|
来源:http://killgod.blogchina.com/ $ \. P# ^7 S: R: j1 A
记:黑客X档案前几期的文章上有介绍利用工具snmputil.exe来刺探信息的,但是本
6 f) \4 ~* X- C7 A$ {* c/ Z人觉得讲的有点简单,下面本人来深入的讨论一下,大家共同进步。 # d' S% o% K( {1 ~4 ]# Z0 h" Q2 q8 G! Q
9 V0 ]5 B9 f& i& j9 s2 e) ?9 Y一、SNMP的概念,功能 ) P9 j$ @- ?+ H; p m# D' ^
SNMP(Simple Network Management Protocol)是被广泛接受并投入使用的工业标准,
" e. n% b/ n/ H0 t3 H" @7 Q它的目标是保证管理信息在任意两点中传送,便于网络管理员在网络上的任何节点检索 , ]+ r+ K( o, x' l6 }$ f2 G O* [
信息,进行修改,寻找故障;完成故障诊断,容量规划和报告生成。它采用轮询机制, " A" g0 v; x! h8 V2 s
提供最基本的功能集。最适合小型、快速、低价格的环境使用。它只要求无证实的传输层
5 M% T% `0 J! b! J% B6 I" j协议UDP,受到许多产品的广泛支持。 & H9 I0 G# |$ s* W. ]& z
本文将讨论如何在Win2K安装使支持SNMP功能,SNMP技术对于提升整体安全水准是有益的, & K+ B! @* Y* l, C
但也可能存在风险,本文将同时检验这两个方面。另外,除了介绍一些开发工具外,
* d# M: o1 }; R8 [还将图解通过SNMP收集信息的可能用法,以及如何提高安全性。
" y) c2 o2 j) _( T+ T5 c二、在Win2K中安装SNMP
* ^% w$ b) U3 V6 G# I( f7 c' ]提供一个支持SNMP的Win2K设备与增加一个额外的Windows组件同样简单,只需要进入"开始/设置/控制面板/", ! g" n9 d$ I, p1 q* i% |6 I3 }
选择"添加/删除程序",然后选择"添加/删除Windows组件",随之出现一个对话框,在其中选择"管理和监视工具",
# |$ L5 j- A/ ] E最后点击"下一步",依照提示安装:
7 E4 } A% a: T' XOK,现在Win2K就可以通过SNMP来访问了.
: L6 z* V! v ]三、对snmp信息的刺探方法 5 R c' _$ U1 w! i
1、Snmputil get
% k! S+ ^% F0 U: K. g下面我们在命令行状态下使用Win2K资源工具箱中的程序snmputil.exe ! }9 l# V! F0 U3 C2 Y' M
(http://pdp.nease.net/snmputil.zip) 7 Z4 M/ w4 {, h
来获取安装了SNMP的Win2K机器的网络接口数目,命令参数是get:
$ ^8 I& z) Q+ w) U# V. A( C前提是对方snmp口令是public ) a8 u. i3 N5 m; U
snmputil.exe提供基本的、低级的SNMP功能,通过使用不同的参数和变量,可以显示设备情况以及管理设备。
% [4 P5 D6 x# _下面来看看这个例子都包含了哪些参数和变量:
* T! b) S/ z- h6 w& }3 r' V& |/ |/ [1 M2 R/ Q" [& R1 N
●最后一个参数是SNMP变量,值为1.3.6.1.2.1.2.1.0,被称为物件识别代码OID(object identifier)。
$ T; X5 y, E) O; M8 iOID有对应的字符串表达式,也就是在SNMPUTIL输出内容的第一行,在这个例子中,即是interfaces.ifNumber.0。
6 j2 S4 x3 `7 s3 F这个字符串对于用户来说,就要易记易读多了。你可以发现,这种对应关系与DNS类似。
% @; d0 N. h8 @( x●第二个参数指定将SNMP请求发送给哪个设备,在这里是localhost,即本地主机。 0 o6 u) X2 \# H T# N6 I% S) z
●第三个参数指定使用哪个共同体(即验证字符串或口令),在这里是public。 . l4 ?7 w& w7 \% D
在每个发送到被管理设备的SNMP UDP信息包中,这个口令是以纯文本形式传输的。 ! A( {" l* l2 I! w
当一个Win2K设备安装上SNMP支持后,缺省的SNMP共同体名称为 public,这表明允许用户读取现有的所有变量。
1 s, u! y& [/ n& `7 Y N/ O4 n' S因为即便是设备中的网络接口数目也是一个敏感数据,所以这就成为第一个安全问题。
. c' l: y( a4 X2 S5 k0 }
! h" S/ y" i3 y6 ~, A+ I' {. q5 [2、Snmputil getnext
7 b( L; P8 ?3 X% u7 v接着,我们试一试snmputil的另一个命令参数getnext: : R5 x; ~! {3 e0 }
getnext的功能是获取指定SNMP变量的下一个变量的值及其OID。因为一个设备的所有SNMP变量都是规则排列的, 3 ?4 ^+ X5 k. M/ B0 t' t, o* o
所以使用getnext命令参数就可以获取一个设备中的所有变量值及OID,而不需要事先知道它们的准确OID值。
6 b7 `( [! U1 G6 s
; d2 @7 m2 P- b, M$ ]+ d另外Snmputil getnext可以用来测试 Windows 2K SNMP内存消耗拒绝服务攻击缺陷 ( L7 X) E7 y: a% V
受影响的系统有:
1 n- C0 p$ a- C! T8 I- Microsoft lmmib2.dll 5.00.2134.1" b/ d1 J& l2 ~/ K- g4 d
- Microsoft Windows 2000 Server SP2 k% V. n) i6 A" R1 R6 [' B7 h
- Microsoft Windows 2000 Server SP1 $ @2 V% e F' w7 x' g. [
- Microsoft Windows 2000 Server
$ u- z' F4 o/ ]具体方法: " v* L- q# u6 t/ r' D, U8 S
snmputil getnext localhost public .1.3.6.1.4.1.77.1.2.28.0
/ c, o2 G0 E( x' P% T% Y请谨慎使用。。。。。。 当心被警察叔叔K哦 $ v3 t$ ^/ \2 W! y: K6 ^
& I4 M$ H# }: ~4 m" S
3、snmputil walk
4 I5 J& D$ W/ p! `# V知道了next指令的用途,我们可以编写一个程序自动获取一个设备的所有OID及其数值,而不用一行行地敲入那么长的命令。
+ [! r$ @& U4 Z9 v1 {& P8 I但幸运的是,snmputil的walk指令帮助我们实现了这个想法。在命令行状态下敲入下面的命令,将显示出本地机器几乎所有的变量:
+ w- l# u% |0 Q, J8 F/ |C:\> snmputil walk localhost public .1.3 * @7 O% z% O x8 O" t- e
你会看到一行行的文字在黑白窗口中不停地滚动 ...... 直到最后出现"End of MIB subtree"的信息: + p3 Z' C* S( S! e, }
其他指令含义:
! g `' T4 D* y6 O1.snmputil walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程
/ C5 N' D+ S9 w这样就可以使入侵者在入侵之前就知道你系统运行的软件,有没有装杀毒软件, 5 J: T+ y% @+ n1 T7 \' s" Z
从而知己知彼,百战不殆! 8 h) e3 ] k/ n9 Q5 {7 y
2.snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表 6 y6 A! b6 S M8 u6 u
有了这个更好了,入侵者可以根据你的用户表编一个密码表进行探测,
- W/ p4 r7 j4 H+ L减少了入侵的盲目性。
+ ~; _5 h% x" f7 N- C, d3.snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名
9 A9 P. x. r9 F这个可以列出系统的域名,是入侵者得到了主机名,可以根据此设置探测的密码字典,增加了成功率。
1 @9 A! W! j4 h, h: S, m7 l( F- b
6 b' Z3 v3 H& W& l* f4.snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件
3 R8 ?" @! A6 z# n用这个入侵者可以看你装的sp是什么,有没有装防火墙等信息,可以据此判断应该有的系统漏洞,增加了入侵的成功率。 5 ?. ]8 S, O, \5 p+ ^; G' ?
5.snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息
- K5 \) @4 h% k9 U, \这个可以使入侵者了解系统状况以及主机的稳定性,可以从主机的uptime里得知你系统开机了多长时间,从而确定是否入侵。
, i0 _$ {$ E, ^3 O, G0 ]8 g/ C8 x7 M( J l
其他的工具:
& I0 |( t3 J# W0 P' y$ b1:SolarWinds 2002的IP Network Browser
" H O5 W; a: l0 ?- U_id=82">http://www.lbfok.com/txt/showsoft.asp?soft_id=82(软件地址)
# D X. ~* o5 y Y5 Z: b_id=83">http://www.lbfok.com/txt/showsoft.asp?soft_id=83(注册机下载)
4 }+ [ [2 g u: _+ d2:LANguard Network Scanner 3.1 H! r8 T' V; @
_id=103">http://www.lbfok.com/txt/showsoft.asp?soft_id=103 / j/ z9 Q; ^ [9 O: s. R
3:X-scan2.3cn & C2 D# g! K3 \" `4 P' x; m& m$ l, N
以上用x-scan就得到了系统信息
7 c( ^5 q- }' k_id=13">http://www.lbfok.com/txt/showsoft.asp?soft_id=13 8 r- S- J" c$ ]
3 Z4 g% |# z4 [) s4 P( z& ^4 H* R四、如何提高Win2K SNMP的安全性 + n' ^% s5 U8 a" q
* i% {2 ?$ @1 v8 R
1:首先需要注意的是,snmp服务的通讯端口是UDP端口,这也就是大部分网络管理人员很容易忽略的地方。 2 U0 O0 E, B( Z/ K
往往某些网管配置服务器阻断了NetBIOS空会话的建立,就认为系统安全有了相当的保障,可由于安装 + j* y* [7 `4 ^5 e9 [
了SNMP服务,不知不觉中,就给系统带去了极大的隐患。
! _7 _% G& @5 B最方便和容易的解决方法,就是关闭SNMP服务,或者卸载掉该服务。 $ ^- b. |: z7 V, G+ _1 B4 W' L2 |
如果关掉SNMP服务不方便的话,那么可以通过修改注册表或者直接修改图形界面的SNMP服务属性
[* m- I) _' I% e; K' l! U进行安全配置。
5 _( L7 U" J0 O- w: D+ K开始——程序——管理工具——服务——SNMP Service——属性——安全
, K0 ^- w/ x1 n
& t+ H7 ~: X- E$ Z; x. B9 G在这个配置界面中,可以修改community strings,也就是微软所说的"团体名称",呵呵,也就是 - s+ V) T; x1 o9 p
我所说的"查询密码"。或者可以配置是否从某些安全主机上才允许SNMP查询。
+ x! k, b5 R) d1 a不过NT4环境下的朋友就必须修改注册表了。
0 A3 q% b( z7 s/ h修改community strings,在
$ ^+ A' `0 n# [" [8 e- `[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities]
! P/ j. W# d+ x( N0 h- _下,将public的名称修改成其它的名称就可以了。 % V( h" G7 A7 |# g
如果要限定允许的ip才可以进行SNMP查询,可以进入
* N3 E2 ]1 ]) w% V9 X[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers]
% I X! ?" B! Y4 s9 |添加字符串,名称为"1",内容为要允许的主机IP。
6 Z/ h3 `0 E9 L- V当然,如果允许多台机器的话,就要名称沿用"2、3、4"等名称了
7 {1 s+ R) y8 T# R) K
' @! k ^" {. B; ?2:在Win2K中,事件日志中的任何事件都可用来创建包含这一事件的SNMP陷阱,Microsoft将这称为SNMP 事件转换器。
) O5 t5 ~' Z9 q1 I2 y; i" }/ j4 i! P可以对一些Win2K设备进行配置,使得当有人试图登录它或者对其共享而未成功时,让这些设备能够发送一个SNMP陷阱信息。 ) I3 l- h! v/ a) |* L9 b2 Z9 R
把这些陷阱引导到我们自己的工作站,并设置当收到陷阱信息,用应用程序播放一个报警音调,这样就可以初步建立一个多 6 g3 ~, j. n+ e- e: [; |0 v2 a* A
媒体安全管理工作站。
. N: i4 q/ |& Z* k. q, ^2 A配置这些陷阱信息所需要的工具有evntwin.exe和evntcmd.exe,二者都是Win2K标准安装后的一部分:
" O6 p$ Y7 I6 G/ M用evntwin.exe对一些重要事件建立陷阱,然后在管理工作站上启动snmputil.exe: 5 I$ b, _4 h3 G4 \. Y; O3 P
/ R, G( N, Q' W( {C:\> snmputil trap
$ h+ N$ h( v1 I( Rsnmputil: listening for traps... , s) D; Q" o! g; |& K1 {4 b0 b3 U- G& b
Incoming Trap: 3 c# t/ E( L, E( N& G' b
generic = 6
# |' s! }; t' n( p* ?2 K- w9 ~3 c5 w# jspecific = 529
6 Z C, U8 g r9 i7 W1 k Qenterprise = .iso.org.8.83.101.99.117.114.105.116.121 % ^2 R! A1 K4 f/ J9 U, [9 U" w% X
agent = 127.0.0.1
* T* r. [& D% xsource IP = 127.0.0.1
) o' q- G" m1 {4 K$ J& D2 gcommunity = public
. r+ R" Q `6 v* Fvariable = .iso.org.1.0
- p9 Y2 M h' y# w* _4 C: Bvalue = String
$ Y; c0 p1 {! ]1 N) Uvariable = .iso.org.2.0 ) v2 [+ t3 _* h7 X
value = String SYSTEM
3 |+ Y1 A& H- @variable = .iso.org.3.0 + F' g8 [! j$ j& U0 ?- G
value = String JVO , ~- c6 F4 f# F, \9 N* C# `
variable = .iso.org.4.0
3 R& h' k1 C, V6 [* D- h8 r; ~value = String 16 4 U; m: l* S# J3 [1 \0 b- u$ D; `
variable = .iso.org.5.0
- k- B" }! h$ J) d2 xvalue = String 2 G6 z+ H4 b$ a, t! B% {" X3 P3 s
variable = .iso.org.dod.0
4 l1 y/ D& C" j7 K( Vvalue = String nonexistinguser ' }- K# x. R) K% B* L3 h: P
variable = .iso.org.7.0 1 s$ x2 U7 m6 e' |! U0 ]) Z* V
value = String ADS
. s2 d0 |/ D4 A. D4 a! i3 Ivariable = .iso.org.8.0
1 |/ x" C/ U9 H5 Evalue = String 3 6 m- K1 O' _) U; E5 L/ p3 W5 B* E: t
variable = .iso.org.9.0 4 w: L% b" f4 N- L6 f% @1 ]
value = String NtLmSsp
9 {$ e4 d! z& rvariable = .iso.org.10.0 + G) m4 h4 @1 l" a$ G+ Y
value = String MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 % Q" W# }: p6 x+ T
variable = .iso.org.11.0 6 A; c& C# m7 {# x
value = String JVO
; A; l9 X. B* L8 j要记住,SNMP陷阱只产生于出现在Win2K事件日志中的事件。如果是一个单独的工作站,需要在"本地安全策略"中配置。
! |$ P' H) Q1 b/ Z9 J- {6 E$ @* o如果是一个域中的设备,要使用AD(活动目录)来设置。
, K/ w& T/ f, [9 `( L {另一个使用SNMP并得到附加安全的方法是主动监控某些SNMP变量,这些变量有: + q) e4 H0 H# |+ \
●IpForwarding (1.3.6.1.2.1.4.1.0):就是IP转发,这个特性对大多少工作站而言不是个好功能。
% H* A2 U6 P3 n- I1 T●IcmpInRedirects (1.3.6.1.2.1.5.7):是否有人正在向设备发送icmp重定向信息。 7 p0 N( v' H+ ?% F) S! h
●TcpOutRsts (1.3.6.1.2.1.6.15):一个记数器,表示设备所发送的RST数。当受到端口扫描时,这个记数器会急剧增加。 9 A& a. f# c" J$ h [
●UdpNoPorts (1.3.6.1.2.1.7.2):一个记数器,表示不提供服务的端口的通信量。同样是一个可能受到端口扫描的信号。 : a% g& h! |2 l, R; m3 Y
对于一个SNMP管理工作站来说,为这些变量设置阀值就能提供很好的报警信息。
. [/ E/ a2 B; ?* r; t5 y0 q D * y' w. M, R5 A5 x0 Y
% i: F, P" ?/ T0 f) C" ^" @ | 
IP卡
狗仔卡
发表于 2005-1-20 14:41
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
