数学建模社区-数学中国

标题: snmp安装信息刺探以及安全策略 [打印本页]
作者: 韩冰    时间: 2005-1-20 14:41
标题: snmp安装信息刺探以及安全策略

来源:http://killgod.blogchina.com/

1 i6 F% V% i6 k- K

记:黑客X档案前几期的文章上有介绍利用工具snmputil.exe来刺探信息的,但是本

" {% U K9 |2 J: u8 N) H$ n Q

人觉得讲的有点简单,下面本人来深入的讨论一下,大家共同进步。

+ o7 \0 m8 |8 G+ U6 Y- }

$ I. c2 m9 [; g3 q- ~# K2 w 一、SNMP的概念,功能

5 v5 L! V2 s- w! v! m4 t4 q8 f

SNMP(Simple Network Management Protocol)是被广泛接受并投入使用的工业标准,

: A8 q5 C5 A5 m# u* D6 _

它的目标是保证管理信息在任意两点中传送,便于网络管理员在网络上的任何节点检索

1 ]4 f) b4 y4 v9 n

信息,进行修改,寻找故障;完成故障诊断,容量规划和报告生成。它采用轮询机制,

) X. V, x2 J5 c8 _5 M( h' R

提供最基本的功能集。最适合小型、快速、低价格的环境使用。它只要求无证实的传输层

E1 {! ~+ N$ ^3 H, ?5 m4 C1 b, a

协议UDP,受到许多产品的广泛支持。

6 @+ M0 S' J; \4 y5 U

本文将讨论如何在Win2K安装使支持SNMP功能,SNMP技术对于提升整体安全水准是有益的,

6 a. g3 @8 l4 U* S3 q: s

但也可能存在风险,本文将同时检验这两个方面。另外,除了介绍一些开发工具外,

5 B, k: |* p: }. T# _

还将图解通过SNMP收集信息的可能用法,以及如何提高安全性。

1 U* N6 l0 o4 l7 ~7 Z

二、在Win2K中安装SNMP

) A& B1 j' `& S% e

提供一个支持SNMP的Win2K设备与增加一个额外的Windows组件同样简单,只需要进入"开始/设置/控制面板/",

$ g. x0 b: q: p# F

选择"添加/删除程序",然后选择"添加/删除Windows组件",随之出现一个对话框,在其中选择"管理和监视工具",

% d) ~1 _+ w# k9 T" p7 I

最后点击"下一步",依照提示安装: 7 t& t; T8 F$ }7 K4 z0 kOK,现在Win2K就可以通过SNMP来访问了.

; X$ T9 c/ B3 R8 A8 [

三、对snmp信息的刺探方法

1 O% W) i3 }* W) W

1、Snmputil get

' |# [& ^. Y2 N# ]& ~; b

下面我们在命令行状态下使用Win2K资源工具箱中的程序snmputil.exe

M5 T9 C: u q# N

(http://pdp.nease.net/snmputil.zip)

: |% B8 D# g- w9 {1 p2 [/ r

来获取安装了SNMP的Win2K机器的网络接口数目,命令参数是get:

) V; m) d. H5 A/ h* y

前提是对方snmp口令是public

( I, p5 p6 m! {8 O' @! H

snmputil.exe提供基本的、低级的SNMP功能,通过使用不同的参数和变量,可以显示设备情况以及管理设备。

# O" h9 ]1 ~: s" I. O+ C& g4 ?

下面来看看这个例子都包含了哪些参数和变量:

. C% _& L* h$ y

& h$ T; }5 M x; P: e8 j& K ●最后一个参数是SNMP变量,值为1.3.6.1.2.1.2.1.0,被称为物件识别代码OID(object identifier)。

! P- T; m/ r! C; N6 Y7 H, v/ q' x

OID有对应的字符串表达式,也就是在SNMPUTIL输出内容的第一行,在这个例子中,即是interfaces.ifNumber.0。

, H' D: S* i7 `8 F8 t

这个字符串对于用户来说,就要易记易读多了。你可以发现,这种对应关系与DNS类似。

* I, \! d/ s1 c

●第二个参数指定将SNMP请求发送给哪个设备,在这里是localhost,即本地主机。

" I( X9 x, W/ |5 b

●第三个参数指定使用哪个共同体(即验证字符串或口令),在这里是public。

7 u0 b6 a' G% D- C R/ Q" n5 H! p, x

在每个发送到被管理设备的SNMP UDP信息包中,这个口令是以纯文本形式传输的。

) k& H7 j- G# U4 R' C2 ~9 B

当一个Win2K设备安装上SNMP支持后,缺省的SNMP共同体名称为 public,这表明允许用户读取现有的所有变量。

/ B2 v' |/ i' J" v- |

因为即便是设备中的网络接口数目也是一个敏感数据,所以这就成为第一个安全问题。

* `" u, Y: Q. x, @5 C

5 i4 Q0 R3 t% X7 [2、Snmputil getnext

9 a \; K2 B. G5 C

接着,我们试一试snmputil的另一个命令参数getnext:

2 f0 E. @: ~" y5 ?, _% L

getnext的功能是获取指定SNMP变量的下一个变量的值及其OID。因为一个设备的所有SNMP变量都是规则排列的,

# s8 {: `( W9 Y( ]( r( I

所以使用getnext命令参数就可以获取一个设备中的所有变量值及OID,而不需要事先知道它们的准确OID值。

# M( r6 x! ? s) {8 F$ R6 ?" X( V

3 m; E9 t! t0 F% A 另外Snmputil getnext可以用来测试 Windows 2K SNMP内存消耗拒绝服务攻击缺陷

' \. ^* C# g3 T7 t

受影响的系统有:

+ Q& j0 o3 q9 M$ d4 ~' `& A

- Microsoft lmmib2.dll 5.00.2134.1" u a( B5 r" L' f& D+ ^: C/ I - Microsoft Windows 2000 Server SP2 2 g1 @, j: c+ q) l9 @- Microsoft Windows 2000 Server SP1 6 e4 j7 U1 C8 l3 P" l$ B- Microsoft Windows 2000 Server

4 X* r% q8 u6 D# P3 ?

具体方法:

, ~- q- X! L1 X

snmputil getnext localhost public .1.3.6.1.4.1.77.1.2.28.0

7 ?7 w+ K; ?' m) y, ~) A

请谨慎使用。。。。。。 当心被警察叔叔K哦

. \ l# J/ K, _' t

8 y+ ^9 w. f, `8 ~3、snmputil walk

$ t. a% `9 [# i" t

知道了next指令的用途,我们可以编写一个程序自动获取一个设备的所有OID及其数值,而不用一行行地敲入那么长的命令。

5 n; }2 z0 w3 x$ W9 |

但幸运的是,snmputil的walk指令帮助我们实现了这个想法。在命令行状态下敲入下面的命令,将显示出本地机器几乎所有的变量:

: l/ ~+ Q% E" b7 M+ i9 g1 ^

C:\> snmputil walk localhost public .1.3

) ]6 }4 `, A. y! j) Y c1 }

你会看到一行行的文字在黑白窗口中不停地滚动 ...... 直到最后出现"End of MIB subtree"的信息:

6 T Z' o# R/ y+ `; T

其他指令含义:

' g4 z8 {' j( ^; I# G' E8 P# K0 ^

1.snmputil walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程

) z' G% g! j) d9 r; g

这样就可以使入侵者在入侵之前就知道你系统运行的软件,有没有装杀毒软件

( @9 b% [; Y! r% T2 i3 C

从而知己知彼,百战不殆!

3 e2 e, P; ?0 h2 z) d6 I

2.snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表

0 x5 a$ h7 `8 i& r8 S

有了这个更好了,入侵者可以根据你的用户表编一个密码表进行探测, * t; W5 N5 T& Q+ }, M减少了入侵的盲目性。

: f' ^. x! _0 C* C' X

3.snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名

J0 _; N9 Q5 v: f+ K

这个可以列出系统的域名,是入侵者得到了主机名,可以根据此设置探测的密码字典,增加了成功率。

% x. H7 I: x6 W2 m+ m8 W' Y

4 a" C3 S$ J$ G3 w% B% k0 K4.snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件

8 V8 m! h. C0 U& p: H

用这个入侵者可以看你装的sp是什么,有没有装防火墙等信息,可以据此判断应该有的系统漏洞,增加了入侵的成功率。

6 _5 g$ v. @) I8 E7 e4 {! O

5.snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息

5 ?( y I1 D( p* w! ]$ }

这个可以使入侵者了解系统状况以及主机的稳定性,可以从主机的uptime里得知你系统开机了多长时间,从而确定是否入侵

, \ o# q/ e* j1 u. J; ^9 O3 S9 E

. I" d( ?( Y1 A* A! ]" V% o其他的工具

* f5 @3 ^5 G, Y$ s2 |, A

1:SolarWinds 2002的IP Network Browser

/ g0 \& ] O6 C6 `

_id=82">http://www.lbfok.com/txt/showsoft.asp?soft_id=82(软件地址)

6 K& o+ Z. f+ c7 I2 J! \5 G' x! a

_id=83">http://www.lbfok.com/txt/showsoft.asp?soft_id=83(注册机下载)

+ V5 J) ]" u R. ^9 Q& U/ B1 D

2:LANguard Network Scanner 3.2 ?+ V: U7 C' m* g9 ? _id=103">http://www.lbfok.com/txt/showsoft.asp?soft_id=103

$ Q/ Y) z1 Z$ N6 {3 U

3:X-scan2.3cn

% i' e Y U' ]% a5 D

以上用x-scan就得到了系统信息

9 _+ `7 y4 J9 v% A* @ u/ M0 o

_id=13">http://www.lbfok.com/txt/showsoft.asp?soft_id=13

/ ~1 W5 t. w7 ~

! Y% n# ~2 w t5 H0 f( V1 Y4 M7 a四、如何提高Win2K SNMP的安全性

1 c# J( b0 h; e7 `( N5 C

: C. u1 ^ r9 N' {5 @ 1:首先需要注意的是,snmp服务的通讯端口是UDP端口,这也就是大部分网络管理人员很容易忽略的地方。

" W1 k" k& s2 }/ e( ~/ K

往往某些网管配置服务器阻断了NetBIOS空会话的建立,就认为系统安全有了相当的保障,可由于安装

4 f( `1 K4 G0 `- q+ k1 @0 b! o

了SNMP服务,不知不觉中,就给系统带去了极大的隐患。

- R6 r! k# v" R# t7 D

最方便和容易的解决方法,就是关闭SNMP服务,或者卸载掉该服务

9 r0 Y6 N! j* g" b5 e7 s; E. L

如果关掉SNMP服务不方便的话,那么可以通过修改注册表或者直接修改图形界面的SNMP服务属性

/ `; C9 M! I" h. ^ y5 N h

进行安全配置。

- @# V# e" x( @; @

开始——程序——管理工具——服务——SNMP Service——属性——安全

* F r, B& G2 O) I5 R8 l

$ S. G9 q* n7 j在这个配置界面中,可以修改community strings,也就是微软所说的"团体名称",呵呵,也就是

" Q _8 }# B7 V$ L

我所说的"查询密码"。或者可以配置是否从某些安全主机上才允许SNMP查询。

% L. A: G' S2 f( P5 c

不过NT4环境下的朋友就必须修改注册表了。

- @" a' q X$ N( E+ l

修改community strings,在

" s% N" I" G1 y! q

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities]

& [- e& d5 N) }; z g2 R

下,将public的名称修改成其它的名称就可以了。

: I2 t) o7 B E; d1 u% t

如果要限定允许的ip才可以进行SNMP查询,可以进入

0 N& v( u9 H. a% Q- _$ N

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers]

9 C) v9 i1 s( S R

添加字符串,名称为"1",内容为要允许的主机IP。

L) g! g5 b$ a

当然,如果允许多台机器的话,就要名称沿用"2、3、4"等名称了

& b5 r( b% ]4 l$ ?7 H, B3 R( f

1 r3 A/ X1 ?- }. c" W 2:在Win2K中,事件日志中的任何事件都可用来创建包含这一事件的SNMP陷阱,Microsoft将这称为SNMP 事件转换器。

' V4 a: I2 w3 [* z9 `

可以对一些Win2K设备进行配置,使得当有人试图登录它或者对其共享而未成功时,让这些设备能够发送一个SNMP陷阱信息。

2 z% x" b& e( P$ N2 w% r

把这些陷阱引导到我们自己的工作站,并设置当收到陷阱信息,用应用程序播放一个报警音调,这样就可以初步建立一个多

6 O; q% H3 F4 V9 L7 F' s

媒体安全管理工作站。

* v* u3 D8 S( i/ j

配置这些陷阱信息所需要的工具有evntwin.exe和evntcmd.exe,二者都是Win2K标准安装后的一部分:

6 v( Z* I7 x& R

用evntwin.exe对一些重要事件建立陷阱,然后在管理工作站上启动snmputil.exe:

& r" D2 y3 t( d

( l7 F: k7 a9 f6 kC:\> snmputil trap

" @, Q7 ?3 n! }

snmputil: listening for traps...

" L. O7 B8 j% ~0 W5 e/ p

Incoming Trap:

2 @6 D, ^" G4 Q0 `

generic = 6

7 [ o0 N$ W7 P+ O6 T

specific = 529

( V$ O r I# ]- i, b7 p; S9 i

enterprise = .iso.org.8.83.101.99.117.114.105.116.121

4 e" F( B: D1 D, O/ @' h2 b

agent = 127.0.0.1

% w- P& s6 E2 J& ]; G

source IP = 127.0.0.1

2 ?/ B2 \3 f$ d( W: `

community = public

" C9 I0 _5 F7 g4 B

variable = .iso.org.1.0

4 |! O" `* }8 O9 I$ O1 b9 F

value = String

- N# K( s: _/ x2 p7 U% o

variable = .iso.org.2.0

4 h+ R9 L: o6 @

value = String SYSTEM

9 R- A: K9 b% U1 @

variable = .iso.org.3.0

. R5 E- j6 ?# v1 Z

value = String JVO

) g% V+ `" U8 L) v) o( I" O

variable = .iso.org.4.0

7 O% @* V8 b; l. Z

value = String 16

5 r' Q/ Z! h% E& t3 ?

variable = .iso.org.5.0

5 D, u, N: D W! f- X A, Z

value = String 2

* A3 B5 L! ^' @6 ~% X; v

variable = .iso.org.dod.0

' B+ i6 u: B, |& H& t, R1 C

value = String nonexistinguser

% M) p! K: _$ {& N

variable = .iso.org.7.0

! h8 [- o6 z7 u. T6 t& B6 t

value = String ADS

: A s$ \* v, {

variable = .iso.org.8.0

- |. R- f- V: j# o4 A

value = String 3

2 |" y/ Y% G0 |8 u

variable = .iso.org.9.0

( D" R9 l; V' m

value = String NtLmSsp

) f u' A( U" ]* c& S$ {' y# E

variable = .iso.org.10.0

6 o7 _. k. L" {6 X; M" j4 Q* _, j

value = String MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

3 I$ }9 V6 k1 _

variable = .iso.org.11.0

( y& k$ N# J3 l8 e6 B, H

value = String JVO

' A, y; k% z% o5 T- H k/ }( g$ V

要记住,SNMP陷阱只产生于出现在Win2K事件日志中的事件。如果是一个单独的工作站,需要在"本地安全策略"中配置。

% Y T: _+ `# ~5 F/ H/ f& ~9 Z ]

如果是一个域中的设备,要使用AD(活动目录)来设置。

; n& T) L5 q, p. q6 Y3 X

另一个使用SNMP并得到附加安全的方法是主动监控某些SNMP变量,这些变量有:

+ y2 B8 K# w% G# \+ |

●IpForwarding (1.3.6.1.2.1.4.1.0):就是IP转发,这个特性对大多少工作站而言不是个好功能。

7 S0 a# H0 c* |. @* M

●IcmpInRedirects (1.3.6.1.2.1.5.7):是否有人正在向设备发送icmp重定向信息。

4 G, d% c# y! `# T: ^# g

●TcpOutRsts (1.3.6.1.2.1.6.15):一个记数器,表示设备所发送的RST数。当受到端口扫描时,这个记数器会急剧增加。

9 A" _- |# ~6 G: O7 _. {; m' Q

●UdpNoPorts (1.3.6.1.2.1.7.2):一个记数器,表示不提供服务的端口的通信量。同样是一个可能受到端口扫描的信号。

% V, D) g5 F' H! L

对于一个SNMP管理工作站来说,为这些变量设置阀值就能提供很好的报警信息。 1 U' |7 k& z6 m* ~% v; o

9 N" a4 J4 H s; \% r) q

0 m/ N2 {- D$ k2 q* j) p1 [& v





欢迎光临 数学建模社区-数学中国 (http://www.madio.net/) Powered by Discuz! X2.5