|
来源:http://killgod.blogchina.com/
0 K$ @4 h9 O# N/ Z! d2 [记:黑客X档案前几期的文章上有介绍利用工具snmputil.exe来刺探信息的,但是本
( W8 j2 D" p/ \5 F人觉得讲的有点简单,下面本人来深入的讨论一下,大家共同进步。 : ~. J. C! h* e a
E+ c' ^0 \9 B D一、SNMP的概念,功能
?0 G& n2 E( n3 T8 f. p+ ySNMP(Simple Network Management Protocol)是被广泛接受并投入使用的工业标准,
0 m4 Y" v. X" b; Q2 J它的目标是保证管理信息在任意两点中传送,便于网络管理员在网络上的任何节点检索
+ D, l2 q; i1 n! c) C信息,进行修改,寻找故障;完成故障诊断,容量规划和报告生成。它采用轮询机制, 8 E2 H1 Y z6 D
提供最基本的功能集。最适合小型、快速、低价格的环境使用。它只要求无证实的传输层
7 i# ^4 D4 e5 ]. h8 ]/ R1 z( w& p协议UDP,受到许多产品的广泛支持。
' o; p! V; } r本文将讨论如何在Win2K安装使支持SNMP功能,SNMP技术对于提升整体安全水准是有益的,
4 c5 Z$ R2 }( w ~+ x* [7 |但也可能存在风险,本文将同时检验这两个方面。另外,除了介绍一些开发工具外,
' I" g/ T% R7 _6 N% e还将图解通过SNMP收集信息的可能用法,以及如何提高安全性。
" s! [ L' z5 Q8 `二、在Win2K中安装SNMP 3 z8 y4 z- N+ X
提供一个支持SNMP的Win2K设备与增加一个额外的Windows组件同样简单,只需要进入"开始/设置/控制面板/",
9 H5 U6 i7 g5 m, |7 @7 d选择"添加/删除程序",然后选择"添加/删除Windows组件",随之出现一个对话框,在其中选择"管理和监视工具",
% V9 e& k, n6 K最后点击"下一步",依照提示安装:, F& Q" {, d! ^5 j$ O
OK,现在Win2K就可以通过SNMP来访问了. 0 m0 Q, m- s$ Q9 X) ?* B! Z
三、对snmp信息的刺探方法
4 _' _ j) B c! x8 p# V5 _1、Snmputil get ; J0 E5 @* M8 n% ~# \9 B3 `2 S
下面我们在命令行状态下使用Win2K资源工具箱中的程序snmputil.exe . f3 Z" ~) n6 B- J4 R; k& `
(http://pdp.nease.net/snmputil.zip) ; O# A: f1 f! K* F$ _ }+ L# G
来获取安装了SNMP的Win2K机器的网络接口数目,命令参数是get:
+ z+ w" B4 G+ l9 k: c- n3 U前提是对方snmp口令是public ( m5 Q6 n; C. k, |& s
snmputil.exe提供基本的、低级的SNMP功能,通过使用不同的参数和变量,可以显示设备情况以及管理设备。
- J7 e9 g% d* L下面来看看这个例子都包含了哪些参数和变量:
4 s9 i5 V% q: l9 E' I4 v5 D8 E# o+ E- Z
% }' D6 [+ Y( T& P●最后一个参数是SNMP变量,值为1.3.6.1.2.1.2.1.0,被称为物件识别代码OID(object identifier)。
. u: e) F; p R/ [# f9 l! s' _1 @OID有对应的字符串表达式,也就是在SNMPUTIL输出内容的第一行,在这个例子中,即是interfaces.ifNumber.0。 7 S: I+ n+ H' w# }
这个字符串对于用户来说,就要易记易读多了。你可以发现,这种对应关系与DNS类似。 . c6 {2 ~# F% S3 o4 N% d! v6 O
●第二个参数指定将SNMP请求发送给哪个设备,在这里是localhost,即本地主机。
2 u, @! W, ]* T2 n' L●第三个参数指定使用哪个共同体(即验证字符串或口令),在这里是public。
l3 w" v; Y, ]* u- S在每个发送到被管理设备的SNMP UDP信息包中,这个口令是以纯文本形式传输的。 ' r( z& D. T" `+ i
当一个Win2K设备安装上SNMP支持后,缺省的SNMP共同体名称为 public,这表明允许用户读取现有的所有变量。
' E _' F- K1 H* G5 @因为即便是设备中的网络接口数目也是一个敏感数据,所以这就成为第一个安全问题。
1 w; V4 z$ ]5 F8 U" d# k/ n
4 J5 z8 U0 x- E5 V) h+ s! h3 L2、Snmputil getnext 6 r" C7 }: P g/ s1 `
接着,我们试一试snmputil的另一个命令参数getnext:
G: }5 X8 l( zgetnext的功能是获取指定SNMP变量的下一个变量的值及其OID。因为一个设备的所有SNMP变量都是规则排列的, 8 P- o$ Z* o$ m
所以使用getnext命令参数就可以获取一个设备中的所有变量值及OID,而不需要事先知道它们的准确OID值。 9 ]. \0 Q- `2 E& Z R+ Y7 L
+ v* a! C) \& p b另外Snmputil getnext可以用来测试 Windows 2K SNMP内存消耗拒绝服务攻击缺陷 y4 h; n, m9 ^' ]6 M
受影响的系统有: ' [" z& ^0 O6 E) n3 x1 u1 ^0 M! S
- Microsoft lmmib2.dll 5.00.2134.1& {3 ]$ _) l8 `! R
- Microsoft Windows 2000 Server SP2 u7 ~: w( u9 j3 O
- Microsoft Windows 2000 Server SP1 3 A" o3 _$ e4 K* N4 o ]4 q
- Microsoft Windows 2000 Server
: @; |9 j6 E' ]/ ?6 W7 }+ C; v具体方法:
' [1 _; P* }( bsnmputil getnext localhost public .1.3.6.1.4.1.77.1.2.28.0 # y( D( H* ?0 S% G1 C
请谨慎使用。。。。。。 当心被警察叔叔K哦 7 F& F5 I9 D. J4 M( g2 E7 ?
) k$ m- M0 M; Y# }* q- @; s3 k3、snmputil walk
3 i( D, v) G/ g- M, o知道了next指令的用途,我们可以编写一个程序自动获取一个设备的所有OID及其数值,而不用一行行地敲入那么长的命令。 6 a# }" \5 d2 C' q, R; g
但幸运的是,snmputil的walk指令帮助我们实现了这个想法。在命令行状态下敲入下面的命令,将显示出本地机器几乎所有的变量: 6 ^+ K+ K/ G T
C:\> snmputil walk localhost public .1.3
( e" j! F* l. e4 s你会看到一行行的文字在黑白窗口中不停地滚动 ...... 直到最后出现"End of MIB subtree"的信息: % h2 O( n4 l/ _' W
其他指令含义: Y/ f5 X2 j" D/ L: i/ K
1.snmputil walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程
! r/ y7 w1 s0 C/ n, ]: g这样就可以使入侵者在入侵之前就知道你系统运行的软件,有没有装杀毒软件,
4 K+ w. I) B1 j& u8 G* i7 u从而知己知彼,百战不殆! 6 K& `0 X# K* R; u$ B2 R6 H
2.snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表
% j+ } h# H2 Q. W/ d有了这个更好了,入侵者可以根据你的用户表编一个密码表进行探测,( }6 o- D* ]- C5 }! q, ]
减少了入侵的盲目性。 ! f/ G- O7 v+ z; m
3.snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名 5 k$ Z& W5 T* R& x
这个可以列出系统的域名,是入侵者得到了主机名,可以根据此设置探测的密码字典,增加了成功率。 2 m s( H+ ?" z$ ]/ E, {$ b# l
) N- a/ M0 W/ _* ^4.snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件
& }, ?% Q/ X1 I' @, K用这个入侵者可以看你装的sp是什么,有没有装防火墙等信息,可以据此判断应该有的系统漏洞,增加了入侵的成功率。
" X6 [. ]2 z {" [% R' s5.snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息
3 `# H, I$ _9 S# K2 F& L$ n& F这个可以使入侵者了解系统状况以及主机的稳定性,可以从主机的uptime里得知你系统开机了多长时间,从而确定是否入侵。
. j" }7 _+ ^8 d, k6 x# _6 Z! G0 R* e9 P0 R
其他的工具:
0 d6 W9 z8 u& w1:SolarWinds 2002的IP Network Browser
: n9 |9 C! ?4 q1 t$ z4 g_id=82">http://www.lbfok.com/txt/showsoft.asp?soft_id=82(软件地址)
! J0 S8 c3 H# S+ O: n1 I_id=83">http://www.lbfok.com/txt/showsoft.asp?soft_id=83(注册机下载) . C& _+ { C4 M4 j4 h& \' x
2:LANguard Network Scanner 3.2 L* q @- `' @) M' l
_id=103">http://www.lbfok.com/txt/showsoft.asp?soft_id=103 1 T$ A' {. r6 O0 l7 s
3:X-scan2.3cn * @4 J1 |9 [+ W2 G+ f
以上用x-scan就得到了系统信息 6 X' J- _% }: N2 a) M8 z7 b5 `- _
_id=13">http://www.lbfok.com/txt/showsoft.asp?soft_id=13 + w! A& e* `6 G q, G/ w- ]7 Z+ }
0 |0 ?5 F: r4 _& C. E' U四、如何提高Win2K SNMP的安全性 ' r) p+ Y- y! n* D+ c# o9 ^
0 g' d0 s1 e0 g% T% a4 ^
1:首先需要注意的是,snmp服务的通讯端口是UDP端口,这也就是大部分网络管理人员很容易忽略的地方。 : b5 C& W! z- C" V1 Y8 W1 I6 z
往往某些网管配置服务器阻断了NetBIOS空会话的建立,就认为系统安全有了相当的保障,可由于安装
" f3 Y5 c# E0 O" A7 R0 V/ P' J了SNMP服务,不知不觉中,就给系统带去了极大的隐患。 / d$ d# x6 h& |$ U
最方便和容易的解决方法,就是关闭SNMP服务,或者卸载掉该服务。 / N% s. J- e4 U# ?( Z) B) j7 C
如果关掉SNMP服务不方便的话,那么可以通过修改注册表或者直接修改图形界面的SNMP服务属性 1 }/ \# E; H8 n
进行安全配置。
9 T9 v) ^, V: r4 c8 J开始——程序——管理工具——服务——SNMP Service——属性——安全
; O) n/ M" v I7 F. m4 F- e9 t8 l/ o9 s$ ~ G2 M1 e1 `" w' t
在这个配置界面中,可以修改community strings,也就是微软所说的"团体名称",呵呵,也就是 6 [% J& ?$ ^8 F8 |* t
我所说的"查询密码"。或者可以配置是否从某些安全主机上才允许SNMP查询。 8 {, ]% v& i R: t# K: Z
不过NT4环境下的朋友就必须修改注册表了。 , y" y- I, d' t( V! u& {: Y5 w4 Q; n
修改community strings,在
) z6 q& i0 H+ j- I[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities]
! Q s0 V: u) {" O下,将public的名称修改成其它的名称就可以了。
# a* V* m# F' ^# b+ C如果要限定允许的ip才可以进行SNMP查询,可以进入 - }8 U# o: y& d* c
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers]
" X& B+ J+ w" n* O5 \添加字符串,名称为"1",内容为要允许的主机IP。
; _, D" ], t& |0 H3 h# W M$ X5 V) k当然,如果允许多台机器的话,就要名称沿用"2、3、4"等名称了
( p4 q( f0 l4 Y( [+ C) b& G+ s. r8 {6 H4 J
2:在Win2K中,事件日志中的任何事件都可用来创建包含这一事件的SNMP陷阱,Microsoft将这称为SNMP 事件转换器。
) U$ g) I# u$ c6 x& ]可以对一些Win2K设备进行配置,使得当有人试图登录它或者对其共享而未成功时,让这些设备能够发送一个SNMP陷阱信息。 + ^4 L2 R* L% r8 [2 S! s' A" h
把这些陷阱引导到我们自己的工作站,并设置当收到陷阱信息,用应用程序播放一个报警音调,这样就可以初步建立一个多 - ?/ d) Z6 j. h* P0 H" G
媒体安全管理工作站。
% R% j# l9 { X配置这些陷阱信息所需要的工具有evntwin.exe和evntcmd.exe,二者都是Win2K标准安装后的一部分:
' L2 F8 b1 G* i+ F7 G$ j" W9 c8 a用evntwin.exe对一些重要事件建立陷阱,然后在管理工作站上启动snmputil.exe:
& t, T$ B! ~( X* R
& ?' n! Q4 s8 x! Q. w) dC:\> snmputil trap 2 p7 @9 U, g5 t" o6 B
snmputil: listening for traps... 0 w( Q: _9 E' W$ F+ F1 U; J; S
Incoming Trap: + [& p3 Y% |. n# Z* t) `
generic = 6
! F" _ L5 ]9 K' N: vspecific = 529
, k# f/ {0 i+ s4 v6 jenterprise = .iso.org.8.83.101.99.117.114.105.116.121
* n4 w. t( T2 C* N% c: Nagent = 127.0.0.1 8 @. b; Z' w1 Y- S, f
source IP = 127.0.0.1
# d3 P5 M, p/ d5 C* H1 P; }community = public # i) i5 p8 t5 k' @: z1 V4 K" R
variable = .iso.org.1.0
9 {& ? b) @" T# f4 uvalue = String
3 j7 I1 E9 A' R) h8 ]/ i# e( M7 Lvariable = .iso.org.2.0
5 E: l. q" a- Nvalue = String SYSTEM
0 d! n# g8 [/ H$ d' vvariable = .iso.org.3.0 4 S; f# ?' q/ O
value = String JVO & |- V7 e7 K& f3 ~
variable = .iso.org.4.0 9 g" R) H# n) i5 L6 c/ l" a
value = String 16
- d5 {2 ?4 [+ S" Wvariable = .iso.org.5.0
! Q' I. H, G/ R2 }value = String 2 # n$ ?( G5 y# v* l4 }' F
variable = .iso.org.dod.0
/ C0 V5 d. [4 X6 ~7 i3 ivalue = String nonexistinguser
' B" D8 e$ i1 i1 N6 ivariable = .iso.org.7.0
3 C; k* g y8 m' b: p: X [. K- Zvalue = String ADS $ I# A# a% o4 M9 N7 c" C0 W/ A
variable = .iso.org.8.0 $ f3 c: {; |. ]7 x i! b' \7 b
value = String 3 ) c9 F! N2 k7 e/ D. L4 t! x. @# o
variable = .iso.org.9.0
9 U. l( w9 \4 K3 `: w% mvalue = String NtLmSsp
3 z' ?' x2 Z% t. g. zvariable = .iso.org.10.0 9 U7 m# x3 i) }- G- p
value = String MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 % J) h7 ~& I/ |$ a# [& W8 }
variable = .iso.org.11.0
; i0 O) G1 _% P. l; t2 Wvalue = String JVO
! y8 o, e! g" w8 D要记住,SNMP陷阱只产生于出现在Win2K事件日志中的事件。如果是一个单独的工作站,需要在"本地安全策略"中配置。
0 E- {7 R( Z I' i如果是一个域中的设备,要使用AD(活动目录)来设置。 - v2 ^7 q- I+ ]" l* Q+ F8 i4 d
另一个使用SNMP并得到附加安全的方法是主动监控某些SNMP变量,这些变量有: , A2 G' B5 z3 {' S7 i
●IpForwarding (1.3.6.1.2.1.4.1.0):就是IP转发,这个特性对大多少工作站而言不是个好功能。
# E% x1 |2 q# d ]" ^, n●IcmpInRedirects (1.3.6.1.2.1.5.7):是否有人正在向设备发送icmp重定向信息。
1 B, z3 Y- X p( |, R' r, |●TcpOutRsts (1.3.6.1.2.1.6.15):一个记数器,表示设备所发送的RST数。当受到端口扫描时,这个记数器会急剧增加。
9 N3 I' k- t1 p4 }' R$ g% p' y●UdpNoPorts (1.3.6.1.2.1.7.2):一个记数器,表示不提供服务的端口的通信量。同样是一个可能受到端口扫描的信号。
. U! o$ O# A( Y对于一个SNMP管理工作站来说,为这些变量设置阀值就能提供很好的报警信息。 ( f; _: p* j3 U( ]
3 Q3 t+ x) [. V2 f9 l( u
: Q, }2 E H2 O | 
IP卡
狗仔卡
发表于 2005-1-20 14:41
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
