombre del sistema obtenido del OID 1.3.6.1.2.1.1.5 |
asn | ASN de donde reside el dispositivo en cuestión |
geo | País donde reside el dispositivo en cuestión |
region | Estado/Provincia/Región administrativa donde reside el dispositivo en cuestión |
city | Ciudad donde reside el dispositivo en cuestión |
version | La versión de la sonda SNMP a la que respondió la IP (generalmente 2) |
naics | Código del sistema de clasificación de la industria de América del Norte |
sic | Código del sistema de clasificación industrial estándar |
sector | Sector al que pertenece la IP |
device_vendor | proveedor de dispositivos |
device_type | Tipo de dispositivo |
device_model | modelo de dispositivo |
device_version | Versión del dispositivo |
device_sector | Sector del dispositivo (al que pertenece el dispositivo, como consumidor o empresa) |
tag | Establecer en snmp |
community | Nombre de la comunidad SNMP |
response_size | Tamaño de respuesta en bytes |
amplification | Factor de amplificación (Esta amplificación se basa únicamente en el tamaño de la carga útil enviada y el tamaño de la carga útil recibida) |
EJEMPLO
"timestamp","ip","protocol","port","hostname","sysdesc","sysname","asn","geo","region","city","version","naics","sic","sector","device_vendor","device_type","device_model","device_version","device_sector","tag","community","response_size","amplification"
"2010-02-10 00:00:00",192.168.0.1,udp,161,node01.example.com,"RouterOS RB SXT 5nD r2",,64512,ZZ,Region,City,2,0,0,"Professional, Scientific, and Technical Services",MikroTik,router,,,consumer,"snmp,iot",public,111,1.31
"2010-02-10 00:00:01",192.168.0.2,udp,161,node02.example.com,,,64512,ZZ,Region,City,2,0,0,Government,,,,,,snmp,public,85,1.00
"2010-02-10 00:00:02",192.168.0.3,udp,161,node03.example.com,"10/100 4-Port VPN Router",,64512,ZZ,Region,City,2,0,0,,,,,,,snmp,public,121,1.42
Fuente: https://www.shadowserver.org/what-we-do/network-reporting/open-snmp-report/