|
来源:http://killgod.blogchina.com/
. I' Q' W, `' S' z- F记:黑客X档案前几期的文章上有介绍利用工具snmputil.exe来刺探信息的,但是本
) Z1 J0 \" @+ H* w人觉得讲的有点简单,下面本人来深入的讨论一下,大家共同进步。 $ p; Q6 O+ c8 U8 o' ?8 F
/ @0 e1 _/ _! K" Z9 B" L一、SNMP的概念,功能
* H& s/ ~! m5 @& m: |4 uSNMP(Simple Network Management Protocol)是被广泛接受并投入使用的工业标准, 1 I9 [( h$ u0 A6 V
它的目标是保证管理信息在任意两点中传送,便于网络管理员在网络上的任何节点检索 , X6 z0 o Z ]" P e
信息,进行修改,寻找故障;完成故障诊断,容量规划和报告生成。它采用轮询机制, ' r$ C# h7 y( f$ i
提供最基本的功能集。最适合小型、快速、低价格的环境使用。它只要求无证实的传输层
9 d/ W$ K" x% \) \. v# m7 M协议UDP,受到许多产品的广泛支持。
/ E5 t$ q( \' {6 O% ^4 i7 W本文将讨论如何在Win2K安装使支持SNMP功能,SNMP技术对于提升整体安全水准是有益的,
0 q, @+ Z( O3 R& R但也可能存在风险,本文将同时检验这两个方面。另外,除了介绍一些开发工具外,
% @! k' f# W. a! Y; @还将图解通过SNMP收集信息的可能用法,以及如何提高安全性。
& |. w0 X! s- w! h二、在Win2K中安装SNMP
0 L( i2 A3 U3 j' q提供一个支持SNMP的Win2K设备与增加一个额外的Windows组件同样简单,只需要进入"开始/设置/控制面板/",
: X% P/ a* A, e& q7 [5 f0 N3 }0 b选择"添加/删除程序",然后选择"添加/删除Windows组件",随之出现一个对话框,在其中选择"管理和监视工具",
- x. `7 J( |: c) ]" s% i最后点击"下一步",依照提示安装:
! U' u- Q( V( C+ KOK,现在Win2K就可以通过SNMP来访问了.
% j' g2 i0 ^+ }" j6 w; ^* n三、对snmp信息的刺探方法
; l% |& @& J2 y( y y+ W1、Snmputil get
& h! \; m6 e5 L0 P$ X/ J下面我们在命令行状态下使用Win2K资源工具箱中的程序snmputil.exe
) g. `3 w) a7 W& Z9 F(http://pdp.nease.net/snmputil.zip) 5 W. \. ^" A8 H& {
来获取安装了SNMP的Win2K机器的网络接口数目,命令参数是get: 3 ^ g& f7 T: K, X3 O. O
前提是对方snmp口令是public 2 G0 `& w2 D' K& ]1 ~0 P
snmputil.exe提供基本的、低级的SNMP功能,通过使用不同的参数和变量,可以显示设备情况以及管理设备。 * `# K- k; k c3 ~+ H( w) j3 P4 q
下面来看看这个例子都包含了哪些参数和变量:
+ A* Q& e6 B8 a# G) \
; V& W4 w8 d. z; P6 f3 y●最后一个参数是SNMP变量,值为1.3.6.1.2.1.2.1.0,被称为物件识别代码OID(object identifier)。
1 L- v" L/ n6 x! aOID有对应的字符串表达式,也就是在SNMPUTIL输出内容的第一行,在这个例子中,即是interfaces.ifNumber.0。
2 G' x; x D* h+ g1 Q$ w这个字符串对于用户来说,就要易记易读多了。你可以发现,这种对应关系与DNS类似。 ( ^' B5 Y7 y. E* [* Q% }% d' V
●第二个参数指定将SNMP请求发送给哪个设备,在这里是localhost,即本地主机。 6 o( s+ X0 k1 d) N! s* M% g! C9 M
●第三个参数指定使用哪个共同体(即验证字符串或口令),在这里是public。 ( j5 O" I0 `8 W' j
在每个发送到被管理设备的SNMP UDP信息包中,这个口令是以纯文本形式传输的。 ) p1 _) k2 |* k1 V
当一个Win2K设备安装上SNMP支持后,缺省的SNMP共同体名称为 public,这表明允许用户读取现有的所有变量。
) m( [1 m8 G& r U& I因为即便是设备中的网络接口数目也是一个敏感数据,所以这就成为第一个安全问题。
6 r. W- t; ~$ Y; A! E4 @4 X4 m) G* X1 f" ?; g# Q* `
2、Snmputil getnext 8 u, Q5 f& u) Z4 ^6 v
接着,我们试一试snmputil的另一个命令参数getnext:
" f0 d4 N. u1 w4 rgetnext的功能是获取指定SNMP变量的下一个变量的值及其OID。因为一个设备的所有SNMP变量都是规则排列的, ! w! ~$ h9 Y0 W9 |2 i6 l6 r. k
所以使用getnext命令参数就可以获取一个设备中的所有变量值及OID,而不需要事先知道它们的准确OID值。
- h1 M+ ]* e* Q: z0 i. P8 E" p& q: l. D
另外Snmputil getnext可以用来测试 Windows 2K SNMP内存消耗拒绝服务攻击缺陷
0 \7 u- a, s! |7 h( n# h受影响的系统有: " n4 b+ }4 t# a. v# f
- Microsoft lmmib2.dll 5.00.2134.1, R$ K; J# W- q' l
- Microsoft Windows 2000 Server SP2 4 q* u, [0 B i9 k- t
- Microsoft Windows 2000 Server SP1
$ Z/ c; @8 T# K- Microsoft Windows 2000 Server
5 [8 `! O. {) @) F具体方法:
6 V( w4 X9 \5 |snmputil getnext localhost public .1.3.6.1.4.1.77.1.2.28.0 P2 d: P4 n4 ]/ Q$ k% y
请谨慎使用。。。。。。 当心被警察叔叔K哦
1 t# U: Z; N6 R
) C% S5 r! j) o0 y3、snmputil walk
/ S" a$ s3 n3 O e知道了next指令的用途,我们可以编写一个程序自动获取一个设备的所有OID及其数值,而不用一行行地敲入那么长的命令。 & ^6 ^: f$ l) B6 J0 Y) m
但幸运的是,snmputil的walk指令帮助我们实现了这个想法。在命令行状态下敲入下面的命令,将显示出本地机器几乎所有的变量: 7 O$ l6 `: p: E) m l5 W$ o# {( U( l
C:\> snmputil walk localhost public .1.3
S$ a/ E) o. ^2 S4 O" x' V9 |3 d你会看到一行行的文字在黑白窗口中不停地滚动 ...... 直到最后出现"End of MIB subtree"的信息:
8 g6 o3 k. m, \6 o9 I% Y+ E1 N其他指令含义:
. M1 M+ l$ X2 x. ^ ?* V1.snmputil walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程
$ Q- ]( |2 r; ~! v3 ?- o这样就可以使入侵者在入侵之前就知道你系统运行的软件,有没有装杀毒软件, / r& l8 Q5 O% |; M
从而知己知彼,百战不殆! 3 ~2 d- C& @* X1 i9 @
2.snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表 ' ~* ~0 B# U9 Z2 q/ s5 B8 [
有了这个更好了,入侵者可以根据你的用户表编一个密码表进行探测,7 Z1 Z, B. u3 }$ W5 u, ^
减少了入侵的盲目性。 ! D5 L0 t! S. R ~2 I9 O# @
3.snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名
% _, u) F0 Y& _0 T+ u' C这个可以列出系统的域名,是入侵者得到了主机名,可以根据此设置探测的密码字典,增加了成功率。
7 |+ S! S5 A0 x0 B) h" P" S0 k
( U* x8 _, S$ Z7 J4.snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件
: S; ~9 X+ U8 L8 q用这个入侵者可以看你装的sp是什么,有没有装防火墙等信息,可以据此判断应该有的系统漏洞,增加了入侵的成功率。
" o$ r/ {% g; |$ G, Q$ ]- L: P5.snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息 9 h* ~6 l# M# E1 {( W% W( ^
这个可以使入侵者了解系统状况以及主机的稳定性,可以从主机的uptime里得知你系统开机了多长时间,从而确定是否入侵。 / k0 P; P. r% U( ]5 q" {, t
+ T2 n+ I2 H" }* h$ Z2 z# y! r1 L
其他的工具: 1 V; O; d0 `3 S( Z$ B/ y- U
1:SolarWinds 2002的IP Network Browser
: J7 r/ E: V" c& {0 F R7 d: W- I_id=82">http://www.lbfok.com/txt/showsoft.asp?soft_id=82(软件地址) $ O7 d, f8 |- B: X' R) ]; x
_id=83">http://www.lbfok.com/txt/showsoft.asp?soft_id=83(注册机下载)
( K, [9 e3 T( U0 P, Q2:LANguard Network Scanner 3.+ L, O) o, c! D% J' i/ b: W
_id=103">http://www.lbfok.com/txt/showsoft.asp?soft_id=103 $ V: P; m$ w( ^+ J9 j4 V1 U
3:X-scan2.3cn $ u( D2 }% h5 g
以上用x-scan就得到了系统信息 . C* j6 `2 N; |. ~# g8 f6 p! ?
_id=13">http://www.lbfok.com/txt/showsoft.asp?soft_id=13 * d: T& B# h% f- M p# n9 `( }3 K
; [: ^1 [/ s0 E3 E# w Q \- n四、如何提高Win2K SNMP的安全性
7 a: k6 \* X Z! h( h2 ^
6 k3 i* s9 F7 C! \' i, I- r1:首先需要注意的是,snmp服务的通讯端口是UDP端口,这也就是大部分网络管理人员很容易忽略的地方。 $ F. p, s5 Q8 b% H* m9 a+ I
往往某些网管配置服务器阻断了NetBIOS空会话的建立,就认为系统安全有了相当的保障,可由于安装
8 h1 a5 I2 G( f+ M2 h# D了SNMP服务,不知不觉中,就给系统带去了极大的隐患。 8 H1 A7 \+ h& i
最方便和容易的解决方法,就是关闭SNMP服务,或者卸载掉该服务。 0 ^6 H& T L9 ?, f/ j+ Y* N
如果关掉SNMP服务不方便的话,那么可以通过修改注册表或者直接修改图形界面的SNMP服务属性 6 P' }9 t; a; K0 z0 U
进行安全配置。
8 c' k7 v( O2 t5 C* h- g开始——程序——管理工具——服务——SNMP Service——属性——安全 . a9 V k' `2 C) t g
+ p3 g" f* [" H; [# s, G9 f# [& `在这个配置界面中,可以修改community strings,也就是微软所说的"团体名称",呵呵,也就是 ) F3 K6 q3 t1 S& S6 G
我所说的"查询密码"。或者可以配置是否从某些安全主机上才允许SNMP查询。 " Q, X f9 z0 S4 a( y
不过NT4环境下的朋友就必须修改注册表了。
% Y# T: J& A' U: p8 U修改community strings,在 % N* Y' u1 t; B6 k7 f* Y
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities] 9 k4 E( s+ w8 }8 I5 z: P
下,将public的名称修改成其它的名称就可以了。 4 x$ L. i7 O1 F- X5 i
如果要限定允许的ip才可以进行SNMP查询,可以进入 ' G4 y# v( N! G" |8 M. W8 w
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers] 1 Z/ I6 ]8 Z( }6 B* B7 }* n
添加字符串,名称为"1",内容为要允许的主机IP。
( m. R; p' m1 N( @* v8 R( K! t' `当然,如果允许多台机器的话,就要名称沿用"2、3、4"等名称了 1 }5 z Y5 l( U2 f0 a
6 v9 N, V4 w. O8 r8 G% S) {2:在Win2K中,事件日志中的任何事件都可用来创建包含这一事件的SNMP陷阱,Microsoft将这称为SNMP 事件转换器。
# U f+ K5 l: s可以对一些Win2K设备进行配置,使得当有人试图登录它或者对其共享而未成功时,让这些设备能够发送一个SNMP陷阱信息。
9 e! _$ J% F% i/ b# N% O, ?( q7 `把这些陷阱引导到我们自己的工作站,并设置当收到陷阱信息,用应用程序播放一个报警音调,这样就可以初步建立一个多
) T% i u+ t9 a媒体安全管理工作站。
6 c1 c) v2 {8 q* Y" z2 w配置这些陷阱信息所需要的工具有evntwin.exe和evntcmd.exe,二者都是Win2K标准安装后的一部分:
! X! k+ D4 q: ^) d) M# E用evntwin.exe对一些重要事件建立陷阱,然后在管理工作站上启动snmputil.exe: , n& i2 ]) r% b) U2 W
' O4 b$ z2 d8 ]) h9 CC:\> snmputil trap 1 ?7 B1 S: P2 E
snmputil: listening for traps... ' V! ]3 l6 y3 P
Incoming Trap: + V7 R% [/ I$ ^* b" E' u% e
generic = 6 % j; g7 Y9 Q. m+ R3 ?2 x' h5 `+ q; Q, e* e
specific = 529 & z# ]* ^4 G f& @6 `# ~
enterprise = .iso.org.8.83.101.99.117.114.105.116.121 7 E3 P% X; L" l4 e* s
agent = 127.0.0.1 5 Y# e; e$ _9 J+ X
source IP = 127.0.0.1 3 i& l3 c5 J. w; V9 E
community = public ( f2 a+ h& X3 D. A& n; k
variable = .iso.org.1.0
+ B& c% Z& m& g' a7 |9 n& o- rvalue = String
- |8 i( Q) F1 [ Rvariable = .iso.org.2.0
* \. o/ J% ^/ i( T5 w( L# Cvalue = String SYSTEM S4 r& h b- G/ w. v9 z$ Z
variable = .iso.org.3.0
/ E% W; Z$ N/ J/ ]4 j3 @$ nvalue = String JVO
C" t n! f' V( U$ N* c; v8 bvariable = .iso.org.4.0
1 E8 V0 y1 [; e+ \0 Q4 jvalue = String 16
" ?: j T5 i7 Q0 e6 Qvariable = .iso.org.5.0
" H: n5 t* k$ s" y( A' O1 zvalue = String 2
& \, y4 W; M2 E. q/ u2 [8 Ivariable = .iso.org.dod.0
$ D- a" L/ ^( `4 g/ |8 ^8 L! ovalue = String nonexistinguser
) H L: s' E+ M3 k6 n# K! Wvariable = .iso.org.7.0
- S2 Y! o+ W. t# F9 Tvalue = String ADS 2 J8 j0 v" ~1 p
variable = .iso.org.8.0 4 x% e% v7 P4 h2 |; o
value = String 3 6 t! J6 C) M# z" P$ X
variable = .iso.org.9.0 ; b# y1 O" c7 b# d& b& H9 i* R
value = String NtLmSsp
3 |- Q) @+ G6 h2 J; z6 T! s: xvariable = .iso.org.10.0 ^. V1 H0 o: P5 U7 P( T% d
value = String MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 3 }! i" ~: C G$ g
variable = .iso.org.11.0 4 P9 V( ~5 p$ s, P
value = String JVO & s; Z1 X0 G% u& I
要记住,SNMP陷阱只产生于出现在Win2K事件日志中的事件。如果是一个单独的工作站,需要在"本地安全策略"中配置。
; H* l- w" |" Y+ R如果是一个域中的设备,要使用AD(活动目录)来设置。
2 O+ Z* d$ ?7 X4 J( {) e4 x另一个使用SNMP并得到附加安全的方法是主动监控某些SNMP变量,这些变量有:
% t" K6 K8 L# r) G7 D0 c! p) `$ H●IpForwarding (1.3.6.1.2.1.4.1.0):就是IP转发,这个特性对大多少工作站而言不是个好功能。 - k# {# T0 Q4 k- A
●IcmpInRedirects (1.3.6.1.2.1.5.7):是否有人正在向设备发送icmp重定向信息。
8 m3 M- X3 o0 o8 {5 l/ T7 H) n●TcpOutRsts (1.3.6.1.2.1.6.15):一个记数器,表示设备所发送的RST数。当受到端口扫描时,这个记数器会急剧增加。
2 n- r# V" t3 n) c! v4 N$ g. e●UdpNoPorts (1.3.6.1.2.1.7.2):一个记数器,表示不提供服务的端口的通信量。同样是一个可能受到端口扫描的信号。 ( a! }* S6 \; t8 G% B3 a) O3 s
对于一个SNMP管理工作站来说,为这些变量设置阀值就能提供很好的报警信息。
, r3 z: V- Z3 o% W % I$ C4 R4 ]$ O4 p; j
1 U- ]; j9 z' k$ `1 Z2 c1 _ | 
IP卡
狗仔卡
发表于 2005-1-20 14:41
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
