|
来源:http://killgod.blogchina.com/ % j8 J M0 q8 p! u- w$ Y4 j
记:黑客X档案前几期的文章上有介绍利用工具snmputil.exe来刺探信息的,但是本
, A: {: `' N/ A; n/ I2 l5 U人觉得讲的有点简单,下面本人来深入的讨论一下,大家共同进步。 . b+ Q+ C5 |; A! O4 K: |
8 u$ }$ A* |8 p' q [6 I
一、SNMP的概念,功能 ) z# |& Y& \2 ~- J
SNMP(Simple Network Management Protocol)是被广泛接受并投入使用的工业标准, 1 `) ^$ t0 e8 `% C9 S: U" j
它的目标是保证管理信息在任意两点中传送,便于网络管理员在网络上的任何节点检索
0 i2 O, K+ P( V: z: s信息,进行修改,寻找故障;完成故障诊断,容量规划和报告生成。它采用轮询机制, 4 j9 |1 z! `- J p, Q
提供最基本的功能集。最适合小型、快速、低价格的环境使用。它只要求无证实的传输层 8 J, I1 ?0 Y( g9 I
协议UDP,受到许多产品的广泛支持。 / \" B/ _: S5 z6 F
本文将讨论如何在Win2K安装使支持SNMP功能,SNMP技术对于提升整体安全水准是有益的,
3 ^- G* X* [7 T; O% T; u但也可能存在风险,本文将同时检验这两个方面。另外,除了介绍一些开发工具外, + a g# M0 G- F. T7 A
还将图解通过SNMP收集信息的可能用法,以及如何提高安全性。 ( t6 l2 c3 ^' K5 L3 \
二、在Win2K中安装SNMP
' T) q& p& ~# \提供一个支持SNMP的Win2K设备与增加一个额外的Windows组件同样简单,只需要进入"开始/设置/控制面板/",
) }8 F# Z+ I: S, L& j& L+ ?选择"添加/删除程序",然后选择"添加/删除Windows组件",随之出现一个对话框,在其中选择"管理和监视工具", ) j$ V2 O. v" r) R+ ^* v
最后点击"下一步",依照提示安装: l W* B9 m- h* R. ^9 q- _
OK,现在Win2K就可以通过SNMP来访问了. 0 B8 h" l, R* J; ]0 |( {" |
三、对snmp信息的刺探方法
: W4 v2 w2 F1 |' D* s1、Snmputil get ! X* u' X9 \, l3 l& r2 P
下面我们在命令行状态下使用Win2K资源工具箱中的程序snmputil.exe
5 O5 J0 M+ }8 u; t! C8 a(http://pdp.nease.net/snmputil.zip) 2 _0 |, G+ T* o+ ~0 S
来获取安装了SNMP的Win2K机器的网络接口数目,命令参数是get:
& N3 H: ]: f5 Z6 f前提是对方snmp口令是public 3 L: s% U! f; l. H
snmputil.exe提供基本的、低级的SNMP功能,通过使用不同的参数和变量,可以显示设备情况以及管理设备。 . O- C6 H0 O4 s' ~2 X- m
下面来看看这个例子都包含了哪些参数和变量:
- P0 U$ A, i* e, t
) F0 }: q7 G- Y F" b/ {●最后一个参数是SNMP变量,值为1.3.6.1.2.1.2.1.0,被称为物件识别代码OID(object identifier)。 . l- R9 t6 c% ]1 b( o1 n; x6 @1 ]
OID有对应的字符串表达式,也就是在SNMPUTIL输出内容的第一行,在这个例子中,即是interfaces.ifNumber.0。 ' I5 y$ f2 @, w9 V
这个字符串对于用户来说,就要易记易读多了。你可以发现,这种对应关系与DNS类似。
! _ b" E* v& l1 B●第二个参数指定将SNMP请求发送给哪个设备,在这里是localhost,即本地主机。
s k2 a3 R7 R" y; w) O●第三个参数指定使用哪个共同体(即验证字符串或口令),在这里是public。 . G. g4 X: K! I# c" E# n
在每个发送到被管理设备的SNMP UDP信息包中,这个口令是以纯文本形式传输的。
j/ k/ B$ E( z当一个Win2K设备安装上SNMP支持后,缺省的SNMP共同体名称为 public,这表明允许用户读取现有的所有变量。
9 J* v% L, P# p% h4 @9 v因为即便是设备中的网络接口数目也是一个敏感数据,所以这就成为第一个安全问题。
5 t* P9 k1 Y7 w7 R
, K9 X2 [/ F+ A+ X4 k2、Snmputil getnext ) x+ [. L$ j& g; o3 ]5 A
接着,我们试一试snmputil的另一个命令参数getnext:
|( Q0 B3 }% }/ qgetnext的功能是获取指定SNMP变量的下一个变量的值及其OID。因为一个设备的所有SNMP变量都是规则排列的, ! G* b9 J+ c; W6 B+ V
所以使用getnext命令参数就可以获取一个设备中的所有变量值及OID,而不需要事先知道它们的准确OID值。
. S6 I0 [' c/ [7 i3 O' i7 ?
- ?$ f, r9 H! z9 Q' N另外Snmputil getnext可以用来测试 Windows 2K SNMP内存消耗拒绝服务攻击缺陷 1 l6 V, J4 `/ b* @
受影响的系统有:
. c4 R I: O: w2 V* j- Microsoft lmmib2.dll 5.00.2134.1
3 a; @2 J r3 m4 A( l3 b1 t5 e- Microsoft Windows 2000 Server SP2
/ f* Z6 S7 Z, |% X7 l; K- Microsoft Windows 2000 Server SP1
( t; o# F8 M& s# X- [: J- Microsoft Windows 2000 Server 3 u7 _+ s: W( Y1 e
具体方法:
8 b1 i* S) r& isnmputil getnext localhost public .1.3.6.1.4.1.77.1.2.28.0
: S( v" q6 i" F请谨慎使用。。。。。。 当心被警察叔叔K哦
; F' |+ i4 S# ~
0 ^& E4 N. y# A6 U( J9 u3、snmputil walk
! T+ x2 A- N) K7 s知道了next指令的用途,我们可以编写一个程序自动获取一个设备的所有OID及其数值,而不用一行行地敲入那么长的命令。 $ [) \3 g8 ]$ k1 t
但幸运的是,snmputil的walk指令帮助我们实现了这个想法。在命令行状态下敲入下面的命令,将显示出本地机器几乎所有的变量:
6 M9 B% d0 D T6 jC:\> snmputil walk localhost public .1.3 * c/ p7 Z5 q8 Y9 L1 ~3 h, N
你会看到一行行的文字在黑白窗口中不停地滚动 ...... 直到最后出现"End of MIB subtree"的信息: $ `1 {6 ?& G* Z$ U# V, U$ f
其他指令含义:
" D0 z% n0 y: g0 M8 E6 L3 q. z8 F1.snmputil walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程
$ }+ X( m3 S' d* \这样就可以使入侵者在入侵之前就知道你系统运行的软件,有没有装杀毒软件, # a8 a; L7 `/ _, d. i1 @
从而知己知彼,百战不殆!
! R4 `% O n& c- q: @2 P/ ?) ^; s4 g2.snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表 9 |; b* D4 U0 s& W# v3 g+ p
有了这个更好了,入侵者可以根据你的用户表编一个密码表进行探测,
5 p6 `: p3 o+ g( m减少了入侵的盲目性。 6 g; [3 e) Y9 `: A( N1 ]. [
3.snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名 - G0 b9 `1 U& k
这个可以列出系统的域名,是入侵者得到了主机名,可以根据此设置探测的密码字典,增加了成功率。
' `0 C' D% @4 W& {* O; R* f7 I6 V3 d9 M
4.snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件 ) K9 z2 r' P' [0 p
用这个入侵者可以看你装的sp是什么,有没有装防火墙等信息,可以据此判断应该有的系统漏洞,增加了入侵的成功率。 + ?0 Q% P, T1 q5 Y( O; e
5.snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息
: u, l1 u: |* q5 I5 I- t这个可以使入侵者了解系统状况以及主机的稳定性,可以从主机的uptime里得知你系统开机了多长时间,从而确定是否入侵。
$ K E# W3 w* c! z9 ~ d
# E, ?3 O6 x- G2 F其他的工具:
|% M) I9 t* ` j* C, z5 O+ z0 N: r1:SolarWinds 2002的IP Network Browser
4 p6 v1 i3 m4 g_id=82">http://www.lbfok.com/txt/showsoft.asp?soft_id=82(软件地址) / i- O% F( z" \2 g2 H5 m
_id=83">http://www.lbfok.com/txt/showsoft.asp?soft_id=83(注册机下载)
N$ g+ P' \( `: L& h* T/ A) J7 U2:LANguard Network Scanner 3.
3 z- M& }) S t& ^. }_id=103">http://www.lbfok.com/txt/showsoft.asp?soft_id=103
9 z$ v, [. Q+ Z& S3:X-scan2.3cn 7 B5 O0 ?. j) P7 f/ X9 K
以上用x-scan就得到了系统信息
: E% l& |& y. J. W P8 ^& E3 W_id=13">http://www.lbfok.com/txt/showsoft.asp?soft_id=13 5 m& ]2 }1 f, U2 s- }8 j# `/ C( T
6 n) F4 W1 H2 s
四、如何提高Win2K SNMP的安全性
6 ]6 V2 R; E8 R$ `" S6 O* U6 C3 o9 S- f9 I1 i; q
1:首先需要注意的是,snmp服务的通讯端口是UDP端口,这也就是大部分网络管理人员很容易忽略的地方。
0 }2 J$ T/ \$ y8 I) a% k6 t7 ^往往某些网管配置服务器阻断了NetBIOS空会话的建立,就认为系统安全有了相当的保障,可由于安装
p- k1 a6 t b' m- w了SNMP服务,不知不觉中,就给系统带去了极大的隐患。
& C2 H" v" P, k* A0 q# n% J' u最方便和容易的解决方法,就是关闭SNMP服务,或者卸载掉该服务。
$ x0 G2 G& C8 b; t如果关掉SNMP服务不方便的话,那么可以通过修改注册表或者直接修改图形界面的SNMP服务属性
8 f) {/ `9 _. A# }8 e进行安全配置。
; R; Q* z) Z' L% c- b2 X6 e开始——程序——管理工具——服务——SNMP Service——属性——安全
: h3 r4 i$ b; O; G, |
. J! |- b- b& a8 A" X2 R, q在这个配置界面中,可以修改community strings,也就是微软所说的"团体名称",呵呵,也就是 5 s1 L1 b" o* q
我所说的"查询密码"。或者可以配置是否从某些安全主机上才允许SNMP查询。 ) v. d7 U1 o0 K3 J" @) U
不过NT4环境下的朋友就必须修改注册表了。
, F9 X( {1 Y$ M修改community strings,在 / w! q0 c% z1 a& W* M
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities] ! q6 P$ X D- T j% h C' |$ `
下,将public的名称修改成其它的名称就可以了。
# h4 T$ N3 }$ N# N如果要限定允许的ip才可以进行SNMP查询,可以进入
4 |4 M/ D% B: V' w4 J3 {: ][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers]
0 t8 J0 j- `: I% @( K! y; r! a, S添加字符串,名称为"1",内容为要允许的主机IP。
8 o/ t8 g' s3 k; E4 o: z" [当然,如果允许多台机器的话,就要名称沿用"2、3、4"等名称了 - z5 h. O& t: i# j+ A7 P$ N
( |8 y9 C$ c, Q8 ?2:在Win2K中,事件日志中的任何事件都可用来创建包含这一事件的SNMP陷阱,Microsoft将这称为SNMP 事件转换器。 1 v; E/ Y p; ~8 [- }0 u
可以对一些Win2K设备进行配置,使得当有人试图登录它或者对其共享而未成功时,让这些设备能够发送一个SNMP陷阱信息。 + I( ] t3 R8 {" F2 o" R1 V) y T
把这些陷阱引导到我们自己的工作站,并设置当收到陷阱信息,用应用程序播放一个报警音调,这样就可以初步建立一个多
r8 t4 j1 s U媒体安全管理工作站。 * g* w* G! P% a9 \6 Y- b0 |
配置这些陷阱信息所需要的工具有evntwin.exe和evntcmd.exe,二者都是Win2K标准安装后的一部分: 2 G$ e1 E+ @4 `1 P
用evntwin.exe对一些重要事件建立陷阱,然后在管理工作站上启动snmputil.exe: / O1 s/ V/ t% h% H. A" ~
9 ~& f0 H7 \" y5 C+ |8 f; }
C:\> snmputil trap 9 o0 r ^# N( d. R
snmputil: listening for traps... : [ v! c6 K. j3 U, l j0 H
Incoming Trap: 5 z4 `6 V7 {: X
generic = 6 : z0 ]( G; o- V5 D9 ` }4 t
specific = 529
, ?- V" \$ n+ \enterprise = .iso.org.8.83.101.99.117.114.105.116.121 * s, o( ?9 i5 E$ p; Z
agent = 127.0.0.1
( w9 O' T' C: o8 Z2 [- L; Fsource IP = 127.0.0.1
$ E6 T, }$ h2 Q. Ecommunity = public
B$ K8 k" Q6 z5 X9 H& c" h Bvariable = .iso.org.1.0 6 N' _! t2 s+ a2 j) i m$ n
value = String . C; n3 `8 H; p- b. \( E2 D
variable = .iso.org.2.0
, k" u- }7 g+ L* Q$ wvalue = String SYSTEM
# X- x" _" y" \$ }- y$ r5 P3 Qvariable = .iso.org.3.0 : D3 \. f) y2 A( O5 A
value = String JVO ( y' x3 G% U1 c7 W0 W8 N
variable = .iso.org.4.0 ' M5 _7 U H' d4 `; P
value = String 16 5 E; u* L1 J* _# C* f& F; d
variable = .iso.org.5.0
1 _+ G6 Q# V i" o5 W7 Y8 R3 hvalue = String 2 1 M0 E3 A7 p1 U$ f" _
variable = .iso.org.dod.0
/ z$ D* u' p; \; \( t7 l1 [value = String nonexistinguser # w, S4 P, H% p9 y
variable = .iso.org.7.0 7 ]: p3 x- [2 x% f
value = String ADS
6 _2 r% e7 L% \* }1 _ U/ k1 Svariable = .iso.org.8.0
" j, N8 R8 }- Z* r- wvalue = String 3 1 p5 [9 d2 H C$ P
variable = .iso.org.9.0
/ D7 ^, [% D4 T! Q. c; i2 bvalue = String NtLmSsp ( }$ _* X( d' a8 n% A
variable = .iso.org.10.0
9 l3 |9 o* i6 X9 w* z6 C) svalue = String MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
1 X" n3 a6 z- G1 q4 x/ |variable = .iso.org.11.0
2 k$ X3 n* w2 W/ M* h9 f0 u( Hvalue = String JVO
% v: |( e7 Z( B* d& G+ o1 x要记住,SNMP陷阱只产生于出现在Win2K事件日志中的事件。如果是一个单独的工作站,需要在"本地安全策略"中配置。
4 v6 K t* \! D1 M5 v如果是一个域中的设备,要使用AD(活动目录)来设置。 # d, G# M: @0 r( r" z& @
另一个使用SNMP并得到附加安全的方法是主动监控某些SNMP变量,这些变量有:
: x1 j; j2 h! m" ?$ m1 [●IpForwarding (1.3.6.1.2.1.4.1.0):就是IP转发,这个特性对大多少工作站而言不是个好功能。 6 A# x, V# _7 s8 e% y
●IcmpInRedirects (1.3.6.1.2.1.5.7):是否有人正在向设备发送icmp重定向信息。
. ?, e# O8 L6 W" q2 x& R●TcpOutRsts (1.3.6.1.2.1.6.15):一个记数器,表示设备所发送的RST数。当受到端口扫描时,这个记数器会急剧增加。 2 t0 z/ Y( l# c- o* S( h9 E
●UdpNoPorts (1.3.6.1.2.1.7.2):一个记数器,表示不提供服务的端口的通信量。同样是一个可能受到端口扫描的信号。 # e, O3 m2 F; x8 W4 u4 S/ h9 O" o N
对于一个SNMP管理工作站来说,为这些变量设置阀值就能提供很好的报警信息。 - n8 `/ B6 t2 r. _. T0 W4 j
5 d7 N5 i2 Z" F6 E* t" S5 S
8 e' }; R) a) j1 S | 
IP卡
狗仔卡
发表于 2005-1-20 14:41
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
