Es ist nicht klar, ob einer Ihrer Computer von einem Dritten (remote) angegriffen wird, ein Administrator Sie darüber informiert, dass einer seiner Computer von einem von Ihnen verwalteten Computer angegriffen wird, oder ob ein Administrator Sie auf einen eigenen Computer hinweist Computer wird angegriffen.
Sie geben auch nicht an, ob das durch die IP-Adresse dargestellte Gerät der Angreifer oder der Angreifer ist (das Gerät, das versucht, sich anzumelden). In dem von Ihnen angegebenen Beispiel scheint das SNMP-Protokoll anzuzeigen, dass es sich um den Angreifer handelt.
Zuletzt geben Sie nicht an, ob die Anmeldeversuche von einem Gerät stammen, das sich anmelden kann oder nicht.
Also werde ich versuchen, alle Grundlagen abzudecken:
Wenn die versuchten Anmeldungen unerwünscht sind: Sie sollten mindestens den Zugriff blockieren. Dies erfolgt normalerweise mit einer Zugriffssteuerungsliste (auf einem Router) oder einer Firewall-Regel. Im Idealfall würden Sie auf physischer Ebene blockieren, indem Sie den Portzugriff deaktivieren, da unerwünschter Datenverkehr über Ihr Netzwerk gesendet wird. Vielleicht keine große Sache in einem LAN. Viel störender bei einem MAN oder WAN.
Wenn die versuchten Anmeldungen erwünscht sind: Sie sollten die Geräte so konfigurieren, dass sie über die richtigen SNMP-Anmeldeinformationen verfügen, damit sie sich anmelden können. Das Gerät, auf das zugegriffen wird, muss auch die Remote-SNMP-Anmeldung zulassen.
Wenn die Anzahl der Anmeldeversuche zu hoch ist: Sie sollten das Gerät nach unerwünschten oder falsch konfigurierten Prozessen / Anwendungen durchsuchen, die innerhalb eines bestimmten Zeitraums zu häufig versuchen, (über SNMP) zu scannen. Es ist möglich, dass eine korrekte Anmeldung die Anzahl der Scans verringert. Fehlkonfigurierte Anwendungen, insbesondere Netzwerkverwaltungs-Apps, werden häufig wiederholt gescannt, bis sie eine erwartete Antwort erhalten.