数学建模社区-数学中国

标题: snmp安装信息刺探以及安全策略 [打印本页]
作者: 韩冰    时间: 2005-1-20 14:41
标题: snmp安装信息刺探以及安全策略

来源:http://killgod.blogchina.com/

8 a1 U# X$ Z p, x8 d4 C

记:黑客X档案前几期的文章上有介绍利用工具snmputil.exe来刺探信息的,但是本

! T. a: _; k) E q, W+ a! f, K! q

人觉得讲的有点简单,下面本人来深入的讨论一下,大家共同进步。

- j( J$ F+ u+ v/ M$ p3 J1 I

- h9 r* q) ~6 P5 m/ _! ^( z一、SNMP的概念,功能

& l3 @2 t8 B/ } n" o: X

SNMP(Simple Network Management Protocol)是被广泛接受并投入使用的工业标准,

( q, F5 \& c* v# v; {& }' }

它的目标是保证管理信息在任意两点中传送,便于网络管理员在网络上的任何节点检索

) O5 d4 b# c8 F" F/ }; `, O! ~

信息,进行修改,寻找故障;完成故障诊断,容量规划和报告生成。它采用轮询机制,

5 c; n% D2 l& b9 H8 a/ _

提供最基本的功能集。最适合小型、快速、低价格的环境使用。它只要求无证实的传输层

# {. h1 U5 ?# j& Q G

协议UDP,受到许多产品的广泛支持。

1 |5 G* [5 k1 S L, B3 g

本文将讨论如何在Win2K安装使支持SNMP功能,SNMP技术对于提升整体安全水准是有益的,

8 @0 j& l; O( k" O. M8 e. W

但也可能存在风险,本文将同时检验这两个方面。另外,除了介绍一些开发工具外,

! X4 F# C% `, P2 Q) g& c' d) H1 x

还将图解通过SNMP收集信息的可能用法,以及如何提高安全性。

. L7 H; R1 E" ^ v

二、在Win2K中安装SNMP

* t) q* y( D5 I6 Y8 `* C2 a5 U" V

提供一个支持SNMP的Win2K设备与增加一个额外的Windows组件同样简单,只需要进入"开始/设置/控制面板/",

* _6 x S8 ~! D9 H5 ]2 d4 d- M

选择"添加/删除程序",然后选择"添加/删除Windows组件",随之出现一个对话框,在其中选择"管理和监视工具",

/ Z. b( x+ s5 l( }1 o: a2 c" o( |, m) Y. Q

最后点击"下一步",依照提示安装:& y, x4 |4 R' G8 F/ k OK,现在Win2K就可以通过SNMP来访问了.

1 @8 V$ P- w J R

三、对snmp信息的刺探方法

: K( ]9 [; ]* p6 f2 v

1、Snmputil get

" ~9 s% N3 ]! h# x2 x E

下面我们在命令行状态下使用Win2K资源工具箱中的程序snmputil.exe

! J f- k: ]& q' D. T

(http://pdp.nease.net/snmputil.zip)

+ g h+ I8 Q- C& R* r. o6 B

来获取安装了SNMP的Win2K机器的网络接口数目,命令参数是get:

3 O0 d, X- r0 Z/ C5 g3 L: C, Z# U

前提是对方snmp口令是public

/ X. n1 u/ J6 w8 _2 y; `. ]

snmputil.exe提供基本的、低级的SNMP功能,通过使用不同的参数和变量,可以显示设备情况以及管理设备。

$ w& Q# j. n0 k+ u

下面来看看这个例子都包含了哪些参数和变量:

- s/ C K( i* E/ S0 O7 |+ E. w# p, v

" ^* e. T; R g, p% ^! q ●最后一个参数是SNMP变量,值为1.3.6.1.2.1.2.1.0,被称为物件识别代码OID(object identifier)。

& G( @* y# u" a8 V* R7 E

OID有对应的字符串表达式,也就是在SNMPUTIL输出内容的第一行,在这个例子中,即是interfaces.ifNumber.0。

/ I- A) M9 Q6 a1 Z: i! X+ d

这个字符串对于用户来说,就要易记易读多了。你可以发现,这种对应关系与DNS类似。

+ x3 o+ v2 v' [2 w- o5 x

●第二个参数指定将SNMP请求发送给哪个设备,在这里是localhost,即本地主机。

5 A) [3 o. p- n8 S

●第三个参数指定使用哪个共同体(即验证字符串或口令),在这里是public。

7 r! {3 ]% @/ |. j- c

在每个发送到被管理设备的SNMP UDP信息包中,这个口令是以纯文本形式传输的。

& i o6 z/ o$ t: n" d

当一个Win2K设备安装上SNMP支持后,缺省的SNMP共同体名称为 public,这表明允许用户读取现有的所有变量。

& R9 s. I1 E+ f; _

因为即便是设备中的网络接口数目也是一个敏感数据,所以这就成为第一个安全问题。

# s7 \- R( d; q

' T5 ~7 ]6 Z" J( W7 @* v 2、Snmputil getnext

& L3 a0 H% E$ i2 y; o3 S1 N' \

接着,我们试一试snmputil的另一个命令参数getnext:

5 d& j Z* Y9 r: [ y- I6 c

getnext的功能是获取指定SNMP变量的下一个变量的值及其OID。因为一个设备的所有SNMP变量都是规则排列的,

3 Y+ `$ \1 F+ z: S. J( P! i

所以使用getnext命令参数就可以获取一个设备中的所有变量值及OID,而不需要事先知道它们的准确OID值。

2 _- I# |+ i% I/ R: }

. w# V$ h3 Q2 T另外Snmputil getnext可以用来测试 Windows 2K SNMP内存消耗拒绝服务攻击缺陷

) O& C9 E/ e: ]6 Y" B# K

受影响的系统有:

6 u0 a- W% c t2 n3 T Q6 A/ v

- Microsoft lmmib2.dll 5.00.2134.1- M0 n: g; V, ]) I0 F9 M! k3 L - Microsoft Windows 2000 Server SP2 ) F @+ V g: D; ]: U/ G- Microsoft Windows 2000 Server SP1 & r4 ]- \( h, A E1 a/ L- Microsoft Windows 2000 Server

" u% g1 f# ~0 p( y+ |0 I

具体方法:

$ k0 C4 h+ n$ C( q& W

snmputil getnext localhost public .1.3.6.1.4.1.77.1.2.28.0

$ X3 m$ [; {0 N6 A7 j+ a% c

请谨慎使用。。。。。。 当心被警察叔叔K哦

3 k* y4 K( Q" A7 h; l' ?' q' R. n

# `9 D% [. c, H. _+ q9 \ ?3、snmputil walk

! C$ ~# M- i- t6 s. t0 R; O

知道了next指令的用途,我们可以编写一个程序自动获取一个设备的所有OID及其数值,而不用一行行地敲入那么长的命令。

* |6 a7 g1 f& d6 O- W( c

但幸运的是,snmputil的walk指令帮助我们实现了这个想法。在命令行状态下敲入下面的命令,将显示出本地机器几乎所有的变量:

1 I( h# f9 p: ?, P1 A

C:\> snmputil walk localhost public .1.3

3 ?8 H4 V% z. G# y; k% B ~

你会看到一行行的文字在黑白窗口中不停地滚动 ...... 直到最后出现"End of MIB subtree"的信息:

' D& z5 K6 Z1 V

其他指令含义:

1 `5 F5 i6 P5 z9 z- g+ f9 D

1.snmputil walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程

7 M# Q8 f, ]3 |5 K6 [7 K9 P0 }

这样就可以使入侵者在入侵之前就知道你系统运行的软件,有没有装杀毒软件

, \3 D$ y, r& b9 ~0 a' T$ D* ?

从而知己知彼,百战不殆!

' ?& v4 t- k1 @% N4 Q8 y

2.snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表

# V* u& j3 B4 X* K* U% R1 Y

有了这个更好了,入侵者可以根据你的用户表编一个密码表进行探测, ; }7 C* o+ k$ D2 `0 A8 O减少了入侵的盲目性。

$ L M2 [1 F( G) ~; w4 p7 i

3.snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名

) F2 G6 x5 b( O4 d3 X' y* d* A

这个可以列出系统的域名,是入侵者得到了主机名,可以根据此设置探测的密码字典,增加了成功率。

' ?7 b9 L8 J' k! H% j

) f9 Z1 U7 a, _# b1 S h4.snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件

& @4 O. x: G% }+ o+ K. o; A

用这个入侵者可以看你装的sp是什么,有没有装防火墙等信息,可以据此判断应该有的系统漏洞,增加了入侵的成功率。

! Y! f- A/ l8 U, J6 n8 p

5.snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息

, S' H* D8 N6 e7 r" s

这个可以使入侵者了解系统状况以及主机的稳定性,可以从主机的uptime里得知你系统开机了多长时间,从而确定是否入侵

8 X3 c; y$ H' ^- l

n. B y1 `0 b# a Q. p 其他的工具

( x% \% r G$ H9 d5 b" V# s% l

1:SolarWinds 2002的IP Network Browser

6 z9 j7 ^/ @2 ]* l2 c' B6 V# R

_id=82">http://www.lbfok.com/txt/showsoft.asp?soft_id=82(软件地址)

h5 N L' d6 U3 c C( k

_id=83">http://www.lbfok.com/txt/showsoft.asp?soft_id=83(注册机下载)

9 Q' w) L. U2 {' y

2:LANguard Network Scanner 3. ; X$ p% g5 Q$ q, J8 Y7 u2 j, {7 K8 y_id=103">http://www.lbfok.com/txt/showsoft.asp?soft_id=103

! i) T0 @8 c0 ~8 C$ ]% x9 v- X! v/ _

3:X-scan2.3cn

Y! Y3 E# ~( B9 V2 e' @

以上用x-scan就得到了系统信息

# Y5 {/ R+ A: J& c8 [5 Z

_id=13">http://www.lbfok.com/txt/showsoft.asp?soft_id=13

; k- @$ D. r- O9 P: s8 G

9 E+ L- G$ j) K/ ~$ N- d 四、如何提高Win2K SNMP的安全性

' y$ o0 {) i( e

# K4 k6 L# c4 g3 D" T 1:首先需要注意的是,snmp服务的通讯端口是UDP端口,这也就是大部分网络管理人员很容易忽略的地方。

; }+ c2 |% Z( @) A3 {) o4 s

往往某些网管配置服务器阻断了NetBIOS空会话的建立,就认为系统安全有了相当的保障,可由于安装

0 p# P: c- s% p* [# @

了SNMP服务,不知不觉中,就给系统带去了极大的隐患。

@" i" K. U7 W9 U* z

最方便和容易的解决方法,就是关闭SNMP服务,或者卸载掉该服务

# Z9 O" w* C4 G1 i' |- H3 X

如果关掉SNMP服务不方便的话,那么可以通过修改注册表或者直接修改图形界面的SNMP服务属性

& ~) r" F) e( E

进行安全配置。

! t# V9 k9 w; T4 x( ?6 W

开始——程序——管理工具——服务——SNMP Service——属性——安全

% r2 C. T5 j, D; J; W: H. g

% C8 d2 P0 p y1 d+ m3 \+ j在这个配置界面中,可以修改community strings,也就是微软所说的"团体名称",呵呵,也就是

: b0 o0 S5 A* P7 L9 e

我所说的"查询密码"。或者可以配置是否从某些安全主机上才允许SNMP查询。

$ S. b4 y. f+ d6 d

不过NT4环境下的朋友就必须修改注册表了。

" e& l! u4 m) j0 W

修改community strings,在

% p/ K" {) T {1 Z1 r9 X( u

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities]

& p' L3 t0 g/ G$ m5 n y( W

下,将public的名称修改成其它的名称就可以了。

4 m% g) P% G$ o- h, t

如果要限定允许的ip才可以进行SNMP查询,可以进入

4 M% w- T2 g& W9 F6 {6 c

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers]

* f6 J* u( M. g- V1 C! J' q- M

添加字符串,名称为"1",内容为要允许的主机IP。

' g3 N5 ~1 j* j( a# P; ^

当然,如果允许多台机器的话,就要名称沿用"2、3、4"等名称了

) o3 i' |( R, V

% b" p" V! x# @) L2:在Win2K中,事件日志中的任何事件都可用来创建包含这一事件的SNMP陷阱,Microsoft将这称为SNMP 事件转换器。

9 o- Y! A4 p% X2 d$ H& c/ p6 C# D

可以对一些Win2K设备进行配置,使得当有人试图登录它或者对其共享而未成功时,让这些设备能够发送一个SNMP陷阱信息。

3 J9 V% k4 h* w( j! M9 f; A2 h% s

把这些陷阱引导到我们自己的工作站,并设置当收到陷阱信息,用应用程序播放一个报警音调,这样就可以初步建立一个多

2 M2 u) Q" d N0 h g: ]+ Z) y, S

媒体安全管理工作站。

% p2 f3 Z' N0 B1 ^( t& K

配置这些陷阱信息所需要的工具有evntwin.exe和evntcmd.exe,二者都是Win2K标准安装后的一部分:

0 \6 P* R% z9 ~( \9 C; s% P

用evntwin.exe对一些重要事件建立陷阱,然后在管理工作站上启动snmputil.exe:

6 T# f- U8 B* n5 m' s0 I1 L' x8 a7 J

& {' b3 P9 D4 }" ?6 i L' ?& ?* ]C:\> snmputil trap

2 |7 t- @2 i% b a: X' z& C- a& ^) `8 z

snmputil: listening for traps...

3 W+ D! A) Z: r9 n: P+ G1 T

Incoming Trap:

, F9 Q2 i% z( H0 j4 K4 {% V. q

generic = 6

# T8 Q* j* D$ L) o* y

specific = 529

1 y B6 N, U6 ]) u' O+ H

enterprise = .iso.org.8.83.101.99.117.114.105.116.121

4 }8 K) D4 W1 b: _

agent = 127.0.0.1

* [$ |0 v0 o- {6 F5 k. s

source IP = 127.0.0.1

" r" H1 F' N7 Z* A. | [3 B- {

community = public

7 d8 z# V3 x8 c R) y3 _

variable = .iso.org.1.0

. v' X, t% P. ]; K

value = String

; X/ W/ L6 v Y: h9 g9 e( M

variable = .iso.org.2.0

# m. }: P9 I* d6 ?! v5 x$ G

value = String SYSTEM

$ M7 e9 |0 P' s5 J/ p

variable = .iso.org.3.0

( a9 O5 P7 n* i) s7 b

value = String JVO

/ ~4 K) f8 ?' p, r& y' X

variable = .iso.org.4.0

" [" d- H6 E5 E; z9 D

value = String 16

8 U, `( D: u1 {8 i, C1 q! M G1 X7 e

variable = .iso.org.5.0

0 C+ f9 b( Y |1 R8 c

value = String 2

% b2 \1 e) v4 m

variable = .iso.org.dod.0

a* |3 h% g5 h4 o+ ~0 N" e

value = String nonexistinguser

% o# U- `( @' _) |

variable = .iso.org.7.0

. W# {/ `/ _, Y& e

value = String ADS

" t) U/ G0 j4 r; i5 H% ^- j

variable = .iso.org.8.0

8 u9 E8 r. \9 T- i

value = String 3

r; R+ I4 D0 C1 u3 y L1 {

variable = .iso.org.9.0

8 A7 E9 b( |& n9 M% R8 F

value = String NtLmSsp

& }; Q6 X4 g9 p! k" V7 f6 d7 N) P

variable = .iso.org.10.0

; N f# O$ C$ r

value = String MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

" A1 W/ Z1 q: \& ^

variable = .iso.org.11.0

0 j8 J5 E! S# `1 Z

value = String JVO

4 |$ |% m$ l- q2 ~+ _1 B0 F3 i

要记住,SNMP陷阱只产生于出现在Win2K事件日志中的事件。如果是一个单独的工作站,需要在"本地安全策略"中配置。

: t6 }" a+ ]! Q4 W9 ~7 s

如果是一个域中的设备,要使用AD(活动目录)来设置。

3 M, [8 S# ~' n' F

另一个使用SNMP并得到附加安全的方法是主动监控某些SNMP变量,这些变量有:

& R- w/ y7 O1 O5 j. {" |7 `! S. G

●IpForwarding (1.3.6.1.2.1.4.1.0):就是IP转发,这个特性对大多少工作站而言不是个好功能。

( }2 p+ N4 k) @0 N6 r) I

●IcmpInRedirects (1.3.6.1.2.1.5.7):是否有人正在向设备发送icmp重定向信息。

4 `% D* P2 b- _" ^) |3 t

●TcpOutRsts (1.3.6.1.2.1.6.15):一个记数器,表示设备所发送的RST数。当受到端口扫描时,这个记数器会急剧增加。

) J$ {' L. i/ l+ m" x9 [* w

●UdpNoPorts (1.3.6.1.2.1.7.2):一个记数器,表示不提供服务的端口的通信量。同样是一个可能受到端口扫描的信号。

- q7 {" W$ h9 l& A( X( j0 [9 P

对于一个SNMP管理工作站来说,为这些变量设置阀值就能提供很好的报警信息。 9 S3 ~0 W' Z2 j; Z: [. `/ X* ~

2 m& A7 E2 _0 h, I1 Y% G# }

7 p- z+ n1 o" V6 ~





欢迎光临 数学建模社区-数学中国 (http://www.madio.net/) Powered by Discuz! X2.5