|
来源:http://killgod.blogchina.com/ + v' m, h3 a0 L, [
记:黑客X档案前几期的文章上有介绍利用工具snmputil.exe来刺探信息的,但是本
% z J, ?3 s$ d0 L& W人觉得讲的有点简单,下面本人来深入的讨论一下,大家共同进步。 7 r `0 }* U( P9 J7 `
2 s# D: S5 Z7 ?: | }9 L
一、SNMP的概念,功能
- M2 ?0 L4 m6 F1 nSNMP(Simple Network Management Protocol)是被广泛接受并投入使用的工业标准, : u# s* }( r6 g6 k3 \. I$ v1 w: e7 }
它的目标是保证管理信息在任意两点中传送,便于网络管理员在网络上的任何节点检索
8 i, T; O2 }: p! k( i信息,进行修改,寻找故障;完成故障诊断,容量规划和报告生成。它采用轮询机制, ; P3 I7 T8 W7 D6 ?5 N
提供最基本的功能集。最适合小型、快速、低价格的环境使用。它只要求无证实的传输层 8 H, @# ~; q5 d5 S
协议UDP,受到许多产品的广泛支持。 - r8 j. B3 t( L {
本文将讨论如何在Win2K安装使支持SNMP功能,SNMP技术对于提升整体安全水准是有益的,
# n( V- u( ^. e/ h" h+ I, |但也可能存在风险,本文将同时检验这两个方面。另外,除了介绍一些开发工具外, ( C& C) f0 `1 n2 c* I1 C
还将图解通过SNMP收集信息的可能用法,以及如何提高安全性。 9 e5 _$ A9 I% ^& Y! S/ F
二、在Win2K中安装SNMP # q2 d7 O4 C# q4 Y4 k
提供一个支持SNMP的Win2K设备与增加一个额外的Windows组件同样简单,只需要进入"开始/设置/控制面板/", $ @- w0 K8 ^5 {& S
选择"添加/删除程序",然后选择"添加/删除Windows组件",随之出现一个对话框,在其中选择"管理和监视工具",
* W# u0 N, K5 R# |7 `. G- y最后点击"下一步",依照提示安装:
& B% `7 H' f: I8 SOK,现在Win2K就可以通过SNMP来访问了.
5 g4 t8 t; T, T6 P2 n三、对snmp信息的刺探方法
3 V" i# u& [. N* z1、Snmputil get 9 w" [) U5 q) D. P
下面我们在命令行状态下使用Win2K资源工具箱中的程序snmputil.exe . l6 E- Y" u6 ^' j' a) Q
(http://pdp.nease.net/snmputil.zip) . _. N& U4 R1 V8 l
来获取安装了SNMP的Win2K机器的网络接口数目,命令参数是get: + n6 G5 J; Q/ j4 C7 K
前提是对方snmp口令是public
' m) s/ ~( j5 J. t3 ~snmputil.exe提供基本的、低级的SNMP功能,通过使用不同的参数和变量,可以显示设备情况以及管理设备。
0 e: B- k4 E9 ], F下面来看看这个例子都包含了哪些参数和变量:
! t$ h6 Q) ]) \- W* | C$ u
3 z$ o, C8 a- h9 H●最后一个参数是SNMP变量,值为1.3.6.1.2.1.2.1.0,被称为物件识别代码OID(object identifier)。
$ I! {8 t& U5 p3 iOID有对应的字符串表达式,也就是在SNMPUTIL输出内容的第一行,在这个例子中,即是interfaces.ifNumber.0。
/ C$ A) R$ t$ `5 J; |+ m& X这个字符串对于用户来说,就要易记易读多了。你可以发现,这种对应关系与DNS类似。
: h" k [( Y' H3 k% D( g' \! V●第二个参数指定将SNMP请求发送给哪个设备,在这里是localhost,即本地主机。 - Y" m5 E# }) i6 L& ]$ J. b3 A
●第三个参数指定使用哪个共同体(即验证字符串或口令),在这里是public。 ' } I/ [1 @2 _: s
在每个发送到被管理设备的SNMP UDP信息包中,这个口令是以纯文本形式传输的。
, l; T. f+ r4 x6 _2 e O" p当一个Win2K设备安装上SNMP支持后,缺省的SNMP共同体名称为 public,这表明允许用户读取现有的所有变量。 / _2 K6 w( d. J3 W0 @
因为即便是设备中的网络接口数目也是一个敏感数据,所以这就成为第一个安全问题。
0 O- C, y7 D" f7 D- l* R6 N' Z2 A% q* |4 @6 H3 K+ [+ H% O
2、Snmputil getnext
: k' L5 D& w3 K$ `, h* H接着,我们试一试snmputil的另一个命令参数getnext: 6 t6 I. k( ~2 x" }: g2 n9 Y
getnext的功能是获取指定SNMP变量的下一个变量的值及其OID。因为一个设备的所有SNMP变量都是规则排列的, 7 ?/ Z; q6 } d4 b H
所以使用getnext命令参数就可以获取一个设备中的所有变量值及OID,而不需要事先知道它们的准确OID值。 - b7 A( K/ U. |: r$ ]
" j$ W' o/ [2 d. t
另外Snmputil getnext可以用来测试 Windows 2K SNMP内存消耗拒绝服务攻击缺陷
( ?+ I6 _" W+ X& N受影响的系统有:
! d$ x C3 w/ a- Microsoft lmmib2.dll 5.00.2134.1
3 J# {& x5 N" s0 X+ J7 s- Microsoft Windows 2000 Server SP2
9 Y* t, D$ N- a$ e, W- Microsoft Windows 2000 Server SP1 d! G3 r8 m6 Q5 z: `
- Microsoft Windows 2000 Server + b( x; ]* p2 ^1 g3 a
具体方法:
+ U6 S/ y4 {5 e7 K' b6 Wsnmputil getnext localhost public .1.3.6.1.4.1.77.1.2.28.0 0 \' Q3 \, V0 H( q! P
请谨慎使用。。。。。。 当心被警察叔叔K哦
4 I- _3 F& y. k9 V- @# w# t/ k W' c. M' R3 t8 g
3、snmputil walk 4 j. d! J1 ~) x' D. N$ _; n
知道了next指令的用途,我们可以编写一个程序自动获取一个设备的所有OID及其数值,而不用一行行地敲入那么长的命令。
) t( u; [: A# ?5 x; W但幸运的是,snmputil的walk指令帮助我们实现了这个想法。在命令行状态下敲入下面的命令,将显示出本地机器几乎所有的变量: . u& Z. o$ l w! L' Z, o( s/ n
C:\> snmputil walk localhost public .1.3
2 ?+ u5 N# w' x5 w5 v c7 T你会看到一行行的文字在黑白窗口中不停地滚动 ...... 直到最后出现"End of MIB subtree"的信息: 9 i c/ Z: w" d% X
其他指令含义:
# _4 q1 D! \2 V! y) }+ h+ i1.snmputil walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程 P) y/ l% K. s% O# b3 z
这样就可以使入侵者在入侵之前就知道你系统运行的软件,有没有装杀毒软件,
( G. G& h L; n) T. E从而知己知彼,百战不殆! 3 B5 }4 S4 K/ K6 l5 ^8 ?+ }* {
2.snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表 / z7 e6 Z) v7 M' F) v
有了这个更好了,入侵者可以根据你的用户表编一个密码表进行探测,6 Z# {, B& Q5 n2 B7 {: S% `& E+ v
减少了入侵的盲目性。 5 ~, K, X* X: A; v8 _. |$ X5 C+ ?
3.snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名
. O: Z" Z* l) X8 g, o( G' V0 b这个可以列出系统的域名,是入侵者得到了主机名,可以根据此设置探测的密码字典,增加了成功率。
5 H3 e$ q/ e' D0 e
- y1 L P- ?8 g7 H- Z4.snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件
% s) S7 n. C0 O! q( v7 `用这个入侵者可以看你装的sp是什么,有没有装防火墙等信息,可以据此判断应该有的系统漏洞,增加了入侵的成功率。 ' I' W" e0 f( d, c
5.snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息 - k0 A8 b/ I( V7 m5 b
这个可以使入侵者了解系统状况以及主机的稳定性,可以从主机的uptime里得知你系统开机了多长时间,从而确定是否入侵。
4 L- c& Z( w9 R* C+ D2 C: g- z* g8 M) B$ J' s2 H
其他的工具: ! |0 v4 ~( I! g# r* D* {
1:SolarWinds 2002的IP Network Browser " L; l. L: }; o$ r: {4 H
_id=82">http://www.lbfok.com/txt/showsoft.asp?soft_id=82(软件地址) ! s6 E, U+ | Q% K1 B( H& G
_id=83">http://www.lbfok.com/txt/showsoft.asp?soft_id=83(注册机下载) + ], r# m+ D1 i5 X8 u
2:LANguard Network Scanner 3.- o. X5 p7 p8 B+ }7 d5 N! g
_id=103">http://www.lbfok.com/txt/showsoft.asp?soft_id=103
2 P" i" p+ W7 W4 @4 A0 a; q8 d. y3:X-scan2.3cn
' [% r; {& L8 @* `1 J0 V以上用x-scan就得到了系统信息
0 Q( V6 l( O, @6 E/ j' W m_id=13">http://www.lbfok.com/txt/showsoft.asp?soft_id=13
8 m( E1 t3 o' \2 A7 {! T" d+ K3 ^) n' A t
四、如何提高Win2K SNMP的安全性
' I9 y- S! ]2 x, S6 Y9 ^
6 F! R9 q- r: d a0 y! h1:首先需要注意的是,snmp服务的通讯端口是UDP端口,这也就是大部分网络管理人员很容易忽略的地方。
9 Y: i& ^+ R" h6 k+ s往往某些网管配置服务器阻断了NetBIOS空会话的建立,就认为系统安全有了相当的保障,可由于安装
/ @8 ^# Q7 u4 D& k了SNMP服务,不知不觉中,就给系统带去了极大的隐患。 . p# {8 A, u9 y/ ^
最方便和容易的解决方法,就是关闭SNMP服务,或者卸载掉该服务。 ) Z, l R7 a8 @4 X0 J
如果关掉SNMP服务不方便的话,那么可以通过修改注册表或者直接修改图形界面的SNMP服务属性
$ ^6 O6 K% s7 ?/ H2 E/ e$ m0 z ~! r进行安全配置。 3 x! W ~, v1 g/ r( Y
开始——程序——管理工具——服务——SNMP Service——属性——安全 # `( t0 f" T+ ^- N( m6 l
7 X# C# `( q$ D w在这个配置界面中,可以修改community strings,也就是微软所说的"团体名称",呵呵,也就是 2 {5 F- s' s7 E2 b0 {& ]
我所说的"查询密码"。或者可以配置是否从某些安全主机上才允许SNMP查询。
' Z* r/ e2 v7 T3 F: y4 p0 t2 I- B不过NT4环境下的朋友就必须修改注册表了。 1 y8 p% q. f, O
修改community strings,在 " Y! U" V P, j9 [
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities]
& w: i& D! D$ @下,将public的名称修改成其它的名称就可以了。
& } @+ T2 _0 T3 [9 _/ w$ i如果要限定允许的ip才可以进行SNMP查询,可以进入 $ Q4 J. {8 T z. A- [
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers] 5 b* F( y4 j, m( x# \! ^% z
添加字符串,名称为"1",内容为要允许的主机IP。
3 X) z7 f! I( m, o& w5 J当然,如果允许多台机器的话,就要名称沿用"2、3、4"等名称了
. q, Y( k, X0 m- O! z6 q7 f4 B7 R& @
2:在Win2K中,事件日志中的任何事件都可用来创建包含这一事件的SNMP陷阱,Microsoft将这称为SNMP 事件转换器。 : b8 p6 i. y2 E) t0 G, S! e
可以对一些Win2K设备进行配置,使得当有人试图登录它或者对其共享而未成功时,让这些设备能够发送一个SNMP陷阱信息。 ( P* C" i: Q( U
把这些陷阱引导到我们自己的工作站,并设置当收到陷阱信息,用应用程序播放一个报警音调,这样就可以初步建立一个多 |' z! }. b4 _! q
媒体安全管理工作站。
- m6 {7 }# ]" g* q1 d1 p配置这些陷阱信息所需要的工具有evntwin.exe和evntcmd.exe,二者都是Win2K标准安装后的一部分:
" `8 Y; z0 [ C$ k用evntwin.exe对一些重要事件建立陷阱,然后在管理工作站上启动snmputil.exe:
* ~. s* C D' L7 n$ j/ X0 r# L( w6 x9 `( W7 h5 z
C:\> snmputil trap
+ D( I f2 K6 R* asnmputil: listening for traps...
7 G& A. c+ |. yIncoming Trap:
4 Y% ~/ l; ^/ z& L- X" k' c( T; M4 _1 ogeneric = 6
8 ~, N6 ?2 G& ?8 G2 uspecific = 529 4 L g; Z, \% l% O( B6 ]
enterprise = .iso.org.8.83.101.99.117.114.105.116.121 8 {0 Q* L C/ } t5 @# w- o& U! k
agent = 127.0.0.1
: _# T4 u" }, u0 t3 [4 w* csource IP = 127.0.0.1
. x. {, \2 G; t" u. g* ~! e N8 Scommunity = public
* H6 F- T- T. Y8 M2 y; i/ v- q- Dvariable = .iso.org.1.0
# W: t% ~. X$ |- q# A4 _' bvalue = String
2 M0 E6 J& q9 [$ rvariable = .iso.org.2.0 7 q! O* J; w4 i
value = String SYSTEM 7 C! A1 I5 g$ z8 F: z% x
variable = .iso.org.3.0
2 U: f8 Z' P9 c0 v3 F8 d8 fvalue = String JVO
8 i" E8 I+ e% F3 t2 R/ v5 i9 n4 Bvariable = .iso.org.4.0 k- |& h' r3 a$ L# h) M1 \
value = String 16 " P5 y0 O& d. Y- b
variable = .iso.org.5.0 & ]! m3 d9 H* f# Y: b" _9 N& n/ r
value = String 2
( m8 @$ o* H- x3 V/ F5 E: {variable = .iso.org.dod.0
* B5 O8 u3 K0 p$ Dvalue = String nonexistinguser
- V9 C. x; t# l; p" a/ {4 _' lvariable = .iso.org.7.0 / ^4 x: S! T, w0 o
value = String ADS
% D, X) e2 \7 O: c: Ovariable = .iso.org.8.0 7 }7 r+ l# g' V9 v8 |( v
value = String 3
9 ^, _- P4 X7 [( |8 n4 j# m6 jvariable = .iso.org.9.0 ( g( M* d& A- V. v1 P1 s7 N9 o
value = String NtLmSsp # l2 ~7 [; { ^( o
variable = .iso.org.10.0 + t- p/ A, ~: g' e1 ?# } D
value = String MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
/ E4 X. F: G- h- o5 [5 }8 lvariable = .iso.org.11.0
+ J5 B" P( ~+ u1 yvalue = String JVO * k6 A7 n/ O, q8 K# ]
要记住,SNMP陷阱只产生于出现在Win2K事件日志中的事件。如果是一个单独的工作站,需要在"本地安全策略"中配置。 ' e- ?' f. C) A% }' t. H
如果是一个域中的设备,要使用AD(活动目录)来设置。 $ y$ a# C7 b- ~. x
另一个使用SNMP并得到附加安全的方法是主动监控某些SNMP变量,这些变量有:
5 J( G% J; h9 _3 O# m$ n●IpForwarding (1.3.6.1.2.1.4.1.0):就是IP转发,这个特性对大多少工作站而言不是个好功能。
. U. C( [, }( k! x7 x! q●IcmpInRedirects (1.3.6.1.2.1.5.7):是否有人正在向设备发送icmp重定向信息。
$ M k6 ]! ~3 j3 h/ v●TcpOutRsts (1.3.6.1.2.1.6.15):一个记数器,表示设备所发送的RST数。当受到端口扫描时,这个记数器会急剧增加。 . J& ~/ p. P7 a: o! Q" |
●UdpNoPorts (1.3.6.1.2.1.7.2):一个记数器,表示不提供服务的端口的通信量。同样是一个可能受到端口扫描的信号。 ; x4 X# M! o3 J8 ~( `
对于一个SNMP管理工作站来说,为这些变量设置阀值就能提供很好的报警信息。 # h# x2 y2 ?3 Z# j/ w
' u" { E$ E! K3 [; f* Y2 P; Q$ B; |0 g$ }; P- t
| 
IP卡
狗仔卡
发表于 2005-1-20 14:41
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
