|
来源:http://killgod.blogchina.com/ $ T9 ~9 W7 a$ g; Z2 ~ o+ j1 q
记:黑客X档案前几期的文章上有介绍利用工具snmputil.exe来刺探信息的,但是本 4 h# Z7 J5 V$ C3 }; x
人觉得讲的有点简单,下面本人来深入的讨论一下,大家共同进步。
9 d" |( X! \6 Y3 B. j: R
$ @$ p3 G( L1 g1 N一、SNMP的概念,功能 ; v' J2 d6 L6 o6 k- K# |" ?
SNMP(Simple Network Management Protocol)是被广泛接受并投入使用的工业标准, : n( W3 w+ j: ?- |; X0 G4 o( J. Y& Z. C' r
它的目标是保证管理信息在任意两点中传送,便于网络管理员在网络上的任何节点检索 + R! V; P: y" _+ v# i- v; A
信息,进行修改,寻找故障;完成故障诊断,容量规划和报告生成。它采用轮询机制, : v' w1 K4 l6 J3 U( O3 N. O& X3 v
提供最基本的功能集。最适合小型、快速、低价格的环境使用。它只要求无证实的传输层 0 h4 {% p3 {/ M) B$ ]9 w
协议UDP,受到许多产品的广泛支持。 : J0 e" r& A+ p, O1 J/ G
本文将讨论如何在Win2K安装使支持SNMP功能,SNMP技术对于提升整体安全水准是有益的,
V& |$ o$ v* \+ R/ R; {* n& y但也可能存在风险,本文将同时检验这两个方面。另外,除了介绍一些开发工具外, \+ e }0 y1 D% M7 }/ {
还将图解通过SNMP收集信息的可能用法,以及如何提高安全性。
+ x5 L7 H; I' c% E二、在Win2K中安装SNMP
3 N/ B4 z* y1 i9 R提供一个支持SNMP的Win2K设备与增加一个额外的Windows组件同样简单,只需要进入"开始/设置/控制面板/",
6 W5 }, ? x+ E' c6 D) s选择"添加/删除程序",然后选择"添加/删除Windows组件",随之出现一个对话框,在其中选择"管理和监视工具", . M6 D3 c4 Q. r* P9 e
最后点击"下一步",依照提示安装:1 E% g& R5 i0 V+ q/ n2 t) g9 y
OK,现在Win2K就可以通过SNMP来访问了.
& x0 I& N5 g( P: R三、对snmp信息的刺探方法
0 D# g3 Z, o" z- O! f; a7 I" C1、Snmputil get
% g( W0 h; e; \7 y1 I下面我们在命令行状态下使用Win2K资源工具箱中的程序snmputil.exe 2 H; J# ~: e/ n( W& u
(http://pdp.nease.net/snmputil.zip) 9 Q% U0 R9 B% n# j7 B# C- b! M8 u
来获取安装了SNMP的Win2K机器的网络接口数目,命令参数是get: % c0 O3 G+ U' c' Q' e5 c
前提是对方snmp口令是public " j. o7 V+ B2 ^5 W y, H
snmputil.exe提供基本的、低级的SNMP功能,通过使用不同的参数和变量,可以显示设备情况以及管理设备。 2 g( @8 S: E* w5 Z; ?
下面来看看这个例子都包含了哪些参数和变量: 5 a0 K9 Q. _4 e) K7 B6 {
, j( M) k X# }4 a: B3 L) j& `
●最后一个参数是SNMP变量,值为1.3.6.1.2.1.2.1.0,被称为物件识别代码OID(object identifier)。 * E' r& Q/ h L# r1 ~! R9 S/ V
OID有对应的字符串表达式,也就是在SNMPUTIL输出内容的第一行,在这个例子中,即是interfaces.ifNumber.0。 ! l6 z/ s0 }" \9 }- O
这个字符串对于用户来说,就要易记易读多了。你可以发现,这种对应关系与DNS类似。
& U9 {) d7 y( @; W9 I●第二个参数指定将SNMP请求发送给哪个设备,在这里是localhost,即本地主机。
2 e* B" ? g% z: k6 J●第三个参数指定使用哪个共同体(即验证字符串或口令),在这里是public。 ' K, k; t: C4 H+ I) P2 J
在每个发送到被管理设备的SNMP UDP信息包中,这个口令是以纯文本形式传输的。 " w9 q# W$ M. U3 A" ~
当一个Win2K设备安装上SNMP支持后,缺省的SNMP共同体名称为 public,这表明允许用户读取现有的所有变量。 0 {5 f3 s- H& K- W
因为即便是设备中的网络接口数目也是一个敏感数据,所以这就成为第一个安全问题。
6 }: U/ L4 C. p) y) z* K9 j' u4 V% \7 R7 S4 P; `& H8 w$ S. A- L
2、Snmputil getnext 4 e- \' C1 D9 f$ @; c$ j2 t
接着,我们试一试snmputil的另一个命令参数getnext:
- j5 R9 q! E3 B6 cgetnext的功能是获取指定SNMP变量的下一个变量的值及其OID。因为一个设备的所有SNMP变量都是规则排列的, ' N4 _7 G: q1 P7 _, k+ d! E
所以使用getnext命令参数就可以获取一个设备中的所有变量值及OID,而不需要事先知道它们的准确OID值。 9 N( ^1 ]+ u$ J; `5 L0 i
! E* N5 s) Y/ ?- V2 J1 Q; I另外Snmputil getnext可以用来测试 Windows 2K SNMP内存消耗拒绝服务攻击缺陷
# Y0 e& q1 Q' u1 f0 M/ e受影响的系统有:
( ]& q* L/ _9 f, j/ Q! T8 I' a- Microsoft lmmib2.dll 5.00.2134.1
# {) R7 @( z- x4 y. w- Microsoft Windows 2000 Server SP2
0 d( L& J/ x7 X! k- Microsoft Windows 2000 Server SP1
. l' Q2 D9 L' p+ ~1 C {. q- Microsoft Windows 2000 Server % W9 Z( n( `1 S2 v' r# i
具体方法:
5 Z4 |, A# a7 ~* f$ Jsnmputil getnext localhost public .1.3.6.1.4.1.77.1.2.28.0 . ]7 C2 K. O. q6 s6 |
请谨慎使用。。。。。。 当心被警察叔叔K哦
- R9 z }! a2 J& y
! @* `* s- I; |! e$ @% y/ w3、snmputil walk % a" L0 s/ ?6 K0 a/ N6 a
知道了next指令的用途,我们可以编写一个程序自动获取一个设备的所有OID及其数值,而不用一行行地敲入那么长的命令。
4 k7 D9 Q9 D3 M: ~. n但幸运的是,snmputil的walk指令帮助我们实现了这个想法。在命令行状态下敲入下面的命令,将显示出本地机器几乎所有的变量:
; P) Z& D# e% J6 {C:\> snmputil walk localhost public .1.3
4 \7 |) b8 ]1 }$ w4 s# p你会看到一行行的文字在黑白窗口中不停地滚动 ...... 直到最后出现"End of MIB subtree"的信息:
8 T1 @' I8 `" a" T5 u其他指令含义: % m$ c* L6 H' p
1.snmputil walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程
, k3 H% ?: V6 I& N. @: X7 G这样就可以使入侵者在入侵之前就知道你系统运行的软件,有没有装杀毒软件,
, R8 q4 D' n( O- x& x N从而知己知彼,百战不殆! 7 f9 ^/ O# a% k3 b
2.snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表 * F( ]2 o Y# V; H: L
有了这个更好了,入侵者可以根据你的用户表编一个密码表进行探测,
. n1 ]7 f$ A/ ]* l+ t& I8 A0 k减少了入侵的盲目性。 - j- A. P0 ~, D
3.snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名
- q4 u' e7 b' S' D1 a( q这个可以列出系统的域名,是入侵者得到了主机名,可以根据此设置探测的密码字典,增加了成功率。
4 ~; Y, P9 p, s8 L. L% j7 j
/ _7 s% u! z Z- L4.snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件 & C- t9 `% ]* e( `- L1 N
用这个入侵者可以看你装的sp是什么,有没有装防火墙等信息,可以据此判断应该有的系统漏洞,增加了入侵的成功率。 / F k+ t( b9 }' J: a
5.snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息 & }# E0 J( m4 L. y
这个可以使入侵者了解系统状况以及主机的稳定性,可以从主机的uptime里得知你系统开机了多长时间,从而确定是否入侵。
1 x6 C, l1 K$ m* |$ T. a3 ? I% x% c4 Q' V7 q. g/ x
其他的工具:
" h8 Q; B+ @3 k/ T8 {: v1:SolarWinds 2002的IP Network Browser
( x1 d) s: V2 Q$ y! G_id=82">http://www.lbfok.com/txt/showsoft.asp?soft_id=82(软件地址)
, }. G# W" ]$ [5 c_id=83">http://www.lbfok.com/txt/showsoft.asp?soft_id=83(注册机下载) ' P5 D9 u. o+ V {/ v' W( b
2:LANguard Network Scanner 3.2 G$ m6 N$ p. p: p7 O
_id=103">http://www.lbfok.com/txt/showsoft.asp?soft_id=103
0 b) i+ o6 h" ?- t7 Q7 K( i. @3:X-scan2.3cn
9 g0 j0 |5 f8 r8 Q+ @7 T以上用x-scan就得到了系统信息 , I9 }# s8 s) X% a7 x
_id=13">http://www.lbfok.com/txt/showsoft.asp?soft_id=13 8 n( y F$ j4 _
4 j/ j s. d3 [8 [" h: Q四、如何提高Win2K SNMP的安全性
5 a5 n; U7 B C# N0 D; T; V6 n1 }" W5 o& P
1:首先需要注意的是,snmp服务的通讯端口是UDP端口,这也就是大部分网络管理人员很容易忽略的地方。 y' W# r4 Y# f2 F+ ^/ y
往往某些网管配置服务器阻断了NetBIOS空会话的建立,就认为系统安全有了相当的保障,可由于安装
; |. |# ^" X$ A# {) t了SNMP服务,不知不觉中,就给系统带去了极大的隐患。
# ^/ z5 S- S5 r# t最方便和容易的解决方法,就是关闭SNMP服务,或者卸载掉该服务。 , S- N8 i( j# e8 T- A# Q
如果关掉SNMP服务不方便的话,那么可以通过修改注册表或者直接修改图形界面的SNMP服务属性 ; O" X% z4 P7 n( [
进行安全配置。 * R/ _/ D- |, e$ S; y
开始——程序——管理工具——服务——SNMP Service——属性——安全 5 P8 {% J6 n; e- F8 X5 e
- c% {1 I% q7 `: f( S
在这个配置界面中,可以修改community strings,也就是微软所说的"团体名称",呵呵,也就是 # e0 b! X4 P3 f+ I9 h$ J% n
我所说的"查询密码"。或者可以配置是否从某些安全主机上才允许SNMP查询。 5 e! H3 k: _8 j
不过NT4环境下的朋友就必须修改注册表了。 5 g; k% v Q& j5 t
修改community strings,在 / y! k4 W' R" t0 M( C: I
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities] ' G) K5 ?- G' t$ \
下,将public的名称修改成其它的名称就可以了。
( F* h- Z' G% q! x* K" c0 k+ r/ r如果要限定允许的ip才可以进行SNMP查询,可以进入 " K- L# T4 u) T5 I+ ?( X; C
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers]
) a+ c: A) ? n% y9 }6 |添加字符串,名称为"1",内容为要允许的主机IP。
/ F& E" V+ o% t7 N3 q当然,如果允许多台机器的话,就要名称沿用"2、3、4"等名称了 8 f9 g6 o$ n. z
4 L! @3 d1 T w
2:在Win2K中,事件日志中的任何事件都可用来创建包含这一事件的SNMP陷阱,Microsoft将这称为SNMP 事件转换器。 ' O/ L; ?, _# x8 `/ i
可以对一些Win2K设备进行配置,使得当有人试图登录它或者对其共享而未成功时,让这些设备能够发送一个SNMP陷阱信息。 , \7 ^7 m1 p3 V/ ]
把这些陷阱引导到我们自己的工作站,并设置当收到陷阱信息,用应用程序播放一个报警音调,这样就可以初步建立一个多
$ t Q. f$ ]4 y1 ]8 g& S, `; H0 k) S媒体安全管理工作站。
- \+ X4 V' v( i6 D4 d, i配置这些陷阱信息所需要的工具有evntwin.exe和evntcmd.exe,二者都是Win2K标准安装后的一部分:
$ b% A$ u- f ?! u1 D( i用evntwin.exe对一些重要事件建立陷阱,然后在管理工作站上启动snmputil.exe:
~3 `7 r/ z9 m7 v" D) x) Y6 W, F; ~- c' O/ u" s8 H: F
C:\> snmputil trap
/ O/ X5 F+ e2 c3 Vsnmputil: listening for traps... t2 _, D% n6 K+ G5 X- z( W& h
Incoming Trap:
2 r8 L( ]7 a- Z3 c1 Ygeneric = 6 ) b7 H/ F& A1 V' M g/ Z* w. h7 R
specific = 529
* k$ C+ |6 j7 ?% ^3 ?enterprise = .iso.org.8.83.101.99.117.114.105.116.121
7 U3 B+ d+ r3 p2 R3 z$ X( R5 Wagent = 127.0.0.1 w, w. N4 o% O& |! B
source IP = 127.0.0.1
! B) L1 R2 q' h% D/ k. rcommunity = public
: r8 Q7 ]& M( I) g6 U0 qvariable = .iso.org.1.0
3 y& `3 J s2 ^value = String
2 J7 ] f7 C2 O6 Zvariable = .iso.org.2.0 4 m _4 R: y6 u" l7 W/ w) N
value = String SYSTEM 6 I+ n B3 G% H+ V
variable = .iso.org.3.0
" @% w" z, D* zvalue = String JVO
& F9 F7 F. c8 i7 Qvariable = .iso.org.4.0 3 G/ V, }7 \. L, g& L! |
value = String 16
& J1 s7 U4 c9 x- q; L/ Xvariable = .iso.org.5.0 ( Z' p9 T9 }: M* f* a
value = String 2 3 A0 }: g# r1 j: k; {* X+ I
variable = .iso.org.dod.0 . r) @9 e% o% H" d- n0 a* \2 k
value = String nonexistinguser 4 h: g% t1 [. ?8 J6 n* B
variable = .iso.org.7.0 / z2 c3 X: b# V+ Y8 `
value = String ADS
; Z1 `" B3 w, c) l2 }* i+ qvariable = .iso.org.8.0
) K5 J6 s L6 H( Mvalue = String 3
5 n: j' Q8 F4 l! Z9 ?2 w2 q: _5 lvariable = .iso.org.9.0
( ]2 B, ~+ k! U) t8 p- y& n2 Svalue = String NtLmSsp & t) |' l( D# J1 j! @0 @
variable = .iso.org.10.0
( I9 x1 T5 X' _# bvalue = String MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 / ?( s8 |* K1 o2 v: G m& D0 d
variable = .iso.org.11.0
, W3 `7 ?9 V. g8 Q& ?value = String JVO
) K1 L2 h5 |4 C+ n6 t8 f- L8 R要记住,SNMP陷阱只产生于出现在Win2K事件日志中的事件。如果是一个单独的工作站,需要在"本地安全策略"中配置。 0 j% ^3 P$ [- o; L
如果是一个域中的设备,要使用AD(活动目录)来设置。 ; H& \8 F8 v' [6 b$ U, }: X
另一个使用SNMP并得到附加安全的方法是主动监控某些SNMP变量,这些变量有: , F, q3 u+ c) X1 E z( O
●IpForwarding (1.3.6.1.2.1.4.1.0):就是IP转发,这个特性对大多少工作站而言不是个好功能。 1 U! T- v( S5 f4 O
●IcmpInRedirects (1.3.6.1.2.1.5.7):是否有人正在向设备发送icmp重定向信息。 1 ], h: q+ Z q, ^/ u1 w8 \
●TcpOutRsts (1.3.6.1.2.1.6.15):一个记数器,表示设备所发送的RST数。当受到端口扫描时,这个记数器会急剧增加。 ; N9 {* D4 |" _; A% L
●UdpNoPorts (1.3.6.1.2.1.7.2):一个记数器,表示不提供服务的端口的通信量。同样是一个可能受到端口扫描的信号。
5 @0 u! G/ ~$ a) v对于一个SNMP管理工作站来说,为这些变量设置阀值就能提供很好的报警信息。 0 E" n- F8 `* n7 B/ Q6 m5 p3 B( l/ R
7 \9 t \* P8 c! d. }6 D( S& I
! B' K' Y8 X D- p, A/ H/ D | 
IP卡
狗仔卡
发表于 2005-1-20 14:41
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
