|
来源:http://killgod.blogchina.com/
* n" Q7 m5 k# ?) I记:黑客X档案前几期的文章上有介绍利用工具snmputil.exe来刺探信息的,但是本
! ]/ \* d) I* O/ n, x6 \人觉得讲的有点简单,下面本人来深入的讨论一下,大家共同进步。 % Y" L3 X N5 E2 u5 z/ i
* x1 A+ r3 Z1 p6 _一、SNMP的概念,功能 $ o E' s' ]) F. x8 Z) M( ^
SNMP(Simple Network Management Protocol)是被广泛接受并投入使用的工业标准, J# d" T' }& B- x! C
它的目标是保证管理信息在任意两点中传送,便于网络管理员在网络上的任何节点检索
6 i2 q1 l9 `& U8 W: N! B信息,进行修改,寻找故障;完成故障诊断,容量规划和报告生成。它采用轮询机制, 2 f6 v" [3 S( h* J% T
提供最基本的功能集。最适合小型、快速、低价格的环境使用。它只要求无证实的传输层
; D( V7 v6 `; G6 ?$ y协议UDP,受到许多产品的广泛支持。 9 c, k6 j0 z3 Q% Y7 d4 D0 p/ M
本文将讨论如何在Win2K安装使支持SNMP功能,SNMP技术对于提升整体安全水准是有益的, ) U# H1 x' }, H% r( e" X
但也可能存在风险,本文将同时检验这两个方面。另外,除了介绍一些开发工具外,
# S4 Z7 j$ z5 X& y- C还将图解通过SNMP收集信息的可能用法,以及如何提高安全性。
" j- s3 m8 |* q4 X Z7 i" b二、在Win2K中安装SNMP
. D# ] j- ?2 s, }4 u3 L' x7 p" g6 U提供一个支持SNMP的Win2K设备与增加一个额外的Windows组件同样简单,只需要进入"开始/设置/控制面板/",
7 n6 b3 v, ?! k+ b% w2 G选择"添加/删除程序",然后选择"添加/删除Windows组件",随之出现一个对话框,在其中选择"管理和监视工具",
- j* F9 J; S: L1 Y8 c* v5 g最后点击"下一步",依照提示安装:8 t, v. m( V. i0 j, Z1 z
OK,现在Win2K就可以通过SNMP来访问了.
( _# z3 m% |. ]' [7 H+ M7 E3 V. |三、对snmp信息的刺探方法
* P6 R: e" [$ O1 z1、Snmputil get 8 p# i, p H4 e. M7 b' o
下面我们在命令行状态下使用Win2K资源工具箱中的程序snmputil.exe " J" e+ H% J. G# y: f) G! y
(http://pdp.nease.net/snmputil.zip)
# W% m. u; w' c2 g& b1 \1 J8 r来获取安装了SNMP的Win2K机器的网络接口数目,命令参数是get: 7 B6 }+ g, W6 d6 Z- G J# \
前提是对方snmp口令是public ( o% J! I5 X( P
snmputil.exe提供基本的、低级的SNMP功能,通过使用不同的参数和变量,可以显示设备情况以及管理设备。 / p9 Q* R }" Y5 h( \! D
下面来看看这个例子都包含了哪些参数和变量:
. ?5 X8 q" R8 j( e1 `8 W
# y' A0 G( l; B5 f- J●最后一个参数是SNMP变量,值为1.3.6.1.2.1.2.1.0,被称为物件识别代码OID(object identifier)。
4 t, h1 M! I; q8 uOID有对应的字符串表达式,也就是在SNMPUTIL输出内容的第一行,在这个例子中,即是interfaces.ifNumber.0。 9 M) Z5 U% C% g) I5 {* D
这个字符串对于用户来说,就要易记易读多了。你可以发现,这种对应关系与DNS类似。 ~( \/ I6 O' J3 V
●第二个参数指定将SNMP请求发送给哪个设备,在这里是localhost,即本地主机。 5 m+ b7 s/ ?9 f) \
●第三个参数指定使用哪个共同体(即验证字符串或口令),在这里是public。 * t5 p; z( q' L0 h7 u* _, \3 u
在每个发送到被管理设备的SNMP UDP信息包中,这个口令是以纯文本形式传输的。
, p7 J( }, `- R4 S当一个Win2K设备安装上SNMP支持后,缺省的SNMP共同体名称为 public,这表明允许用户读取现有的所有变量。
- N# Z6 Z3 H/ ]8 t4 {因为即便是设备中的网络接口数目也是一个敏感数据,所以这就成为第一个安全问题。 ; ]( t+ E- b' z; T/ h* O
! w. C" u6 R8 R& n# |2、Snmputil getnext
# r0 g6 x0 |4 o接着,我们试一试snmputil的另一个命令参数getnext:
3 m6 e; H4 @. A, [+ b& ~2 mgetnext的功能是获取指定SNMP变量的下一个变量的值及其OID。因为一个设备的所有SNMP变量都是规则排列的, , L% [4 q8 Z w+ L" d: ~1 e; g* q/ g
所以使用getnext命令参数就可以获取一个设备中的所有变量值及OID,而不需要事先知道它们的准确OID值。 4 x: j6 V+ A! r' ^
a" `6 Z4 N! }! N; @
另外Snmputil getnext可以用来测试 Windows 2K SNMP内存消耗拒绝服务攻击缺陷
* b& I% I( ~/ e受影响的系统有:
0 g9 _" O7 n, N6 s- Microsoft lmmib2.dll 5.00.2134.1
$ z( ]$ U% k. l3 O$ s- Microsoft Windows 2000 Server SP2 ' ] C- B. u- d% E/ g( Z% x! x& u' b, ]
- Microsoft Windows 2000 Server SP1
5 q/ O3 Z' f6 j- Microsoft Windows 2000 Server 6 ^& s6 L- {3 {5 x! p
具体方法: - O% X1 p/ d3 N* |$ B
snmputil getnext localhost public .1.3.6.1.4.1.77.1.2.28.0 1 G# y% ~. S G; {
请谨慎使用。。。。。。 当心被警察叔叔K哦
2 @! E: S' n4 t+ ~( i! X1 b' d _) ~5 \. v% g1 d6 C3 X
3、snmputil walk 0 B# O* i$ ^5 G2 y
知道了next指令的用途,我们可以编写一个程序自动获取一个设备的所有OID及其数值,而不用一行行地敲入那么长的命令。
8 S+ e4 J4 G, q1 h( w2 \但幸运的是,snmputil的walk指令帮助我们实现了这个想法。在命令行状态下敲入下面的命令,将显示出本地机器几乎所有的变量: 8 [1 A! E8 }0 \1 @ o# Q1 G
C:\> snmputil walk localhost public .1.3 ' g: q8 R/ B$ G' H: L2 F
你会看到一行行的文字在黑白窗口中不停地滚动 ...... 直到最后出现"End of MIB subtree"的信息: $ Q; w+ f. @: [& a. m1 f& F- \
其他指令含义: 4 Y) g7 t: }4 Y9 m& c
1.snmputil walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程
" e! T& R. ?( ?这样就可以使入侵者在入侵之前就知道你系统运行的软件,有没有装杀毒软件, . j) k- u. ]6 o5 G+ [8 `' X3 g
从而知己知彼,百战不殆! 8 m9 w' p, U, g
2.snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表 3 b. {( c1 e/ o+ p9 F
有了这个更好了,入侵者可以根据你的用户表编一个密码表进行探测,
: `# a# k2 G* _减少了入侵的盲目性。
1 r" H$ \2 ~: o/ S y3.snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名
: S+ k/ P# T* S, V/ x5 H这个可以列出系统的域名,是入侵者得到了主机名,可以根据此设置探测的密码字典,增加了成功率。
* U7 K7 N" S' y1 }, `% O$ x$ R. R: a8 M& @% ?
4.snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件 1 ?6 E9 N \5 M# q, s4 W6 o8 u
用这个入侵者可以看你装的sp是什么,有没有装防火墙等信息,可以据此判断应该有的系统漏洞,增加了入侵的成功率。 ) P7 I9 `2 o3 F. r6 q
5.snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息 : m) B: q- T5 R( p4 r
这个可以使入侵者了解系统状况以及主机的稳定性,可以从主机的uptime里得知你系统开机了多长时间,从而确定是否入侵。
/ _1 F9 d. F) g q i0 m: F* p! A9 d/ Q* K' n4 X
其他的工具: % n2 L* l v) ~ H; o
1:SolarWinds 2002的IP Network Browser 9 D* D" j0 p7 `- V( C. T7 K ]$ I
_id=82">http://www.lbfok.com/txt/showsoft.asp?soft_id=82(软件地址)
+ ~# I5 d7 G6 \+ I7 a& ?% z_id=83">http://www.lbfok.com/txt/showsoft.asp?soft_id=83(注册机下载) ( i- N$ i6 h ^$ N- V
2:LANguard Network Scanner 3.4 Q2 T, L0 m% j! S9 \) i
_id=103">http://www.lbfok.com/txt/showsoft.asp?soft_id=103 ? k) \4 [* D: l8 ^
3:X-scan2.3cn
0 }* `% s2 q8 M! y* ]以上用x-scan就得到了系统信息
1 b [6 t$ _4 h' q_id=13">http://www.lbfok.com/txt/showsoft.asp?soft_id=13
9 v2 H! P8 i; L
/ N2 ?1 G+ U0 `1 T( v% ~四、如何提高Win2K SNMP的安全性 . i H; Y# `0 Q, A3 J0 {" o, {
- k3 r6 o. n( M0 r9 X5 K1 L7 O1:首先需要注意的是,snmp服务的通讯端口是UDP端口,这也就是大部分网络管理人员很容易忽略的地方。 - a7 [ \3 o4 w
往往某些网管配置服务器阻断了NetBIOS空会话的建立,就认为系统安全有了相当的保障,可由于安装 " o+ P) u' }% |) L% H
了SNMP服务,不知不觉中,就给系统带去了极大的隐患。 # t0 Y Q8 P# D) C7 o \
最方便和容易的解决方法,就是关闭SNMP服务,或者卸载掉该服务。 1 \/ V$ }% e/ f/ w) P1 F
如果关掉SNMP服务不方便的话,那么可以通过修改注册表或者直接修改图形界面的SNMP服务属性
& ]8 [0 U7 y/ }$ |$ R. |进行安全配置。 5 F7 F# j: Q; H6 q$ ~2 e$ f. W5 C
开始——程序——管理工具——服务——SNMP Service——属性——安全
9 {) l9 t3 K, m2 g) }7 {6 n( ]9 D2 K0 a
在这个配置界面中,可以修改community strings,也就是微软所说的"团体名称",呵呵,也就是
( n7 \4 G- x/ z( G# j/ [8 h4 O我所说的"查询密码"。或者可以配置是否从某些安全主机上才允许SNMP查询。
$ {- c' Q( I! h不过NT4环境下的朋友就必须修改注册表了。
4 V- J5 i* i" \. [2 o. T5 s+ {: U8 N) Z% ?修改community strings,在
2 I" X2 m% P: J7 ]6 g( m[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities]
, w- \( v; Y9 t" G+ c下,将public的名称修改成其它的名称就可以了。
* r5 V1 R0 y1 U9 s8 c$ w7 E如果要限定允许的ip才可以进行SNMP查询,可以进入 - T4 }& f( [3 ^/ A4 d" |. m1 H1 O
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers] ! B2 l# z0 M' _ {
添加字符串,名称为"1",内容为要允许的主机IP。
5 \& c4 b% J8 h" P0 W当然,如果允许多台机器的话,就要名称沿用"2、3、4"等名称了
" M* N& \* [- c2 \) U# z( E( ~0 }, r8 d( {1 \! L
2:在Win2K中,事件日志中的任何事件都可用来创建包含这一事件的SNMP陷阱,Microsoft将这称为SNMP 事件转换器。 1 U+ L) C! `- y2 R
可以对一些Win2K设备进行配置,使得当有人试图登录它或者对其共享而未成功时,让这些设备能够发送一个SNMP陷阱信息。 / S0 G5 A- I9 w( t8 b' @
把这些陷阱引导到我们自己的工作站,并设置当收到陷阱信息,用应用程序播放一个报警音调,这样就可以初步建立一个多 , o7 ~: l) u( ~5 O2 E. b. R
媒体安全管理工作站。
& q( T5 A7 J, v; L: e7 f+ Y; f: M w; H配置这些陷阱信息所需要的工具有evntwin.exe和evntcmd.exe,二者都是Win2K标准安装后的一部分: - f) g) R# [5 ^5 }% h$ B; l
用evntwin.exe对一些重要事件建立陷阱,然后在管理工作站上启动snmputil.exe:
+ L! l$ Z4 V, s. y5 x
0 `: ~6 A ~9 VC:\> snmputil trap k4 | u$ K) d- D h6 `
snmputil: listening for traps... 8 h/ H! W# ~% T; k, g7 B% E
Incoming Trap:
2 v# J k. X8 P( lgeneric = 6 $ y+ k6 g0 E8 ^: m% B5 g# U( B8 l
specific = 529
- ^3 R$ Z8 ?5 i6 n, P$ Z' eenterprise = .iso.org.8.83.101.99.117.114.105.116.121
, _3 D. }# \4 i. ?; C0 ^4 p$ Hagent = 127.0.0.1
4 y4 u8 k/ d B# B& T" c7 Jsource IP = 127.0.0.1
3 F! `7 q. T7 f5 S; Y, [) J' Vcommunity = public 9 p) F7 X" l5 T# H- }
variable = .iso.org.1.0 6 E3 k, n) Y( V* X
value = String
7 x: x# T% i' s9 fvariable = .iso.org.2.0 $ T) M* M7 |7 I0 z/ K* n0 G
value = String SYSTEM
& k, ]3 a( x4 c: b( Yvariable = .iso.org.3.0 + E/ y. l# ?* k* B- H- ^; V( `) R
value = String JVO ( K- v0 G [; O3 G2 O, j
variable = .iso.org.4.0 ! D8 r+ P4 A/ ]
value = String 16 - I) c, K% X$ i7 T% Q/ F# ]
variable = .iso.org.5.0
i7 [& o. S6 \2 C% p6 Yvalue = String 2
( U; P; ]# }: B: v; e# Lvariable = .iso.org.dod.0
+ i {! U0 k3 z1 {value = String nonexistinguser
2 J+ l5 J! \0 `1 M8 E) {variable = .iso.org.7.0 1 m: w" u+ T% y7 j) i# R% C" V3 R
value = String ADS
# S+ P8 r) g4 |4 _8 Qvariable = .iso.org.8.0 . h2 k" ?& F- o( G
value = String 3 & K) t2 a- P r- p$ Q
variable = .iso.org.9.0
3 F, B# S! k s: F9 \% G+ qvalue = String NtLmSsp 0 A: h6 _8 I# y t9 v! l
variable = .iso.org.10.0 2 V% ^* T! H+ H$ d- f# N* n
value = String MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
: Y: `- b0 x- V% H# vvariable = .iso.org.11.0 % I* e( x' c( }) a' t
value = String JVO
& E9 a0 z- L. Y要记住,SNMP陷阱只产生于出现在Win2K事件日志中的事件。如果是一个单独的工作站,需要在"本地安全策略"中配置。 # i+ P I8 K$ m6 w4 I7 V4 W" [
如果是一个域中的设备,要使用AD(活动目录)来设置。 5 |: R2 Y2 r% y; g
另一个使用SNMP并得到附加安全的方法是主动监控某些SNMP变量,这些变量有: " V2 \2 W: Y- l
●IpForwarding (1.3.6.1.2.1.4.1.0):就是IP转发,这个特性对大多少工作站而言不是个好功能。
g a7 z+ l6 F: `# W; t●IcmpInRedirects (1.3.6.1.2.1.5.7):是否有人正在向设备发送icmp重定向信息。 - s0 [1 S- D9 n% A% i( I+ O3 l
●TcpOutRsts (1.3.6.1.2.1.6.15):一个记数器,表示设备所发送的RST数。当受到端口扫描时,这个记数器会急剧增加。
0 v5 L! G# R9 P/ o, r0 _& H) j/ d●UdpNoPorts (1.3.6.1.2.1.7.2):一个记数器,表示不提供服务的端口的通信量。同样是一个可能受到端口扫描的信号。 2 S& ]& v( d5 U3 J( c5 ]; ~4 v( Z
对于一个SNMP管理工作站来说,为这些变量设置阀值就能提供很好的报警信息。
% f, H; Q" k b- Y! H # R' P, f/ C# K6 i$ Q' }- ~1 g
9 q: z4 _. O1 _1 k
| 
IP卡
狗仔卡
发表于 2005-1-20 14:41
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
