数学建模社区-数学中国

标题: snmp安装信息刺探以及安全策略 [打印本页]
作者: 韩冰    时间: 2005-1-20 14:41
标题: snmp安装信息刺探以及安全策略

来源:http://killgod.blogchina.com/

! e( |4 m; w4 v5 }6 ^- O7 b( |

记:黑客X档案前几期的文章上有介绍利用工具snmputil.exe来刺探信息的,但是本

6 c" {" r m* {% e3 \8 ]

人觉得讲的有点简单,下面本人来深入的讨论一下,大家共同进步。

. x' t3 `+ J% ^1 F' _

" E- ]/ Q: ?3 U+ U7 R, x* ]一、SNMP的概念,功能

. m2 D1 ~ u3 ?

SNMP(Simple Network Management Protocol)是被广泛接受并投入使用的工业标准,

: o' N* ?5 O) J

它的目标是保证管理信息在任意两点中传送,便于网络管理员在网络上的任何节点检索

- e& o+ q# W9 k$ G [: M

信息,进行修改,寻找故障;完成故障诊断,容量规划和报告生成。它采用轮询机制,

% q& u* T9 v2 _3 |

提供最基本的功能集。最适合小型、快速、低价格的环境使用。它只要求无证实的传输层

8 k) \& k' @# b) ^9 E' g

协议UDP,受到许多产品的广泛支持。

0 W! E @, ^6 ]# y" _" G

本文将讨论如何在Win2K安装使支持SNMP功能,SNMP技术对于提升整体安全水准是有益的,

9 c. c( x9 y/ t, j7 i" p

但也可能存在风险,本文将同时检验这两个方面。另外,除了介绍一些开发工具外,

0 z7 [6 d% y1 `, y/ r; a

还将图解通过SNMP收集信息的可能用法,以及如何提高安全性。

0 ~8 A5 M5 L' G/ T- p4 v

二、在Win2K中安装SNMP

0 M* e! m9 X6 O7 ^0 G6 N

提供一个支持SNMP的Win2K设备与增加一个额外的Windows组件同样简单,只需要进入"开始/设置/控制面板/",

, q$ r1 ^' ]$ T, n8 y0 M

选择"添加/删除程序",然后选择"添加/删除Windows组件",随之出现一个对话框,在其中选择"管理和监视工具",

8 R5 ?6 |: j' O' [0 l: Z

最后点击"下一步",依照提示安装: / i. f8 @! z) w' GOK,现在Win2K就可以通过SNMP来访问了.

3 m7 X, B8 ~8 F' c

三、对snmp信息的刺探方法

# Z/ C8 ]( J% X: P

1、Snmputil get

5 y/ W l4 R7 ^+ V

下面我们在命令行状态下使用Win2K资源工具箱中的程序snmputil.exe

' N+ j o- A4 E7 l0 b0 L* @

(http://pdp.nease.net/snmputil.zip)

& a! a$ {3 g9 X. o5 p1 N; a6 i0 x

来获取安装了SNMP的Win2K机器的网络接口数目,命令参数是get:

6 |- k ?# w' U \ ^; L$ Y

前提是对方snmp口令是public

+ c" k; S' a6 h, N4 I4 n. ~$ ~

snmputil.exe提供基本的、低级的SNMP功能,通过使用不同的参数和变量,可以显示设备情况以及管理设备。

# @' x' b( ]# _- ?

下面来看看这个例子都包含了哪些参数和变量:

$ |4 ^8 Q9 }6 O1 e- L& N c

0 p6 b/ ]. `* ]( ~9 T●最后一个参数是SNMP变量,值为1.3.6.1.2.1.2.1.0,被称为物件识别代码OID(object identifier)。

9 ]4 n$ s k* V, [& m

OID有对应的字符串表达式,也就是在SNMPUTIL输出内容的第一行,在这个例子中,即是interfaces.ifNumber.0。

( l( [# b( d+ ~0 v- v) @2 l

这个字符串对于用户来说,就要易记易读多了。你可以发现,这种对应关系与DNS类似。

4 B' x5 e- Y! s2 p( y

●第二个参数指定将SNMP请求发送给哪个设备,在这里是localhost,即本地主机。

' q F* c* R9 h5 ~: V

●第三个参数指定使用哪个共同体(即验证字符串或口令),在这里是public。

9 u& `% v) R/ O; m; x

在每个发送到被管理设备的SNMP UDP信息包中,这个口令是以纯文本形式传输的。

5 w; H7 P, x) `' G% i

当一个Win2K设备安装上SNMP支持后,缺省的SNMP共同体名称为 public,这表明允许用户读取现有的所有变量。

$ ^" ?7 I2 O3 x. Z% Q

因为即便是设备中的网络接口数目也是一个敏感数据,所以这就成为第一个安全问题。

( b, M" _+ L& E" R: \% j2 n

/ U, S6 s& r3 ^, t 2、Snmputil getnext

- X; @$ s5 @3 u. T9 A

接着,我们试一试snmputil的另一个命令参数getnext:

! ?( j( h; r8 [0 {: [

getnext的功能是获取指定SNMP变量的下一个变量的值及其OID。因为一个设备的所有SNMP变量都是规则排列的,

* q& n2 F3 T: x0 J6 {; B

所以使用getnext命令参数就可以获取一个设备中的所有变量值及OID,而不需要事先知道它们的准确OID值。

5 V2 a; N' b* k% a6 M& s! K6 p

% t- g1 M9 V/ I8 u 另外Snmputil getnext可以用来测试 Windows 2K SNMP内存消耗拒绝服务攻击缺陷

! q! D* D0 z: y/ i* m, b, `

受影响的系统有:

, ]8 \; q! C# c: g" \$ N

- Microsoft lmmib2.dll 5.00.2134.1$ d' R! ~/ ]" ]* H2 O0 z/ ~ - Microsoft Windows 2000 Server SP2 . |* H2 t$ \" @8 {. B1 v6 v. Y- Microsoft Windows 2000 Server SP1 : l7 m% b( d& a& K- Microsoft Windows 2000 Server

! ?! b4 v h' k& u

具体方法:

4 E0 x5 S+ g' B, T* W) i* L

snmputil getnext localhost public .1.3.6.1.4.1.77.1.2.28.0

1 p. l: D7 `( `% H d7 A

请谨慎使用。。。。。。 当心被警察叔叔K哦

1 u* S+ y$ o& e4 r" _

4 d7 A' j0 B$ _$ {$ d2 B& r; q3、snmputil walk

! O' B2 @: }) t- }$ R

知道了next指令的用途,我们可以编写一个程序自动获取一个设备的所有OID及其数值,而不用一行行地敲入那么长的命令。

9 X- Q# C; ]7 W, }% E

但幸运的是,snmputil的walk指令帮助我们实现了这个想法。在命令行状态下敲入下面的命令,将显示出本地机器几乎所有的变量:

" R+ k/ U4 q [+ I/ w

C:\> snmputil walk localhost public .1.3

/ V; I, ?' O0 D8 Q

你会看到一行行的文字在黑白窗口中不停地滚动 ...... 直到最后出现"End of MIB subtree"的信息:

3 Z, h8 R3 B+ [( b

其他指令含义:

; a2 R! Y, z: ]

1.snmputil walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程

: j4 c' }2 j: `. F- Y/ l y

这样就可以使入侵者在入侵之前就知道你系统运行的软件,有没有装杀毒软件

m* I o; C3 z) G9 ~1 L/ A

从而知己知彼,百战不殆!

, K' o4 }0 O$ b% i+ U. a- G( ^

2.snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表

. S. h6 F6 v8 z" T9 g

有了这个更好了,入侵者可以根据你的用户表编一个密码表进行探测,; I" m6 |( x; r2 z% [7 v: C 减少了入侵的盲目性。

/ q6 i3 N1 }4 I* g6 Y! s0 _

3.snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名

8 j; x" [2 G4 I" t ?" m. t

这个可以列出系统的域名,是入侵者得到了主机名,可以根据此设置探测的密码字典,增加了成功率。

# O/ h8 [) e8 S/ |* W- T" @

8 C* X7 W- ~* u+ @. x$ D# y% B4.snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件

/ X+ s& C U* d6 C- d9 N4 p% f

用这个入侵者可以看你装的sp是什么,有没有装防火墙等信息,可以据此判断应该有的系统漏洞,增加了入侵的成功率。

. i) ^2 t3 N+ |

5.snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息

9 o7 B/ W; U4 O

这个可以使入侵者了解系统状况以及主机的稳定性,可以从主机的uptime里得知你系统开机了多长时间,从而确定是否入侵

& o! O9 q) z- B$ B2 Q% C- b

- \3 X1 j+ D' C其他的工具

5 R: f8 e, ]- H. V9 E& F+ C0 u

1:SolarWinds 2002的IP Network Browser

; F& C4 D: Y I }: ~0 p) R9 `+ T0 C

_id=82">http://www.lbfok.com/txt/showsoft.asp?soft_id=82(软件地址)

! `/ q5 B7 ?2 ]6 y% R# n1 ^

_id=83">http://www.lbfok.com/txt/showsoft.asp?soft_id=83(注册机下载)

`2 p0 L+ x! q: K

2:LANguard Network Scanner 3.& W k5 ]% c" @, y; Y6 V _id=103">http://www.lbfok.com/txt/showsoft.asp?soft_id=103

4 H' N# A; W3 V1 M& b& `

3:X-scan2.3cn

$ N; w& a# l* k; J1 l/ R3 ]

以上用x-scan就得到了系统信息

, t. _! i" G! B* ]1 g2 s& I0 b

_id=13">http://www.lbfok.com/txt/showsoft.asp?soft_id=13

9 s3 t$ b( A- _* A# ?

( \- A! V6 h0 Y' Z 四、如何提高Win2K SNMP的安全性

2 E+ S' P; @; A! F1 z! K- H; q

) s/ r: G+ m& I 1:首先需要注意的是,snmp服务的通讯端口是UDP端口,这也就是大部分网络管理人员很容易忽略的地方。

# j5 }7 L4 \5 J" N! j, g

往往某些网管配置服务器阻断了NetBIOS空会话的建立,就认为系统安全有了相当的保障,可由于安装

0 ^; ?8 G+ x: @+ j, I! P% }% y+ `

了SNMP服务,不知不觉中,就给系统带去了极大的隐患。

' w" F* c {4 k! h% s: L9 X# q& B! q5 ?

最方便和容易的解决方法,就是关闭SNMP服务,或者卸载掉该服务

7 C$ R. o' B w

如果关掉SNMP服务不方便的话,那么可以通过修改注册表或者直接修改图形界面的SNMP服务属性

e' x3 _0 R z9 ^ y5 T t

进行安全配置。

: V0 Q' l( I: E3 H- H

开始——程序——管理工具——服务——SNMP Service——属性——安全

8 _; z' v( I/ R& h; N. f& j

" e6 G, p) p/ H. a6 z在这个配置界面中,可以修改community strings,也就是微软所说的"团体名称",呵呵,也就是

' F1 E1 ]9 q* n0 ^! t1 n

我所说的"查询密码"。或者可以配置是否从某些安全主机上才允许SNMP查询。

/ Y, ^9 U! q3 Z6 h% K

不过NT4环境下的朋友就必须修改注册表了。

' Z! @( P! T" J% f. ?

修改community strings,在

7 Y$ w; @& [0 V/ f0 e, ^

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities]

6 A- ]3 L2 h+ w) ?' a

下,将public的名称修改成其它的名称就可以了。

7 D; Z, q4 F; F; {$ x5 t! L3 J6 J

如果要限定允许的ip才可以进行SNMP查询,可以进入

1 `5 F8 p0 m0 I9 x* e3 x

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers]

& F+ O0 W& v9 H4 v

添加字符串,名称为"1",内容为要允许的主机IP。

8 K& U6 _: j' M4 J

当然,如果允许多台机器的话,就要名称沿用"2、3、4"等名称了

! m$ \0 U% ~& @/ @

3 o, S! P2 r5 i6 ?$ B1 E" n1 M! O2:在Win2K中,事件日志中的任何事件都可用来创建包含这一事件的SNMP陷阱,Microsoft将这称为SNMP 事件转换器。

* H% `0 P0 v# P0 w" [

可以对一些Win2K设备进行配置,使得当有人试图登录它或者对其共享而未成功时,让这些设备能够发送一个SNMP陷阱信息。

5 P( S- Z( b$ |- j

把这些陷阱引导到我们自己的工作站,并设置当收到陷阱信息,用应用程序播放一个报警音调,这样就可以初步建立一个多

8 ~7 m, @* t2 c3 r6 _* b7 T

媒体安全管理工作站。

0 q' x$ Y; W( o' Y6 o! t# O1 O, l k

配置这些陷阱信息所需要的工具有evntwin.exe和evntcmd.exe,二者都是Win2K标准安装后的一部分:

& H( M% d+ {- M( z7 g3 r! }

用evntwin.exe对一些重要事件建立陷阱,然后在管理工作站上启动snmputil.exe:

* ]5 Y6 t' m6 L' _5 o

/ ?) C t, u: R$ g! a8 W! Y! GC:\> snmputil trap

/ j, ?- [9 P# i3 r+ K" j0 D

snmputil: listening for traps...

8 F9 S5 x; P% N: y# u, _9 N

Incoming Trap:

1 L0 Q" ~6 R" F) P0 F

generic = 6

( l" _" y' V& Z3 K0 [/ ]9 R

specific = 529

6 B& M5 D# [* @

enterprise = .iso.org.8.83.101.99.117.114.105.116.121

( Z# n( }$ F) B. C, `3 w! A

agent = 127.0.0.1

/ [" [" t) p' U- O0 {

source IP = 127.0.0.1

' s4 R# v' }4 ?2 ~0 ^7 b+ k

community = public

) u% H$ C S0 v: t- Z% Y

variable = .iso.org.1.0

S( L: }) ^' h+ Z' |7 o

value = String

, _1 ]5 X/ v: D3 n

variable = .iso.org.2.0

, [# t0 |. n" B a0 x3 v8 n+ ^

value = String SYSTEM

9 C+ f: l8 W% L

variable = .iso.org.3.0

~& v" n+ R9 d

value = String JVO

5 X7 T1 D& J* e8 c P; m' f

variable = .iso.org.4.0

- [7 ^! k* X' N5 d/ R

value = String 16

: I, _& a1 H1 l1 T$ [5 r

variable = .iso.org.5.0

9 A+ S0 i$ w1 S {& d

value = String 2

$ |6 Q" n, E A9 ?: ^

variable = .iso.org.dod.0

8 A( N" x( `. G9 K% i$ ]- U' L3 I: [

value = String nonexistinguser

! p$ B9 {# n) L. F" h' P& s

variable = .iso.org.7.0

) E" M2 V2 a# J) e

value = String ADS

. ?9 L( v; y7 n- O

variable = .iso.org.8.0

* l0 t- I( |& O: \$ s y! c/ ^

value = String 3

. n) V5 }! o0 }( a% o( A- Q

variable = .iso.org.9.0

' t% O9 u, F1 s8 B

value = String NtLmSsp

8 `. n1 X' F1 U! O# Y

variable = .iso.org.10.0

8 c: X! `& i1 l# H

value = String MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

$ d1 e3 c( ?* g

variable = .iso.org.11.0

4 ?. V* E% R$ ~8 c, a/ @

value = String JVO

' N4 C# V1 D: C- a

要记住,SNMP陷阱只产生于出现在Win2K事件日志中的事件。如果是一个单独的工作站,需要在"本地安全策略"中配置。

* i4 h3 d' W; h+ w) `) s' K

如果是一个域中的设备,要使用AD(活动目录)来设置。

3 a0 `' d0 _8 l

另一个使用SNMP并得到附加安全的方法是主动监控某些SNMP变量,这些变量有:

4 ^) ~+ _0 G8 G% a y

●IpForwarding (1.3.6.1.2.1.4.1.0):就是IP转发,这个特性对大多少工作站而言不是个好功能。

' Q; L* A+ f. Q

●IcmpInRedirects (1.3.6.1.2.1.5.7):是否有人正在向设备发送icmp重定向信息。

& p$ b, t; n0 C5 N9 P

●TcpOutRsts (1.3.6.1.2.1.6.15):一个记数器,表示设备所发送的RST数。当受到端口扫描时,这个记数器会急剧增加。

! z! D) {) S5 ?6 K9 I

●UdpNoPorts (1.3.6.1.2.1.7.2):一个记数器,表示不提供服务的端口的通信量。同样是一个可能受到端口扫描的信号。

/ ^. ` S' [! t4 X

对于一个SNMP管理工作站来说,为这些变量设置阀值就能提供很好的报警信息。 8 v4 X+ k- g: j! c! m( U

L1 Y$ M+ x: K7 j. c, n

9 L0 ]8 [; ?1 l. w





欢迎光临 数学建模社区-数学中国 (http://www.madio.net/) Powered by Discuz! X2.5