|
来源:http://killgod.blogchina.com/
/ D) T# y, l0 T( G9 Y; X3 Q9 s# B记:黑客X档案前几期的文章上有介绍利用工具snmputil.exe来刺探信息的,但是本
$ z7 a& w" x/ q. n' S. e" ^& r人觉得讲的有点简单,下面本人来深入的讨论一下,大家共同进步。
" w- I9 l3 K S5 N$ H2 \0 X* D1 Z
一、SNMP的概念,功能 5 h# `* G- B, @: n1 ?4 J0 S" y
SNMP(Simple Network Management Protocol)是被广泛接受并投入使用的工业标准,
! W1 F5 r2 c# @4 L3 L; b它的目标是保证管理信息在任意两点中传送,便于网络管理员在网络上的任何节点检索 % F- x# X/ y- i* |+ R' p
信息,进行修改,寻找故障;完成故障诊断,容量规划和报告生成。它采用轮询机制,
$ T/ `8 K7 s1 z6 t0 j) {2 q; k' Y提供最基本的功能集。最适合小型、快速、低价格的环境使用。它只要求无证实的传输层
& D0 W5 T5 P& u/ j( v$ D协议UDP,受到许多产品的广泛支持。 ) b' t6 v0 Y0 H2 g+ P
本文将讨论如何在Win2K安装使支持SNMP功能,SNMP技术对于提升整体安全水准是有益的,
4 @' [- j+ K. q- j0 O9 o7 X3 I但也可能存在风险,本文将同时检验这两个方面。另外,除了介绍一些开发工具外, 4 }: i: A. `* p
还将图解通过SNMP收集信息的可能用法,以及如何提高安全性。 , k" c$ u* k3 S: h- y8 R
二、在Win2K中安装SNMP ) a K/ u7 [9 G1 e
提供一个支持SNMP的Win2K设备与增加一个额外的Windows组件同样简单,只需要进入"开始/设置/控制面板/",
( c5 F7 }1 A! q6 _" X选择"添加/删除程序",然后选择"添加/删除Windows组件",随之出现一个对话框,在其中选择"管理和监视工具", 8 s9 [$ T) n% L
最后点击"下一步",依照提示安装:
$ s: E1 `" S: D3 ~0 a5 C! pOK,现在Win2K就可以通过SNMP来访问了. : \% p8 r2 j( ~4 w
三、对snmp信息的刺探方法 % }( g- }$ c0 |/ a
1、Snmputil get
' G) ]2 K4 I0 w8 x/ G下面我们在命令行状态下使用Win2K资源工具箱中的程序snmputil.exe 5 R7 _' o# e4 [7 D( n I) p* Y
(http://pdp.nease.net/snmputil.zip) 6 u, o. B, S' l' {
来获取安装了SNMP的Win2K机器的网络接口数目,命令参数是get:
4 r" s' v+ s* I% p& ?前提是对方snmp口令是public % c8 g& G9 {' y1 ? M
snmputil.exe提供基本的、低级的SNMP功能,通过使用不同的参数和变量,可以显示设备情况以及管理设备。
4 S( O$ R, M6 i* a F0 \下面来看看这个例子都包含了哪些参数和变量: ; f6 ?: o7 S7 T: u
$ i) s& Q b7 ]- u6 b, ]●最后一个参数是SNMP变量,值为1.3.6.1.2.1.2.1.0,被称为物件识别代码OID(object identifier)。
& ^5 R& n9 \; ~" POID有对应的字符串表达式,也就是在SNMPUTIL输出内容的第一行,在这个例子中,即是interfaces.ifNumber.0。
$ n" E! ^4 ]5 e- q( c( m* q* s6 r B* A" Y这个字符串对于用户来说,就要易记易读多了。你可以发现,这种对应关系与DNS类似。
% S$ i0 I6 F( G4 R" \●第二个参数指定将SNMP请求发送给哪个设备,在这里是localhost,即本地主机。 : U) r w$ K5 N! F: R( L
●第三个参数指定使用哪个共同体(即验证字符串或口令),在这里是public。 " ^8 }" n0 ^1 w, D: X
在每个发送到被管理设备的SNMP UDP信息包中,这个口令是以纯文本形式传输的。
$ u5 h" F" p0 g: g当一个Win2K设备安装上SNMP支持后,缺省的SNMP共同体名称为 public,这表明允许用户读取现有的所有变量。
G- `+ o% Q8 Z1 Q& r因为即便是设备中的网络接口数目也是一个敏感数据,所以这就成为第一个安全问题。 2 t1 H. @ @6 N: `1 K. w* l
7 B) ~/ K7 j$ R; Z4 w, O! W4 g2、Snmputil getnext
0 ~2 e+ U. O: P4 I接着,我们试一试snmputil的另一个命令参数getnext:
; k+ w9 `* v! P" C1 A6 Rgetnext的功能是获取指定SNMP变量的下一个变量的值及其OID。因为一个设备的所有SNMP变量都是规则排列的, + D- W1 u3 c0 T9 m- Z
所以使用getnext命令参数就可以获取一个设备中的所有变量值及OID,而不需要事先知道它们的准确OID值。 6 i) c1 F' ^' k( r
; P7 R8 r' V3 |4 m2 k+ e
另外Snmputil getnext可以用来测试 Windows 2K SNMP内存消耗拒绝服务攻击缺陷 " H' y' M3 h# M: K
受影响的系统有:
( f. l+ U, O$ B- A7 k8 W- Microsoft lmmib2.dll 5.00.2134.1/ Q. P( T$ U( S% v$ d2 p
- Microsoft Windows 2000 Server SP2
# O% \7 R2 l. ?* I: Q3 N- Microsoft Windows 2000 Server SP1
% k9 f9 W9 R& z- x# m+ M- Microsoft Windows 2000 Server
: `5 d) {. ?' O/ L4 B& Q$ x. c1 a具体方法:
- `3 C/ @, H* V: Y; u" \% x" ~. dsnmputil getnext localhost public .1.3.6.1.4.1.77.1.2.28.0
/ g! n/ |1 t9 m1 v/ ^1 \' c K6 d' ?请谨慎使用。。。。。。 当心被警察叔叔K哦
; b9 f! k5 W) }7 S( z6 [, }( F0 i6 K( [+ s
3、snmputil walk
6 O! q7 E; {, X" J7 H& L知道了next指令的用途,我们可以编写一个程序自动获取一个设备的所有OID及其数值,而不用一行行地敲入那么长的命令。 / J8 O. V( b/ [4 z% H
但幸运的是,snmputil的walk指令帮助我们实现了这个想法。在命令行状态下敲入下面的命令,将显示出本地机器几乎所有的变量: 7 {0 F: r- G) M8 Y5 l# |
C:\> snmputil walk localhost public .1.3
) @) x5 a( _; z0 V8 I2 E' i% C6 k你会看到一行行的文字在黑白窗口中不停地滚动 ...... 直到最后出现"End of MIB subtree"的信息: 4 \, `! p, D0 G. p7 M
其他指令含义: 4 ^6 d$ `% Y6 c" y$ {
1.snmputil walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程 2 y; N9 D- L1 I5 P8 l* p8 O
这样就可以使入侵者在入侵之前就知道你系统运行的软件,有没有装杀毒软件, ) P5 ]! P8 N2 V0 R! H
从而知己知彼,百战不殆! $ a8 d# i. |7 ?- W# W0 \
2.snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表 & C* Z4 H; _. ]
有了这个更好了,入侵者可以根据你的用户表编一个密码表进行探测,+ Y9 x8 u+ P, r- E4 W, M& X! J6 O
减少了入侵的盲目性。
3 M' h! N) b, R4 G# W3.snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名
4 ^( K( h5 E0 m; M; P2 a5 f' N这个可以列出系统的域名,是入侵者得到了主机名,可以根据此设置探测的密码字典,增加了成功率。
+ c8 M7 x. t/ F- E F
$ \" x2 d5 g+ A* w1 O# C4.snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件 # v+ z9 Z, U* _5 U ^/ {. @" b
用这个入侵者可以看你装的sp是什么,有没有装防火墙等信息,可以据此判断应该有的系统漏洞,增加了入侵的成功率。
$ P- y$ }2 X* U h) t8 b5.snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息 5 y5 E9 [3 P8 e# j6 h0 m3 Z
这个可以使入侵者了解系统状况以及主机的稳定性,可以从主机的uptime里得知你系统开机了多长时间,从而确定是否入侵。
1 V) G, M. E1 @) G) [ e. N# @1 ^7 c6 L h j4 X! ?
其他的工具:
% N2 a! G. D& [( X4 T5 Z& o1:SolarWinds 2002的IP Network Browser ; m1 ~0 s1 v; ~4 z) U
_id=82">http://www.lbfok.com/txt/showsoft.asp?soft_id=82(软件地址)
* U i4 \- e% Z0 o* u_id=83">http://www.lbfok.com/txt/showsoft.asp?soft_id=83(注册机下载) / f0 o' E2 a2 w0 ^( D# O) b: {& v
2:LANguard Network Scanner 3.( e9 U! S: F% M0 Y8 W) E
_id=103">http://www.lbfok.com/txt/showsoft.asp?soft_id=103 1 h9 Q ?7 q" g! f5 F8 I, O) S. {
3:X-scan2.3cn 4 E# b- S& E7 Z g
以上用x-scan就得到了系统信息
8 R8 I: c2 Q/ ?. M) T0 E D_id=13">http://www.lbfok.com/txt/showsoft.asp?soft_id=13 0 u, O8 h8 |* `; E+ i, K: l
1 `' e$ L, a4 ^& w4 G四、如何提高Win2K SNMP的安全性 + p3 t+ v2 m' S( `# v
/ ^- Z4 N! P" K% B, |1:首先需要注意的是,snmp服务的通讯端口是UDP端口,这也就是大部分网络管理人员很容易忽略的地方。
. Q- W% H6 B5 \0 }. P, ?2 M# B4 \7 E往往某些网管配置服务器阻断了NetBIOS空会话的建立,就认为系统安全有了相当的保障,可由于安装
) O: T% U7 F; ?了SNMP服务,不知不觉中,就给系统带去了极大的隐患。 g2 G: Y% j) [! H8 h5 h# A# K
最方便和容易的解决方法,就是关闭SNMP服务,或者卸载掉该服务。 ; J @2 b* N* t) s9 p
如果关掉SNMP服务不方便的话,那么可以通过修改注册表或者直接修改图形界面的SNMP服务属性 4 Q; s T0 u1 e, _2 t5 r7 P
进行安全配置。 $ Q* q4 A, _+ e0 _- C
开始——程序——管理工具——服务——SNMP Service——属性——安全 1 V7 q( h O$ A# n; l
3 N) N: Y" A* K+ X9 g( l在这个配置界面中,可以修改community strings,也就是微软所说的"团体名称",呵呵,也就是
9 Y4 I3 m& O6 g/ l9 R, i- y我所说的"查询密码"。或者可以配置是否从某些安全主机上才允许SNMP查询。
+ Q# w; O, _8 v( j5 L `0 o不过NT4环境下的朋友就必须修改注册表了。 2 I/ P5 |: X/ O- @
修改community strings,在
0 ~( O# w' t8 K/ t0 b[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities] : k! K4 A* n- w/ m: Y
下,将public的名称修改成其它的名称就可以了。
7 L8 `* S6 [5 `/ m x. H1 V( F如果要限定允许的ip才可以进行SNMP查询,可以进入 . p' S/ u" Y' P( F# o
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers] / K* w7 {9 y% ?! A. a& s; p
添加字符串,名称为"1",内容为要允许的主机IP。
/ n, W& l2 L. n6 p- A3 g4 ^当然,如果允许多台机器的话,就要名称沿用"2、3、4"等名称了
! ?: z/ ?& J4 q* r0 S- A k$ F" C) K9 l) N) R6 p6 M8 X
2:在Win2K中,事件日志中的任何事件都可用来创建包含这一事件的SNMP陷阱,Microsoft将这称为SNMP 事件转换器。
) ?0 @# R. Z2 v4 Q5 u2 e7 r4 |可以对一些Win2K设备进行配置,使得当有人试图登录它或者对其共享而未成功时,让这些设备能够发送一个SNMP陷阱信息。 6 h4 U8 A6 W) h3 j! I _: `
把这些陷阱引导到我们自己的工作站,并设置当收到陷阱信息,用应用程序播放一个报警音调,这样就可以初步建立一个多
6 {: Y9 u, n5 c5 m2 B; a媒体安全管理工作站。 ; z- S- ^/ x- r2 G$ E+ N
配置这些陷阱信息所需要的工具有evntwin.exe和evntcmd.exe,二者都是Win2K标准安装后的一部分: 8 E6 N0 l: T4 G+ U
用evntwin.exe对一些重要事件建立陷阱,然后在管理工作站上启动snmputil.exe:
. P5 v, o7 V S0 ?
; ?. R, q% B4 u; ]$ `7 i1 a7 kC:\> snmputil trap
- s* R$ Q, _" psnmputil: listening for traps...
T) V m7 c7 m2 l4 IIncoming Trap:
8 N3 q7 E6 C8 T" Q3 k/ B* tgeneric = 6 $ ^& { z/ g( c* }3 h( c1 _
specific = 529 . ?4 p0 T# u1 e$ x
enterprise = .iso.org.8.83.101.99.117.114.105.116.121
8 M3 P( O; {4 z; ~agent = 127.0.0.1
* x6 I' T5 }9 w4 L7 U9 Vsource IP = 127.0.0.1
5 t. s; [& H( M2 `community = public * S2 K% q5 w5 d+ r k
variable = .iso.org.1.0
7 d7 c. O a) T5 h1 M) q) e7 Wvalue = String
% {6 y9 V6 a$ a( c! b. y0 a% fvariable = .iso.org.2.0 6 P- M$ `5 s% f7 _
value = String SYSTEM ) h# v7 E# Y% y, x' i6 _$ N
variable = .iso.org.3.0
: d Q1 w7 g$ a5 ]5 }/ V* gvalue = String JVO
6 l2 Z( K3 G4 ]* f1 O4 cvariable = .iso.org.4.0
! X& E; O& ?5 O" U; c$ r+ pvalue = String 16 ' ~9 j% V, R h- _1 ?# P
variable = .iso.org.5.0
" Q _; E4 Q C; p4 c+ ]value = String 2
% c7 ]8 _5 B) o/ i _0 O* tvariable = .iso.org.dod.0 4 y" ^: A/ h5 D
value = String nonexistinguser 3 Y6 B/ J) p% F5 G7 E% l2 O! R( U
variable = .iso.org.7.0
& p8 O2 d8 m7 ]( F4 u- z1 Dvalue = String ADS 7 w7 r- K: h5 I) Z6 }; l5 h3 J
variable = .iso.org.8.0 ; j- d+ a) E5 }+ T4 M0 D
value = String 3 % b* W! I& X9 i3 Z' }+ Q* y
variable = .iso.org.9.0 : m% F% K& I5 ^1 K
value = String NtLmSsp
7 e" B- L* I& _! T3 pvariable = .iso.org.10.0 8 \( V$ D( w2 `$ k: E+ j
value = String MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 9 s5 q, i. G. F7 R
variable = .iso.org.11.0 6 ^, K3 r' ^: s5 a
value = String JVO
& ^5 |: o* P. p! t; Y要记住,SNMP陷阱只产生于出现在Win2K事件日志中的事件。如果是一个单独的工作站,需要在"本地安全策略"中配置。 - E( W1 `% K4 f" N5 U6 m1 U
如果是一个域中的设备,要使用AD(活动目录)来设置。
# d& h' u7 t8 C* |1 B另一个使用SNMP并得到附加安全的方法是主动监控某些SNMP变量,这些变量有: # H3 q5 a& m0 @- ^
●IpForwarding (1.3.6.1.2.1.4.1.0):就是IP转发,这个特性对大多少工作站而言不是个好功能。
* o, I1 W# k- u1 x: D2 ~6 R+ o●IcmpInRedirects (1.3.6.1.2.1.5.7):是否有人正在向设备发送icmp重定向信息。
* }/ Y! p5 U/ {7 C+ N/ a●TcpOutRsts (1.3.6.1.2.1.6.15):一个记数器,表示设备所发送的RST数。当受到端口扫描时,这个记数器会急剧增加。 # n1 P0 \$ H6 T! T
●UdpNoPorts (1.3.6.1.2.1.7.2):一个记数器,表示不提供服务的端口的通信量。同样是一个可能受到端口扫描的信号。 q& k6 P; V3 q/ a/ U2 w" H
对于一个SNMP管理工作站来说,为这些变量设置阀值就能提供很好的报警信息。 , V" I9 y' j7 s- c
' O; _) k6 }6 n2 n G- G+ z$ \" ?# _" d
/ l# p/ s9 j: \ | 
IP卡
狗仔卡
发表于 2005-1-20 14:41
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
