snmp安装信息刺探以及安全策略
<P><FONT color=#f70909>来源:</FONT><a href="http://killgod.blogchina.com/" target="_blank" ><FONT color=#f70909>http://killgod.blogchina.com/</FONT></A></P><P>记:黑客X档案前几期的文章上有介绍利用<a href="http://hackbase.com/hacker/tool" target="_blank" >工具</A>snmputil.exe来刺探信息的,但是本</P>
<P>人觉得讲的有点简单,下面本人来深入的讨论一下,大家共同进步。</P>
<P>
一、SNMP的概念,功能 </P>
<P>SNMP(Simple Network Management Protocol)是被广泛接受并投入使用的工业标准,</P>
<P>它的目标是保证管理信息在任意两点中传送,便于网络管理员在网络上的任何节点检索</P>
<P>信息,进行修改,寻找故障;完成故障诊断,容量规划和报告生成。它采用轮询机制,</P>
<P>提供最基本的功能集。最适合小型、快速、低价格的环境使用。它只要求无证实的传输层</P>
<P><a href="http://hackbase.com/network/protocol" target="_blank" >协议</A>UDP,受到许多产品的广泛支持。 </P>
<P>本文将讨论如何在Win<a href="http://hackbase.com/skill" target="_blank" >2K</A>安装使支持SNMP功能,SNMP<a href="http://hackbase.com/network" target="_blank" >技术</A>对于提升整体安全水准是有益的,</P>
<P>但也可能存在风险,本文将同时检验这两个方面。另外,除了介绍一些开发<a href="http://hackbase.com/hacker/tool" target="_blank" >工具</A>外,</P>
<P>还将图解通过SNMP收集信息的可能用法,以及如何提高安全性。</P>
<P>二、在Win<a href="http://hackbase.com/skill" target="_blank" >2K</A>中安装SNMP </P>
<P>提供一个支持SNMP的Win<a href="http://hackbase.com/skill" target="_blank" >2K</A>设备与增加一个额外的Windows组件同样简单,只需要进入"开始/设置/控制面板/",</P>
<P>选择"添加/删除程序",然后选择"添加/删除Windows组件",随之出现一个对话框,在其中选择"管理和监视<a href="http://hackbase.com/hacker/tool" target="_blank" >工具</A>",</P>
<P>最后点击"下一步",依照提示安装:
OK,现在Win<a href="http://hackbase.com/skill" target="_blank" >2K</A>就可以通过SNMP来访问了.</P>
<P>三、对snmp信息的刺探方法</P>
<P>1、Snmputil get </P>
<P>下面我们在命令行状态下使用Win<a href="http://hackbase.com/skill" target="_blank" >2K</A>资源<a href="http://hackbase.com/hacker/tool" target="_blank" >工具</A>箱中的程序snmputil.exe</P>
<P>(<a href="http://pdp.nease.net/snmputil.zip" target="_blank" >http://pdp.nease.net/snmputil.zip</A>)</P>
<P>来获取安装了SNMP的Win<a href="http://hackbase.com/skill" target="_blank" >2K</A>机器的网络接口数目,命令参数是get:</P>
<P>前提是对方snmp口令是public</P>
<P>snmputil.exe提供基本的、低级的SNMP功能,通过使用不同的参数和变量,可以显示设备情况以及管理设备。</P>
<P>下面来看看这个例子都包含了哪些参数和变量: </P>
<P>
●最后一个参数是SNMP变量,值为1.3.6.1.2.1.2.1.0,被称为物件识别<a href="http://hackbase.com/hacker" target="_blank" >代码</A>OID(object identifier)。</P>
<P>OID有对应的字符串表达式,也就是在SNMPUTIL输出内容的第一行,在这个例子中,即是interfaces.ifNumber.0。</P>
<P>这个字符串对于用户来说,就要易记易读多了。你可以发现,这种对应关系与DNS类似。 </P>
<P>●第二个参数指定将SNMP请求发送给哪个设备,在这里是localhost,即本地主机。 </P>
<P>●第三个参数指定使用哪个共同体(即验证字符串或口令),在这里是public。 </P>
<P>在每个发送到被管理设备的SNMP UDP信息包中,这个口令是以纯文本形式传输的。</P>
<P>当一个Win<a href="http://hackbase.com/skill" target="_blank" >2K</A>设备安装上SNMP支持后,缺省的SNMP共同体名称为 public,这表明允许用户读取现有的所有变量。</P>
<P>因为即便是设备中的网络接口数目也是一个敏感数据,所以这就成为第一个安全问题。 </P>
<P>
2、Snmputil getnext </P>
<P>接着,我们试一试snmputil的另一个命令参数getnext: </P>
<P>getnext的功能是获取指定SNMP变量的下一个变量的值及其OID。因为一个设备的所有SNMP变量都是规则排列的,</P>
<P>所以使用getnext命令参数就可以获取一个设备中的所有变量值及OID,而不需要事先知道它们的准确OID值。 </P>
<P>
另外Snmputil getnext可以用来测试 Windows <a href="http://hackbase.com/skill" target="_blank" >2K</A> SNMP内存消耗拒绝<a href="http://vip.hackbase.com/" target="_blank" >服务</A><a href="http://hackbase.com/hacker" target="_blank" >攻击</A>缺陷</P>
<P>受影响的系统有:</P>
<P>- Microsoft lmmib2.dll 5.00.2134.1
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
- Microsoft Windows 2000 Server</P>
<P>具体方法:</P>
<P>snmputil getnext localhost public .1.3.6.1.4.1.77.1.2.28.0</P>
<P>请谨慎使用。。。。。。 当心被警察叔叔K哦</P>
<P>
3、snmputil walk </P>
<P>知道了next指令的用途,我们可以编写一个程序自动获取一个设备的所有OID及其数值,而不用一行行地敲入那么长的命令。</P>
<P>但幸运的是,snmputil的walk指令帮助我们实现了这个想法。在命令行状态下敲入下面的命令,将显示出本地机器几乎所有的变量: </P>
<P>C:\> snmputil walk localhost public .1.3 </P>
<P>你会看到一行行的文字在黑白窗口中不停地滚动 ...... 直到最后出现"End of MIB subtree"的信息:</P>
<P>其他指令含义:</P>
<P>1.snmputil walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程</P>
<P>这样就可以使<a href="http://hackbase.com/hacker" target="_blank" >入侵</A>者在<a href="http://hackbase.com/hacker" target="_blank" >入侵</A>之前就知道你系统运行的<a href="http://down.hackbase.com/" target="_blank" >软件</A>,有没有装杀毒<a href="http://down.hackbase.com/" target="_blank" >软件</A>,</P>
<P>从而知己知彼,百战不殆!</P>
<P>2.snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表</P>
<P>有了这个更好了,<a href="http://hackbase.com/hacker" target="_blank" >入侵</A>者可以根据你的用户表编一个<a href="http://hackbase.com/hacker" target="_blank" >密码</A>表进行探测,
减少了<a href="http://hackbase.com/hacker" target="_blank" >入侵</A>的盲目性。</P>
<P>3.snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名</P>
<P>这个可以列出系统的域名,是<a href="http://hackbase.com/hacker" target="_blank" >入侵</A>者得到了主机名,可以根据此设置探测的<a href="http://hackbase.com/hacker" target="_blank" >密码</A>字典,增加了成功率。</P>
<P>
4.snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的<a href="http://down.hackbase.com/" target="_blank" >软件</A></P>
<P>用这个<a href="http://hackbase.com/hacker" target="_blank" >入侵</A>者可以看你装的sp是什么,有没有装<a href="http://hackbase.com/hacker" target="_blank" >防火墙</A>等信息,可以据此判断应该有的系统<a href="http://www1.hackbase.com/News/World" target="_blank" >漏洞</A>,增加了<a href="http://hackbase.com/hacker" target="_blank" >入侵</A>的成功率。</P>
<P>5.snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息</P>
<P>这个可以使<a href="http://hackbase.com/hacker" target="_blank" >入侵</A>者了解系统状况以及主机的稳定性,可以从主机的uptime里得知你系统开机了多长时间,从而确定是否<a href="http://hackbase.com/hacker" target="_blank" >入侵</A>。</P>
<P>
其他的<a href="http://hackbase.com/hacker/tool" target="_blank" >工具</A>:</P>
<P>1:SolarWinds 2002的IP Network Browser</P>
<P><a href=" target="_blank" >_</A>id=82">http://www.lbfok.com/txt/showsoft.asp?soft<a href="http://www1.hackbase.com/hacker/tutorial/200501199605.htm#" target="_blank" >_</A>id=82</A>(<a href="http://down.hackbase.com/" target="_blank" >软件</A>地址)</P>
<P><a href=" target="_blank" >_</A>id=83">http://www.lbfok.com/txt/showsoft.asp?soft<a href="http://www1.hackbase.com/hacker/tutorial/200501199605.htm#" target="_blank" >_</A>id=83</A>(注册机下载)</P>
<P>2:LANguard Network Scanner 3.
<a href=" target="_blank" >_</A>id=103">http://www.lbfok.com/txt/showsoft.asp?soft<a href="http://www1.hackbase.com/hacker/tutorial/200501199605.htm#" target="_blank" >_</A>id=103</A></P>
<P>3:X-scan2.3cn</P>
<P>以上用x-scan就得到了系统信息</P>
<P><a href=" target="_blank" >_</A>id=13">http://www.lbfok.com/txt/showsoft.asp?soft<a href="http://www1.hackbase.com/hacker/tutorial/200501199605.htm#" target="_blank" >_</A>id=13</A></P>
<P>
四、如何提高Win<a href="http://hackbase.com/skill" target="_blank" >2K</A> SNMP的安全性 </P>
<P>
1:首先需要注意的是,snmp<a href="http://vip.hackbase.com/" target="_blank" >服务</A>的通讯端口是UDP端口,这也就是大部分网络管理人员很容易忽略的地方。 </P>
<P>往往某些网管配置<a href="http://vip.hackbase.com/" target="_blank" >服务</A>器阻断了NetBIOS空会话的建立,就认为系统安全有了相当的保障,可由于安装 </P>
<P>了SNMP<a href="http://vip.hackbase.com/" target="_blank" >服务</A>,不知不觉中,就给系统带去了极大的隐患。 </P>
<P>最方便和容易的解决方法,就是关闭SNMP<a href="http://vip.hackbase.com/" target="_blank" >服务</A>,或者卸载掉该<a href="http://vip.hackbase.com/" target="_blank" >服务</A>。 </P>
<P>如果关掉SNMP<a href="http://vip.hackbase.com/" target="_blank" >服务</A>不方便的话,那么可以通过修改<a href="http://hackbase.com/skill/regedit" target="_blank" >注册表</A>或者直接修改图形界面的SNMP<a href="http://vip.hackbase.com/" target="_blank" >服务</A>属性 </P>
<P>进行安全配置。 </P>
<P>开始——程序——管理<a href="http://hackbase.com/hacker/tool" target="_blank" >工具</A>——<a href="http://vip.hackbase.com/" target="_blank" >服务</A>——SNMP Service——属性——安全 </P>
<P>
在这个配置界面中,可以修改community strings,也就是微软所说的"团体名称",呵呵,也就是 </P>
<P>我所说的"查询<a href="http://hackbase.com/hacker" target="_blank" >密码</A>"。或者可以配置是否从某些安全主机上才允许SNMP查询。 </P>
<P>不过NT4环境下的朋友就必须修改<a href="http://hackbase.com/skill/regedit" target="_blank" >注册表</A>了。 </P>
<P>修改community strings,在 </P>
<P> </P>
<P>下,将public的名称修改成其它的名称就可以了。 </P>
<P>如果要限定允许的ip才可以进行SNMP查询,可以进入 </P>
<P> </P>
<P>添加字符串,名称为"1",内容为要允许的主机IP。 </P>
<P>当然,如果允许多台机器的话,就要名称沿用"2、3、4"等名称了</P>
<P>
2:在Win<a href="http://hackbase.com/skill" target="_blank" >2K</A>中,事件日志中的任何事件都可用来创建包含这一事件的SNMP陷阱,Microsoft将这称为SNMP 事件转换器。</P>
<P>可以对一些Win<a href="http://hackbase.com/skill" target="_blank" >2K</A>设备进行配置,使得当有人试图登录它或者对其共享而未成功时,让这些设备能够发送一个SNMP陷阱信息。</P>
<P>把这些陷阱引导到我们自己的工作站,并设置当收到陷阱信息,用应用程序播放一个报警音调,这样就可以初步建立一个多</P>
<P>媒体安全管理工作站。 </P>
<P>配置这些陷阱信息所需要的<a href="http://hackbase.com/hacker/tool" target="_blank" >工具</A>有evntwin.exe和evntcmd.exe,二者都是Win<a href="http://hackbase.com/skill" target="_blank" >2K</A>标准安装后的一部分:</P>
<P>用evntwin.exe对一些重要事件建立陷阱,然后在管理工作站上启动snmputil.exe: </P>
<P>
C:\> snmputil trap </P>
<P>snmputil: listening for traps... </P>
<P>Incoming Trap: </P>
<P>generic = 6 </P>
<P>specific = 529 </P>
<P>enterprise = .iso.org.8.83.101.99.117.114.105.116.121 </P>
<P>agent = 127.0.0.1 </P>
<P>source IP = 127.0.0.1 </P>
<P>community = public </P>
<P>variable = .iso.org.1.0 </P>
<P>value = String </P>
<P>variable = .iso.org.2.0 </P>
<P>value = String SYSTEM </P>
<P>variable = .iso.org.3.0 </P>
<P>value = String JVO </P>
<P>variable = .iso.org.4.0 </P>
<P>value = String 16 </P>
<P>variable = .iso.org.5.0 </P>
<P>value = String 2 </P>
<P>variable = .iso.org.dod.0 </P>
<P>value = String nonexistinguser </P>
<P>variable = .iso.org.7.0 </P>
<P>value = String ADS </P>
<P>variable = .iso.org.8.0 </P>
<P>value = String 3 </P>
<P>variable = .iso.org.9.0 </P>
<P>value = String NtLmSsp </P>
<P>variable = .iso.org.10.0 </P>
<P>value = String MICROSOFT<a href="http://www1.hackbase.com/hacker/tutorial/200501199605.htm#" target="_blank" >_</A>AUTHENTICATION<a href="http://www1.hackbase.com/hacker/tutorial/200501199605.htm#" target="_blank" >_</A>PACKAGE<a href="http://www1.hackbase.com/hacker/tutorial/200501199605.htm#" target="_blank" >_</A>V1<a href="http://www1.hackbase.com/hacker/tutorial/200501199605.htm#" target="_blank" >_</A>0 </P>
<P>variable = .iso.org.11.0 </P>
<P>value = String JVO </P>
<P>要记住,SNMP陷阱只产生于出现在Win<a href="http://hackbase.com/skill" target="_blank" >2K</A>事件日志中的事件。如果是一个单独的工作站,需要在"本地安全策略"中配置。</P>
<P>如果是一个域中的设备,要使用AD(活动目录)来设置。</P>
<P>另一个使用SNMP并得到附加安全的方法是主动监控某些SNMP变量,这些变量有: </P>
<P>●IpForwarding (1.3.6.1.2.1.4.1.0):就是IP转发,这个特性对大多少工作站而言不是个好功能。 </P>
<P>●IcmpInRedirects (1.3.6.1.2.1.5.7):是否有人正在向设备发送icmp重定向信息。 </P>
<P>●TcpOutRsts (1.3.6.1.2.1.6.15):一个记数器,表示设备所发送的RST数。当受到端口扫描时,这个记数器会急剧增加。 </P>
<P>●UdpNoPorts (1.3.6.1.2.1.7.2):一个记数器,表示不提供<a href="http://vip.hackbase.com/" target="_blank" >服务</A>的端口的通信量。同样是一个可能受到端口扫描的信号。 </P>
<P>对于一个SNMP管理工作站来说,为这些变量设置阀值就能提供很好的报警信息。
</P>
<P>
<CENTER></CENTER>
页:
[1]