|
来源:http://killgod.blogchina.com/
4 B- R* o& k& J: B' g记:黑客X档案前几期的文章上有介绍利用工具snmputil.exe来刺探信息的,但是本
1 q2 W. \, v" L* F- `人觉得讲的有点简单,下面本人来深入的讨论一下,大家共同进步。 0 K3 c* I6 ^' {. u, ` H+ X
. M5 z- D- Q( d# B \
一、SNMP的概念,功能 ' I; M- a: e# [
SNMP(Simple Network Management Protocol)是被广泛接受并投入使用的工业标准,
' z. {: B2 _) q* v0 E) ~1 j6 L4 b它的目标是保证管理信息在任意两点中传送,便于网络管理员在网络上的任何节点检索 8 l; z* ?) T5 l
信息,进行修改,寻找故障;完成故障诊断,容量规划和报告生成。它采用轮询机制, 0 u) Z. r/ q+ R
提供最基本的功能集。最适合小型、快速、低价格的环境使用。它只要求无证实的传输层 % S/ o+ P A. S' T
协议UDP,受到许多产品的广泛支持。 - u& S& T5 l* U" } m
本文将讨论如何在Win2K安装使支持SNMP功能,SNMP技术对于提升整体安全水准是有益的,
, |2 h- {+ x4 y但也可能存在风险,本文将同时检验这两个方面。另外,除了介绍一些开发工具外, ( H8 j! J+ ]* `# S
还将图解通过SNMP收集信息的可能用法,以及如何提高安全性。 , G1 E1 a" c6 i, y- o
二、在Win2K中安装SNMP / w3 q/ F0 r( h: @1 v, f9 b# ^/ Q
提供一个支持SNMP的Win2K设备与增加一个额外的Windows组件同样简单,只需要进入"开始/设置/控制面板/",
5 k' m% E2 M1 q' C0 P8 I/ e9 n选择"添加/删除程序",然后选择"添加/删除Windows组件",随之出现一个对话框,在其中选择"管理和监视工具", # p) ?! |$ D; P4 _: |) O
最后点击"下一步",依照提示安装:
; d- ?5 b1 s! l( O1 F K! O" F) l9 zOK,现在Win2K就可以通过SNMP来访问了.
% c3 S" D4 }4 M三、对snmp信息的刺探方法
+ j! ]) y, }" M7 ~% g& t: f1 q1、Snmputil get 7 i$ X* J0 ^( i0 D
下面我们在命令行状态下使用Win2K资源工具箱中的程序snmputil.exe
6 k# X# e2 {7 j# V8 x' K' A(http://pdp.nease.net/snmputil.zip) , m e; R6 T A$ F8 J
来获取安装了SNMP的Win2K机器的网络接口数目,命令参数是get:
3 e6 _. N, k8 t( F1 b, x前提是对方snmp口令是public
2 _, ?9 v5 V+ c: P2 k/ Wsnmputil.exe提供基本的、低级的SNMP功能,通过使用不同的参数和变量,可以显示设备情况以及管理设备。 # P0 \; l; H: f4 Z
下面来看看这个例子都包含了哪些参数和变量:
" F* v9 G- T% M. _& c& p
5 J4 ?. |, z3 c3 t, B# p●最后一个参数是SNMP变量,值为1.3.6.1.2.1.2.1.0,被称为物件识别代码OID(object identifier)。 + m+ `7 Q/ h6 n' A/ R. w
OID有对应的字符串表达式,也就是在SNMPUTIL输出内容的第一行,在这个例子中,即是interfaces.ifNumber.0。
0 E/ W+ Z# Q' Y3 \7 ]这个字符串对于用户来说,就要易记易读多了。你可以发现,这种对应关系与DNS类似。
6 I- P" `+ f) s6 b●第二个参数指定将SNMP请求发送给哪个设备,在这里是localhost,即本地主机。
/ v; Z6 @( F. V; o) C6 f( i2 O# {●第三个参数指定使用哪个共同体(即验证字符串或口令),在这里是public。
8 |6 K! N+ S5 ?* Q) d( a4 W在每个发送到被管理设备的SNMP UDP信息包中,这个口令是以纯文本形式传输的。
. i) W0 A s7 |1 v0 {当一个Win2K设备安装上SNMP支持后,缺省的SNMP共同体名称为 public,这表明允许用户读取现有的所有变量。
. ] C8 S2 w- _& S) M% l8 R因为即便是设备中的网络接口数目也是一个敏感数据,所以这就成为第一个安全问题。 ; G2 [0 h: i. t7 b) X. _3 [
+ x: ?' _0 l& c6 f2、Snmputil getnext
( Y$ ~: v2 ^& a接着,我们试一试snmputil的另一个命令参数getnext:
' }. L: l/ G6 @8 i& i' cgetnext的功能是获取指定SNMP变量的下一个变量的值及其OID。因为一个设备的所有SNMP变量都是规则排列的,
0 ~2 P6 @& j6 F0 [# s1 S所以使用getnext命令参数就可以获取一个设备中的所有变量值及OID,而不需要事先知道它们的准确OID值。
! \) ~- |4 X7 \& w1 x3 s1 z
4 r w4 j9 X! H p) R另外Snmputil getnext可以用来测试 Windows 2K SNMP内存消耗拒绝服务攻击缺陷
3 R! Z4 @ y: B0 k! G受影响的系统有:
* Q8 g. m2 m' G* C' l5 J- Microsoft lmmib2.dll 5.00.2134.18 v6 J; Z* r' V# {% ?; x
- Microsoft Windows 2000 Server SP2
% g( G3 t. A; o. s- Microsoft Windows 2000 Server SP1
, o* \2 v) W) U4 a. p2 l- Microsoft Windows 2000 Server ; c+ {1 X5 d. E% y( K
具体方法: : x4 }# g# r( V# P
snmputil getnext localhost public .1.3.6.1.4.1.77.1.2.28.0
/ D7 H" h. j* @: C2 y请谨慎使用。。。。。。 当心被警察叔叔K哦
7 }" u) B' ?3 V6 p% r; F8 t- g' j! G: i7 B
3、snmputil walk ) F _: i( }7 ~4 W" Z
知道了next指令的用途,我们可以编写一个程序自动获取一个设备的所有OID及其数值,而不用一行行地敲入那么长的命令。
, w$ ^6 D ]+ T' ~! I$ ^! h但幸运的是,snmputil的walk指令帮助我们实现了这个想法。在命令行状态下敲入下面的命令,将显示出本地机器几乎所有的变量: 6 t) k+ i1 m" ]! @5 l- p: R) P
C:\> snmputil walk localhost public .1.3 9 g3 n9 O& G, l* T; J( U" Q
你会看到一行行的文字在黑白窗口中不停地滚动 ...... 直到最后出现"End of MIB subtree"的信息: 4 V: `8 c1 m a9 y6 F+ b- t
其他指令含义:
7 [+ o* d4 `+ h. ]1.snmputil walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程
' A( i' B) P5 |3 D/ z; B. I0 S这样就可以使入侵者在入侵之前就知道你系统运行的软件,有没有装杀毒软件,
5 P+ p1 o- C5 ?( l- }' s从而知己知彼,百战不殆!
; u5 m0 |0 W) z% U' ^4 {2.snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表 ; X* |) a0 Y; Z; t% j0 @' m4 i
有了这个更好了,入侵者可以根据你的用户表编一个密码表进行探测,
. n* x0 ]+ k/ z9 L7 r3 f" Q* u3 t4 w减少了入侵的盲目性。
, V9 R; O3 ]: P: w# O4 M+ X. Z3.snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名
* w9 r, b6 K, A9 r这个可以列出系统的域名,是入侵者得到了主机名,可以根据此设置探测的密码字典,增加了成功率。 & ]' Y! Z( B R$ p
& z6 C5 D* }! }% g0 W5 R4 X4.snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件
/ ~( G8 e' u4 n" F, p" P用这个入侵者可以看你装的sp是什么,有没有装防火墙等信息,可以据此判断应该有的系统漏洞,增加了入侵的成功率。
( c. j# w3 m, G9 B+ ]: [4 u! j5.snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息 ) @& s# U$ R$ r4 a' {& D8 n
这个可以使入侵者了解系统状况以及主机的稳定性,可以从主机的uptime里得知你系统开机了多长时间,从而确定是否入侵。 6 i0 L( j; a% x) ]
1 W$ s7 y- }5 W; n! m2 v+ E
其他的工具:
: a) [5 f# E/ w! R1 t1:SolarWinds 2002的IP Network Browser
9 N7 @4 F) C. X0 T P' }" M" n5 @_id=82">http://www.lbfok.com/txt/showsoft.asp?soft_id=82(软件地址)
. {+ i' X# r* m" g& O_id=83">http://www.lbfok.com/txt/showsoft.asp?soft_id=83(注册机下载) $ h. ~ {7 `% Z! b
2:LANguard Network Scanner 3.
\( i* ]1 P) a8 ~# h8 a' M_id=103">http://www.lbfok.com/txt/showsoft.asp?soft_id=103
9 @. x% w" J! E( h }- Q4 o3:X-scan2.3cn 0 b, {! N! h7 x0 q Z
以上用x-scan就得到了系统信息
0 H' w+ Q& k8 p! h" P" I# m& p* B_id=13">http://www.lbfok.com/txt/showsoft.asp?soft_id=13
3 k4 h$ m% W! j; L/ h' s5 C; ~* U, R( M& [ K4 }
四、如何提高Win2K SNMP的安全性 2 M: W# ?" F5 v C; q/ R! @* x8 |
( B7 @4 L5 d& }4 O- E, _) K1:首先需要注意的是,snmp服务的通讯端口是UDP端口,这也就是大部分网络管理人员很容易忽略的地方。
3 H, ~$ y1 n8 @往往某些网管配置服务器阻断了NetBIOS空会话的建立,就认为系统安全有了相当的保障,可由于安装 . {8 G% p. Z) K, s: Z3 @
了SNMP服务,不知不觉中,就给系统带去了极大的隐患。 $ Y* K2 V. Q# O4 T, c$ |& u
最方便和容易的解决方法,就是关闭SNMP服务,或者卸载掉该服务。
/ L" R# y$ ]( p; o# y% s- J: k如果关掉SNMP服务不方便的话,那么可以通过修改注册表或者直接修改图形界面的SNMP服务属性 - l: \* S# D: l4 I$ i6 a4 X$ a
进行安全配置。 6 _# I2 a* C8 [* r3 Z
开始——程序——管理工具——服务——SNMP Service——属性——安全
! L& i* t3 {$ Y# Z
! W7 V2 {; ?6 d* `' H' s( i在这个配置界面中,可以修改community strings,也就是微软所说的"团体名称",呵呵,也就是
0 H4 n2 D# q7 Q我所说的"查询密码"。或者可以配置是否从某些安全主机上才允许SNMP查询。 % r4 ^2 e; `* t1 e* s8 d
不过NT4环境下的朋友就必须修改注册表了。
. D8 @* j2 U) |, r- k修改community strings,在 : A. y l) ~8 q# D8 d
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities] E" \& G Y0 Q! \5 E
下,将public的名称修改成其它的名称就可以了。
# j* j1 {! r" h5 r R6 i: w( N, e如果要限定允许的ip才可以进行SNMP查询,可以进入
/ O. S( m9 S2 {& _. y+ @( Y[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers] 9 t8 h7 w4 r" ]
添加字符串,名称为"1",内容为要允许的主机IP。 # {1 K, V }) S9 Q" B- `
当然,如果允许多台机器的话,就要名称沿用"2、3、4"等名称了
- q% ~' p; n- D" G$ D/ T6 [, y2 i, f+ i. u! w
2:在Win2K中,事件日志中的任何事件都可用来创建包含这一事件的SNMP陷阱,Microsoft将这称为SNMP 事件转换器。 # m: @* _4 N" E4 n! h0 H8 c+ Z
可以对一些Win2K设备进行配置,使得当有人试图登录它或者对其共享而未成功时,让这些设备能够发送一个SNMP陷阱信息。 6 I" z7 S3 ~! o
把这些陷阱引导到我们自己的工作站,并设置当收到陷阱信息,用应用程序播放一个报警音调,这样就可以初步建立一个多
: D1 }' I! J& F" F `! l2 p媒体安全管理工作站。
+ }" z4 T* N- p3 v配置这些陷阱信息所需要的工具有evntwin.exe和evntcmd.exe,二者都是Win2K标准安装后的一部分: ( @$ h t& D$ p- [" h# T
用evntwin.exe对一些重要事件建立陷阱,然后在管理工作站上启动snmputil.exe: : g; Q: F% o1 z) A
! C. T0 a* t9 m0 ~C:\> snmputil trap " y+ s$ |1 s. ?5 `# x) U; q
snmputil: listening for traps...
. t- Z& G# A& p$ iIncoming Trap: * x9 @: P7 C _$ G) P( r- s( i
generic = 6
% \/ L' g6 L& ` {: b( tspecific = 529
* \ b) Z6 a- n, renterprise = .iso.org.8.83.101.99.117.114.105.116.121 7 C5 ^; I2 G) H- |' u7 }- _& P0 H
agent = 127.0.0.1 7 E. I% [. g4 W# K
source IP = 127.0.0.1 b- b! D- @2 H
community = public $ u. }$ o: _# ~. }
variable = .iso.org.1.0 : c! Y1 y- u* [+ N- G
value = String , \5 m+ G3 V1 b# ]% _' e+ p
variable = .iso.org.2.0 : I, [+ M/ A- U5 S4 q' B" y/ D
value = String SYSTEM 6 K% w+ j" g. l2 a9 i
variable = .iso.org.3.0
+ m+ p# C4 @1 c! o5 rvalue = String JVO
$ E: k4 L+ L6 |7 X0 X* c# Kvariable = .iso.org.4.0 1 u% T& X9 T% }' S9 H! s
value = String 16
! e. R: W5 k9 d' O0 y6 Y" [variable = .iso.org.5.0 1 l$ D3 r* V% i- S; [% _( S
value = String 2 5 J8 _1 h/ F4 x A, l/ I
variable = .iso.org.dod.0 , N j% A: H3 q3 I' A7 |. B) X& u! p
value = String nonexistinguser 1 c3 T( o5 s/ h8 d
variable = .iso.org.7.0
: H( }9 J- G$ l) P9 E% Y) Xvalue = String ADS 4 H4 p! c7 e( N( C
variable = .iso.org.8.0 . f/ _7 n+ s2 {% i1 Z/ l
value = String 3 / A. i& L! |0 Q W3 _
variable = .iso.org.9.0
0 ?% e- u8 l/ v2 X3 }8 Xvalue = String NtLmSsp - K8 [( a( x2 e
variable = .iso.org.10.0
/ v& C; O6 e! x( P& u. e* lvalue = String MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
/ f2 u" j# j4 P- `* `variable = .iso.org.11.0 + f; r) U B Y: m
value = String JVO
. W! _2 [$ v! |. P8 o; X要记住,SNMP陷阱只产生于出现在Win2K事件日志中的事件。如果是一个单独的工作站,需要在"本地安全策略"中配置。 1 ^* K& Q' G) F7 _& O$ A% c+ s
如果是一个域中的设备,要使用AD(活动目录)来设置。
; |$ |* ~ p9 k( e另一个使用SNMP并得到附加安全的方法是主动监控某些SNMP变量,这些变量有:
* ?& b B2 ~) E/ s: J; ]# @●IpForwarding (1.3.6.1.2.1.4.1.0):就是IP转发,这个特性对大多少工作站而言不是个好功能。
2 ^. C! r9 l( a/ Z4 F●IcmpInRedirects (1.3.6.1.2.1.5.7):是否有人正在向设备发送icmp重定向信息。
6 [' {+ M+ H8 c1 o( A$ F9 h●TcpOutRsts (1.3.6.1.2.1.6.15):一个记数器,表示设备所发送的RST数。当受到端口扫描时,这个记数器会急剧增加。
( V+ y ~. c2 C$ k' D3 ?+ E) R●UdpNoPorts (1.3.6.1.2.1.7.2):一个记数器,表示不提供服务的端口的通信量。同样是一个可能受到端口扫描的信号。
. _' k& f! G; x* u% i7 \对于一个SNMP管理工作站来说,为这些变量设置阀值就能提供很好的报警信息。 $ `7 |6 ]4 N1 W1 a
- a4 K+ [9 }7 |4 g# s4 l3 X
* A/ x- Z) X I5 t | 
IP卡
狗仔卡
发表于 2005-1-20 14:41
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
