一、問題:裝置SNMP不通
網絡裝置SNMP不通Timeout while connecting to "192.168.1.99:161".
1.1檢查配置
1.管理IP是否對應上
2.對象團體名是否正确
3.監控項snmp版本是否對應上
4.根據以上3點和網絡裝置的配置資訊對照是否正确,因為網絡裝置品牌很多配置方式都是五花八門,是以這裡不做示範
5.網絡裝置可能配置snmp時使用了ACL控制,這邊要檢查IP是否指向Zabbix
6.有些網絡裝置不是配置了snmp資訊就能生效的,需要在管理接口(interface)上查驗是否啟用snmp協定
7.看清楚配置的裝置是否支援snmp(snmp讀權限為snmp get,寫權限為snmp set它們端口為UDP161用于被動請求性能資料和發送執行指令),有些裝置隻支援snmp trap(端口UDP162 用于主動推送告警)
1.2檢查網絡
1.網絡政策沒放通,可通過端口掃描工具nmap在Zabbix主機上來探測目标位址的路徑是否通暢(注意:這裡很多人會用ping和telnet來做通斷探測,存在很大誤區,首先ping是ICMP協定隻能證明路由是否可達和snmp是否通訊沒有關聯何況有些網絡環境是禁ping的,telnet探測的端口都是TCP端口,而snmp使用的是UDP端口,是以也不能作為端口是否開放的判斷依據)
yum install -y nmap
nmap -sU 192.168.1.99 -p 161
Nmap參數說明:
-sU 表示使用UDP端口探測
IP:指定目的IP
-p 表示端口号
Nmap傳回狀态說明:
2.Snmpwalk探測(如果探測正常,監控還是異常的話則更多的是zabbix web配置參數對不上的問題
yum -y install net-snmp-utils
snmpwalk -v 2c -c lwjkss 192.168.1.99 SNMPv2-MIB::sysDescr.0
snmpwalk使用參數,如下(這裡為了簡介不使用V3版本):
snmpwalk -v 1或2c(代表SNMP版本) -c SNMP密碼 IP位址 OID(對象标示符)
–v:指定snmp的版本, 1或者2c,該參數必須有。
–c:指定連接配接裝置SNMP讀密碼(團體名),該參數必須有(連接配接裝置如果沒有修改預設的團體名則預設都是public)。
IP:指定要walk的裝置的IP位址,該參數必須有。
OID:代表要擷取裝置的名額oid,該參數不是必須的但為了便于查驗還是要帶上(SNMPv2-MIB::sysDescr.0這個OID表示裝置描述)。
如果以上提到的配置參數有誤和網絡snmp不可達,則會出現如下情況:
如果裝置正常則會出現以下情況:
二、問題:SNMP不穩定
ZABBIX監控SNMP不穩定,一會通一會不通
1.2.2.1單個對象
如果該現象隻是出現在單個對象中,其他對象采集沒有被影響,則:
1.裝置問題,裝置不支援大量請求
Zabbix伺服器和代理守護程序在單個請求中查詢多個值的SNMP裝置。這會影響各種SNMP監控項(正常SNMP項目,具有動态索引的SNMP項目和SNMP低級别發現),它使SNMP處理更加高效。 從Zabbix 2.4開始,它還為每個接口提供了一個“使用批量請求”的設定,允許為無法正确處理它們的裝置禁用批量請求。
從Zabbix 2.2.7和Zabbix 2.4.2開始,Zabbix伺服器和代理守護程式的日志在收到不正确的SNMP響應時會列印類似以下内容:(雖然它們沒有涵蓋所有有問題的情況,但它們對于識别應禁用批量請求的各個SNMP裝置非常有用。)
SNMP response from host "gateway" does not contain all of the requested variable bindings
去掉勾選即可
2.2全局對象
如果該情況發生後影響了其他監控對象的不穩定,則
1.程序不夠用,加大Zabbix 伺服器的StartPollers的程序,可根據zabbix自監控圖形來判斷(平均75%以上則有問題)
編輯zabbix_server.conf檔案:
2.實體網絡防火牆連接配接數限制(不是作業系統防火牆),可以通過在防火牆中檢視日志和連接配接數上限,進而放寬連接配接數
3.如果無法開放實體防火牆的連接配接數則要在監控對象所在的網段内搭建zabbix proxy代監控即可解決連接配接數問題
4.如果2、3點都不允許操作則可考慮:
降低snmp監控項的采集頻率;
删除、過濾無用監控項(比如正則過濾無用的端口);
自動發現端口監控原型禁用,等發現完成後根據人工篩選啟用某些端口監控項;
采用腳本方式一次擷取所需要的MIB表的資訊(一般隻需要做端口的),然後在本地json化再傳給zabbix。
三、Nmap原理
端口掃描是指某些别有用心的人發送一組端口掃描消息,試圖以此侵入某台計算機,并了解其提供的計算機網絡服務類型(這些網絡服務均與端口号相關),但是端口掃描不但可以為黑客所利用,同時端口掃描還是網絡安全工作者的必備的利器,通過對端口的掃描,了解網站中出現的漏洞以及端口的開放情況,對網站安全方面有着不可或缺的貢獻,是你學習網絡安全的第一門課程的首選
1.2.3.3.1Nmap優點
目前在市面上主要的端口掃描工具是X_Scan、SuperScan、nmap,其中在這裡主推的是nmap,因為nmap具有以下的這一些優點:
1、多種多樣的參數,豐富的腳本庫,滿足使用者的個人定制需求,其中腳本庫還提供了很多強大的功能任你選擇
2、強大的可移植性,基本上能在所有的主流系統上運作,而且代碼是開源的
3、詳細的文檔說明,和強大的社群團隊進行支援,方面新人上手
Nmap是一款開源免費的網絡發現(Network Discovery)和安全審計(Security Auditing)工具,但是nmap也是有一些缺點的,比如說上手較難,但是難上手是相對的,與其他達到這種功能性的軟體産品相比,還是比較容易上手的,但是這也不妨礙nmap成為世界千萬安全專家列為必備的工具之一,在其中的一些影視作品中《黑客帝國2》、《特警判官》中都有亮相
3.2Nmap端口狀态
open(開放的)
應用程式正在該端口接收TCP 連接配接或者UDP封包。發現這一點常常是端口掃描 的主要目标。安全意識強的人們知道每個開放的端口 都是攻擊的入口。攻擊者或者入侵測試者想要發現開放的端口。 而管理者則試圖關閉它們或者用防火牆保護它們以免妨礙了合法使用者。 非安全掃描可能對開放的端口也感興趣,因為它們顯示了網絡上那些服務可供使用。
closed(關閉的)
關閉的端口對于Nmap也是可通路的(它接受Nmap的探測封包并作出響應), 但沒有應用程式在其上監聽。 它們可以顯示該IP位址上(主機發現,或者ping掃描)的主機正在運作up 也對部分作業系統探測有所幫助。 因為關閉的關口是可通路的,也許過會兒值得再掃描一下,可能一些又開放了。 系統管理者可能會考慮用防火牆封鎖這樣的端口。 那樣他們就會被顯示為被過濾的狀态,下面讨論。
filtered(被過濾的)
由于包過濾阻止探測封包到達端口, Nmap無法确定該端口是否開放。過濾可能來自專業的防火牆裝置,路由器規則 或者主機上的軟體防火牆。這樣的端口讓攻擊者感覺很挫折,因為它們幾乎不提供 任何資訊。有時候它們響應ICMP錯誤消息如類型3代碼13 (無法到達目标: 通信被管理者禁止),但更普遍的是過濾器隻是丢棄探測幀, 不做任何響應。 這迫使Nmap重試若幹次以訪萬一探測包是由于網絡阻塞丢棄的。 這使得掃描速度明顯變慢。
unfiltered(未被過濾的)
未被過濾狀态意味着端口可通路,但Nmap不能确定它是開放還是關閉。 隻有用于映射防火牆規則集的ACK掃描才會把端口分類到這種狀态。 用其它類型的掃描如視窗掃描,SYN掃描,或者FIN掃描來掃描未被過濾的端口可以幫助确定 端口是否開放。
open|filtered(開放或者被過濾的)
當無法确定端口是開放還是被過濾的,Nmap就把該端口劃分成 這種狀态。開放的端口不響應就是一個例子。沒有響應也可能意味着封包過濾器丢棄 了探測封包或者它引發的任何響應。是以Nmap無法确定該端口是開放的還是被過濾的。 UDP,IP協定, FIN,Null,和Xmas掃描可能把端口歸入此類。