数学建模社区-数学中国

标题: snmp安装信息刺探以及安全策略 [打印本页]
作者: 韩冰    时间: 2005-1-20 14:41
标题: snmp安装信息刺探以及安全策略

来源:http://killgod.blogchina.com/

1 J# d+ N; l0 M0 \- Q& V

记:黑客X档案前几期的文章上有介绍利用工具snmputil.exe来刺探信息的,但是本

2 P) k- I! S x- H" n6 F

人觉得讲的有点简单,下面本人来深入的讨论一下,大家共同进步。

4 N% _+ t2 Z9 ?' w

' x- s) ^% a' e+ V# o m7 A一、SNMP的概念,功能

: ]7 O7 t8 v, w0 i

SNMP(Simple Network Management Protocol)是被广泛接受并投入使用的工业标准,

$ S" h# N& Y- G; D) W

它的目标是保证管理信息在任意两点中传送,便于网络管理员在网络上的任何节点检索

$ J- D) a+ s v8 A8 \7 H% w

信息,进行修改,寻找故障;完成故障诊断,容量规划和报告生成。它采用轮询机制,

: b ^1 [! M6 J" ?4 L* b6 q6 a( h

提供最基本的功能集。最适合小型、快速、低价格的环境使用。它只要求无证实的传输层

2 w; d% l' X# ?$ g9 z/ T7 ~

协议UDP,受到许多产品的广泛支持。

4 [4 Y k$ E' \/ h" V! U

本文将讨论如何在Win2K安装使支持SNMP功能,SNMP技术对于提升整体安全水准是有益的,

. B+ P1 G4 R$ R

但也可能存在风险,本文将同时检验这两个方面。另外,除了介绍一些开发工具外,

* B4 f6 ?0 L5 G6 P' D% X

还将图解通过SNMP收集信息的可能用法,以及如何提高安全性。

- y; u8 R/ u4 e6 L+ Q! i+ Q) w9 m7 v

二、在Win2K中安装SNMP

) A! `# L- U8 Y# D; ?' ^ x! }

提供一个支持SNMP的Win2K设备与增加一个额外的Windows组件同样简单,只需要进入"开始/设置/控制面板/",

* m* W0 ~; `3 E, t

选择"添加/删除程序",然后选择"添加/删除Windows组件",随之出现一个对话框,在其中选择"管理和监视工具",

( O0 W7 {# L1 e+ W0 R* C4 p

最后点击"下一步",依照提示安装:6 W8 |2 j( K, q! D& [ OK,现在Win2K就可以通过SNMP来访问了.

& @, G2 x' J# M; w6 v

三、对snmp信息的刺探方法

$ {$ m$ V% z) I8 Y# F2 X3 @; Z+ D3 y/ E) b

1、Snmputil get

L* z" F) L* Q6 _7 l

下面我们在命令行状态下使用Win2K资源工具箱中的程序snmputil.exe

/ L: Y$ P" L9 R7 M+ U. o

(http://pdp.nease.net/snmputil.zip)

: h& n ]/ k" \' @& A

来获取安装了SNMP的Win2K机器的网络接口数目,命令参数是get:

6 b5 x* t' c8 ~9 f; B/ p7 Z7 m

前提是对方snmp口令是public

4 a/ h% h( t/ E, o' b8 k

snmputil.exe提供基本的、低级的SNMP功能,通过使用不同的参数和变量,可以显示设备情况以及管理设备。

3 k6 `; S, r) J6 A- s4 V6 p5 I

下面来看看这个例子都包含了哪些参数和变量:

) w4 n/ l6 j- ~, y+ o* K6 \+ q8 c

$ m$ F1 O" @+ {1 x) Z$ | r ●最后一个参数是SNMP变量,值为1.3.6.1.2.1.2.1.0,被称为物件识别代码OID(object identifier)。

: a0 c6 ? P4 V8 G4 k8 q) L/ }0 P

OID有对应的字符串表达式,也就是在SNMPUTIL输出内容的第一行,在这个例子中,即是interfaces.ifNumber.0。

6 G8 J. O- A/ M R

这个字符串对于用户来说,就要易记易读多了。你可以发现,这种对应关系与DNS类似。

; D. I# p! E6 ~+ V8 @/ `

●第二个参数指定将SNMP请求发送给哪个设备,在这里是localhost,即本地主机。

* Q; j* w: W* M* V: h

●第三个参数指定使用哪个共同体(即验证字符串或口令),在这里是public。

* H$ p/ |: E$ _

在每个发送到被管理设备的SNMP UDP信息包中,这个口令是以纯文本形式传输的。

- C1 [, a! P+ H2 c9 x# k. t: ~

当一个Win2K设备安装上SNMP支持后,缺省的SNMP共同体名称为 public,这表明允许用户读取现有的所有变量。

0 u r' ], J9 h4 b3 l0 u- r9 {

因为即便是设备中的网络接口数目也是一个敏感数据,所以这就成为第一个安全问题。

% J% f! o6 g" s! U1 N1 U

1 ?5 N" W$ H0 b1 } 2、Snmputil getnext

" r) h' M1 [ Q) R/ }7 A

接着,我们试一试snmputil的另一个命令参数getnext:

6 O; ^( D6 h( C, M N

getnext的功能是获取指定SNMP变量的下一个变量的值及其OID。因为一个设备的所有SNMP变量都是规则排列的,

( J$ w# s" N9 d

所以使用getnext命令参数就可以获取一个设备中的所有变量值及OID,而不需要事先知道它们的准确OID值。

! ~. I* Q# o( e3 \, A$ E7 z; D

- ]) l7 u2 X& D, ^& j" M/ H+ L 另外Snmputil getnext可以用来测试 Windows 2K SNMP内存消耗拒绝服务攻击缺陷

8 f0 a( B+ l( S0 L' H

受影响的系统有:

9 [3 h) O8 a4 n2 ~: Z, g: L y

- Microsoft lmmib2.dll 5.00.2134.1 9 i+ a5 w; C6 x: d# `8 U- Microsoft Windows 2000 Server SP2 % b* N, u% L& N# t/ d- Microsoft Windows 2000 Server SP1 : b. k8 J! U7 k/ I5 U3 x- Microsoft Windows 2000 Server

0 z; o6 Q; `/ h8 |/ i

具体方法:

1 f# h" @6 {$ ?1 V: \' K" Y

snmputil getnext localhost public .1.3.6.1.4.1.77.1.2.28.0

0 \( h2 ^, X8 L$ \

请谨慎使用。。。。。。 当心被警察叔叔K哦

2 W+ k: H; J* |. {- w

: m( Q1 F# S i: h3、snmputil walk

; ~1 d& ?) {; a, j) F3 |3 i2 I

知道了next指令的用途,我们可以编写一个程序自动获取一个设备的所有OID及其数值,而不用一行行地敲入那么长的命令。

, M6 L0 n3 f2 Y6 |- {# K

但幸运的是,snmputil的walk指令帮助我们实现了这个想法。在命令行状态下敲入下面的命令,将显示出本地机器几乎所有的变量:

, d- \- `) }! O% ~2 u

C:\> snmputil walk localhost public .1.3

9 O6 o2 a2 A) K/ Y( E

你会看到一行行的文字在黑白窗口中不停地滚动 ...... 直到最后出现"End of MIB subtree"的信息:

$ I. D* b9 h+ J' g( C

其他指令含义:

2 s& A3 k8 G- k. Q; Q( B

1.snmputil walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程

% w* z+ v) j0 K; j! s* s5 U

这样就可以使入侵者在入侵之前就知道你系统运行的软件,有没有装杀毒软件

m% C" v1 F4 N

从而知己知彼,百战不殆!

: h$ j+ i, j8 L8 l& K

2.snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表

7 {- Q ~3 A$ L. `

有了这个更好了,入侵者可以根据你的用户表编一个密码表进行探测, # }$ P$ @ F+ ~/ @+ G减少了入侵的盲目性。

- G: ^- _! O; l' X3 \; v

3.snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名

4 ^' a. J& K( J

这个可以列出系统的域名,是入侵者得到了主机名,可以根据此设置探测的密码字典,增加了成功率。

( Y% r1 f; D6 P" y

' k0 t4 E2 [1 j) x4 X2 v4.snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件

( v* N" T# E. ]& {* p9 p& [

用这个入侵者可以看你装的sp是什么,有没有装防火墙等信息,可以据此判断应该有的系统漏洞,增加了入侵的成功率。

" A0 k/ Q4 H* `, r5 R

5.snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息

0 o. S& r4 a3 A7 T% r1 P

这个可以使入侵者了解系统状况以及主机的稳定性,可以从主机的uptime里得知你系统开机了多长时间,从而确定是否入侵

# C) Q' B8 O0 A. G- W$ m, V3 Q2 C) L

) w/ m- F% w4 w& ~$ L( v其他的工具

2 d! x p4 E, {$ r/ t

1:SolarWinds 2002的IP Network Browser

9 E2 v. l4 a3 _, ~2 b1 K

_id=82">http://www.lbfok.com/txt/showsoft.asp?soft_id=82(软件地址)

; N4 [% P2 O; I# `2 o

_id=83">http://www.lbfok.com/txt/showsoft.asp?soft_id=83(注册机下载)

3 {7 l7 Z9 _$ ^

2:LANguard Network Scanner 3.- W' e5 p0 x% K6 `% m1 r _id=103">http://www.lbfok.com/txt/showsoft.asp?soft_id=103

0 X, y0 S7 c; B, j

3:X-scan2.3cn

! e6 [& @2 H# y5 u0 I6 W

以上用x-scan就得到了系统信息

4 v: s% ~ v' Y4 E) w3 Z' y

_id=13">http://www.lbfok.com/txt/showsoft.asp?soft_id=13

/ l% G* w4 {% [* i: n

- B p r. M# G/ I4 \+ b. E5 p 四、如何提高Win2K SNMP的安全性

- ^) W# l+ V6 i

" p" ^- k) a! H( E( G( q' g+ e) | 1:首先需要注意的是,snmp服务的通讯端口是UDP端口,这也就是大部分网络管理人员很容易忽略的地方。

. K: N3 b# J. d6 @

往往某些网管配置服务器阻断了NetBIOS空会话的建立,就认为系统安全有了相当的保障,可由于安装

/ L6 a1 V% l3 i' I

了SNMP服务,不知不觉中,就给系统带去了极大的隐患。

% E- I" n+ C7 Y% @$ t

最方便和容易的解决方法,就是关闭SNMP服务,或者卸载掉该服务

4 g) d# x* N$ ^8 B

如果关掉SNMP服务不方便的话,那么可以通过修改注册表或者直接修改图形界面的SNMP服务属性

8 a. d% g4 Q. l/ _

进行安全配置。

7 r. a" ?; N, f% T

开始——程序——管理工具——服务——SNMP Service——属性——安全

; G( b4 w9 i/ L

9 s: F+ s1 b2 \$ R' z 在这个配置界面中,可以修改community strings,也就是微软所说的"团体名称",呵呵,也就是

+ t( R" S6 p/ b2 h- G2 @4 }: [

我所说的"查询密码"。或者可以配置是否从某些安全主机上才允许SNMP查询。

9 L5 g9 @7 O; m, g

不过NT4环境下的朋友就必须修改注册表了。

4 A6 v& S4 M- O; [6 y5 m

修改community strings,在

! M O3 H. S) u# W+ B: [. m

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities]

6 c {: }/ _# w8 \, \2 N* ?

下,将public的名称修改成其它的名称就可以了。

- a* u: ?5 ^; J5 N; _6 B- R% o+ Y9 K

如果要限定允许的ip才可以进行SNMP查询,可以进入

) m0 u# N7 W t

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers]

4 {' z) f; w: d

添加字符串,名称为"1",内容为要允许的主机IP。

! c+ e4 q, o2 b- E' L7 G3 Q

当然,如果允许多台机器的话,就要名称沿用"2、3、4"等名称了

/ k! q- M" e% R5 ^* Y

, O3 h3 h) t! D; u3 X2:在Win2K中,事件日志中的任何事件都可用来创建包含这一事件的SNMP陷阱,Microsoft将这称为SNMP 事件转换器。

8 k9 @7 a$ \* i7 x4 i

可以对一些Win2K设备进行配置,使得当有人试图登录它或者对其共享而未成功时,让这些设备能够发送一个SNMP陷阱信息。

0 z5 m- z0 P: O3 Z f7 X0 E2 V

把这些陷阱引导到我们自己的工作站,并设置当收到陷阱信息,用应用程序播放一个报警音调,这样就可以初步建立一个多

4 l D) k/ y- I5 E

媒体安全管理工作站。

. I1 K) t$ P( @8 b6 ]

配置这些陷阱信息所需要的工具有evntwin.exe和evntcmd.exe,二者都是Win2K标准安装后的一部分:

, u( w) \7 N9 \ K0 Q8 a, q

用evntwin.exe对一些重要事件建立陷阱,然后在管理工作站上启动snmputil.exe:

/ b- r& _1 |2 h8 l" O- T/ q

4 y4 a- u9 O: K1 E C:\> snmputil trap

+ e+ O- W2 b7 n' g; @5 E. L

snmputil: listening for traps...

! N" `" h' |& o

Incoming Trap:

7 y1 E5 [! q* L# v

generic = 6

% x# f3 e# l# g& D

specific = 529

+ t. ]1 c+ {- H, B

enterprise = .iso.org.8.83.101.99.117.114.105.116.121

9 C0 y2 L9 g" i1 Q) l* E2 q4 ^/ o' M

agent = 127.0.0.1

( |5 ^4 Y/ Q+ N, C. T$ L

source IP = 127.0.0.1

/ j- q6 K3 b0 h3 ]5 \+ t( I

community = public

. o, A) _, y; g, a1 n

variable = .iso.org.1.0

' t4 P% y, v0 }. k4 V

value = String

. R+ { A4 {. {! ?, E) ?

variable = .iso.org.2.0

$ A2 @' \/ D# X) d, | N

value = String SYSTEM

% T* ^. ^9 L* L6 Q

variable = .iso.org.3.0

$ a5 A; R1 |) y* E7 @7 k6 _

value = String JVO

/ z5 H% X# |5 a& j* E7 ^

variable = .iso.org.4.0

' V+ f( h; {, Q+ ^ J

value = String 16

" T: o; J5 H$ ]% r& H2 s( }

variable = .iso.org.5.0

$ C- z0 z! n0 @9 n J

value = String 2

2 U+ j) s( e- P* H

variable = .iso.org.dod.0

$ u& e* \- Y8 \; g# t" ~6 w

value = String nonexistinguser

& c( a F2 ]1 }- Y5 z) T! U

variable = .iso.org.7.0

6 [; F! t% ]7 G9 f& V% S+ U4 S% a

value = String ADS

5 s( q9 H& V% F9 n8 C: P' A' G

variable = .iso.org.8.0

; {: @8 R3 _. b( Y3 m: H' H' ?

value = String 3

' D# q( V- U4 k' G

variable = .iso.org.9.0

- z! Z2 H7 Z: [6 U: O- e @

value = String NtLmSsp

& @; s0 r, U/ H7 N ?% P: o

variable = .iso.org.10.0

0 s; B' K; c) I6 P( s& B

value = String MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

% Q, S% i" d, t, T+ d8 _

variable = .iso.org.11.0

) b& u, P+ [4 a( l+ k2 ?7 B9 W8 M, m

value = String JVO

( l* v/ f& A3 x* l- g

要记住,SNMP陷阱只产生于出现在Win2K事件日志中的事件。如果是一个单独的工作站,需要在"本地安全策略"中配置。

! c( E1 @5 f# [, u0 `0 l( ]

如果是一个域中的设备,要使用AD(活动目录)来设置。

/ Y9 n+ ~/ e3 i5 ~4 I' m

另一个使用SNMP并得到附加安全的方法是主动监控某些SNMP变量,这些变量有:

4 U$ @# |' e! J. a z

●IpForwarding (1.3.6.1.2.1.4.1.0):就是IP转发,这个特性对大多少工作站而言不是个好功能。

3 ]# p& f) l2 I) u% J+ {1 u/ `; Y

●IcmpInRedirects (1.3.6.1.2.1.5.7):是否有人正在向设备发送icmp重定向信息。

+ v# Y" ~- a9 l4 [

●TcpOutRsts (1.3.6.1.2.1.6.15):一个记数器,表示设备所发送的RST数。当受到端口扫描时,这个记数器会急剧增加。

+ z% S. K- w V

●UdpNoPorts (1.3.6.1.2.1.7.2):一个记数器,表示不提供服务的端口的通信量。同样是一个可能受到端口扫描的信号。

$ [1 F& I8 s) u7 y- \" T% F! y& y

对于一个SNMP管理工作站来说,为这些变量设置阀值就能提供很好的报警信息。 - k) z$ G0 y4 [+ \

, n' D1 i" K* j$ B% n

8 @# A- r- y- O# }





欢迎光临 数学建模社区-数学中国 (http://www.madio.net/) Powered by Discuz! X2.5