|
来源:http://killgod.blogchina.com/
; V# O5 E. F8 z记:黑客X档案前几期的文章上有介绍利用工具snmputil.exe来刺探信息的,但是本 . ?' {/ y5 l: Y3 y0 J! x4 E
人觉得讲的有点简单,下面本人来深入的讨论一下,大家共同进步。 " u; o: `* F/ B, {* S
) b* F- G& T) S: J4 ^一、SNMP的概念,功能 % b9 x7 G( }4 g- u9 A
SNMP(Simple Network Management Protocol)是被广泛接受并投入使用的工业标准, $ b* H M8 e+ N4 I9 A8 H* R
它的目标是保证管理信息在任意两点中传送,便于网络管理员在网络上的任何节点检索 / {. X2 s& P# e% x, X: @: G8 G
信息,进行修改,寻找故障;完成故障诊断,容量规划和报告生成。它采用轮询机制, : h) o( ~2 T1 g( u7 m
提供最基本的功能集。最适合小型、快速、低价格的环境使用。它只要求无证实的传输层 $ X: d4 J v0 V; B) U! P. I9 m
协议UDP,受到许多产品的广泛支持。 . Z1 g$ P' H8 N. ~' w" k& x/ h6 Z o
本文将讨论如何在Win2K安装使支持SNMP功能,SNMP技术对于提升整体安全水准是有益的, 8 \) ?2 i0 Y. h1 O) E
但也可能存在风险,本文将同时检验这两个方面。另外,除了介绍一些开发工具外, * j' f7 m5 y+ t" j7 l! t
还将图解通过SNMP收集信息的可能用法,以及如何提高安全性。 0 H u% d- y. A4 @( ?4 ~
二、在Win2K中安装SNMP
, E; z. n) m Z- E! p提供一个支持SNMP的Win2K设备与增加一个额外的Windows组件同样简单,只需要进入"开始/设置/控制面板/", 3 \/ O% G3 e$ ]' m6 l2 J/ W" D
选择"添加/删除程序",然后选择"添加/删除Windows组件",随之出现一个对话框,在其中选择"管理和监视工具", * r8 K; J$ d7 r. q
最后点击"下一步",依照提示安装:$ Z7 I- S, j) r+ z) Z
OK,现在Win2K就可以通过SNMP来访问了.
6 T& \* U5 z) k* @* J- V0 T三、对snmp信息的刺探方法
t/ c2 r, ~. @" |$ V# F1、Snmputil get # ~* Q# k% x3 `5 \# @: c* p
下面我们在命令行状态下使用Win2K资源工具箱中的程序snmputil.exe
! P, W2 J: v ~5 {(http://pdp.nease.net/snmputil.zip)
1 E; J, W, `2 X# b来获取安装了SNMP的Win2K机器的网络接口数目,命令参数是get:
/ h* P9 E1 A: h前提是对方snmp口令是public
3 y0 d6 Q" B5 h' K) @% L& W7 {snmputil.exe提供基本的、低级的SNMP功能,通过使用不同的参数和变量,可以显示设备情况以及管理设备。 9 e& ~ G" g5 h0 B$ h
下面来看看这个例子都包含了哪些参数和变量: 4 C' W- B/ b9 W+ M1 U
; I' L0 j- a7 c' a●最后一个参数是SNMP变量,值为1.3.6.1.2.1.2.1.0,被称为物件识别代码OID(object identifier)。 " G* T& B0 J& M8 A% v# j
OID有对应的字符串表达式,也就是在SNMPUTIL输出内容的第一行,在这个例子中,即是interfaces.ifNumber.0。 : ^; }' y5 L- D- k
这个字符串对于用户来说,就要易记易读多了。你可以发现,这种对应关系与DNS类似。
4 ~1 I( y6 Z7 [8 H- O6 \9 R) x●第二个参数指定将SNMP请求发送给哪个设备,在这里是localhost,即本地主机。 ) o- T8 _7 u2 w7 p+ B" K( ]1 a
●第三个参数指定使用哪个共同体(即验证字符串或口令),在这里是public。
5 S9 L) l/ d) L; f" x在每个发送到被管理设备的SNMP UDP信息包中,这个口令是以纯文本形式传输的。 ( F' ?5 t' b7 Y0 X
当一个Win2K设备安装上SNMP支持后,缺省的SNMP共同体名称为 public,这表明允许用户读取现有的所有变量。 ' s8 P+ K9 n! [/ X# g
因为即便是设备中的网络接口数目也是一个敏感数据,所以这就成为第一个安全问题。 ; m3 ], [: |7 D! Z. u- A
+ K" T2 j8 X' q2、Snmputil getnext % [: K/ ?4 i% ~+ `$ U& M" c% Z
接着,我们试一试snmputil的另一个命令参数getnext: ' l9 z! ^8 u' B9 Y9 o
getnext的功能是获取指定SNMP变量的下一个变量的值及其OID。因为一个设备的所有SNMP变量都是规则排列的, - X/ S4 B: @8 q/ Q0 [- Q' Y
所以使用getnext命令参数就可以获取一个设备中的所有变量值及OID,而不需要事先知道它们的准确OID值。
) V) |2 G1 |( G& k+ P% A: x* x
3 |+ o7 C( Q6 Q( h/ j- U另外Snmputil getnext可以用来测试 Windows 2K SNMP内存消耗拒绝服务攻击缺陷 ; E1 ~1 Q! A/ m) v' l9 X
受影响的系统有: ) u% d/ G& N# L* U- L: ~
- Microsoft lmmib2.dll 5.00.2134.1 I0 j. I$ v! J l6 Q/ ~' @
- Microsoft Windows 2000 Server SP2 3 T2 _ y# h! F! `/ ?) E. h7 w
- Microsoft Windows 2000 Server SP1
! E0 M$ k W) b) R1 s- Microsoft Windows 2000 Server
' u! d0 @( W5 |4 c具体方法:
- B- i8 r( |9 B9 y- k2 fsnmputil getnext localhost public .1.3.6.1.4.1.77.1.2.28.0
! g q8 n9 E/ r& n* j请谨慎使用。。。。。。 当心被警察叔叔K哦 5 z* K+ w9 I: p' ~
$ g6 h* Q( @& d7 g3、snmputil walk
/ M. t( q! d: g$ [0 ?' f: }知道了next指令的用途,我们可以编写一个程序自动获取一个设备的所有OID及其数值,而不用一行行地敲入那么长的命令。 7 |. d3 J! C7 y
但幸运的是,snmputil的walk指令帮助我们实现了这个想法。在命令行状态下敲入下面的命令,将显示出本地机器几乎所有的变量:
/ J5 O1 b9 t& m s6 A }C:\> snmputil walk localhost public .1.3
! r) V l8 @& l5 K/ n你会看到一行行的文字在黑白窗口中不停地滚动 ...... 直到最后出现"End of MIB subtree"的信息: 1 y; \8 d; m7 S: ^8 \9 x
其他指令含义: ) c6 |' b8 B( Q
1.snmputil walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程 0 k& N3 n' F* w
这样就可以使入侵者在入侵之前就知道你系统运行的软件,有没有装杀毒软件,
. Z- e# d/ D2 L t, X9 C从而知己知彼,百战不殆! - \% ?/ Z! K# a+ J: }
2.snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表
# `" Z# }' y' ^* h3 L有了这个更好了,入侵者可以根据你的用户表编一个密码表进行探测,# x: V. \" a: C; e1 n$ |! c
减少了入侵的盲目性。
8 A( c: q! T: L. `3.snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名
9 n+ x/ k" b8 [: g T' N" r) k这个可以列出系统的域名,是入侵者得到了主机名,可以根据此设置探测的密码字典,增加了成功率。
, J4 k+ |5 H, S$ T5 k$ S! V1 D$ R# V6 w% s$ r: J5 \/ }. U
4.snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件 * X+ ~. G& x5 Y% z( G2 z9 v5 [- ]5 T
用这个入侵者可以看你装的sp是什么,有没有装防火墙等信息,可以据此判断应该有的系统漏洞,增加了入侵的成功率。 . R" \0 Y. V. U4 v; x$ [
5.snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息
& V* o( u7 M/ A这个可以使入侵者了解系统状况以及主机的稳定性,可以从主机的uptime里得知你系统开机了多长时间,从而确定是否入侵。 : g& P& g# s' g6 X5 d
y1 Y% T" Y6 \; m" h H8 e
其他的工具: $ j9 d& {; C7 T( _1 J
1:SolarWinds 2002的IP Network Browser
" n6 o! E6 H/ O+ ^8 ^! L_id=82">http://www.lbfok.com/txt/showsoft.asp?soft_id=82(软件地址)
[" I% J7 E9 _& M_id=83">http://www.lbfok.com/txt/showsoft.asp?soft_id=83(注册机下载)
$ n' @& A9 _9 g Z6 K+ f, d- B# @2:LANguard Network Scanner 3.& V% E2 K2 c7 G/ i4 j! l
_id=103">http://www.lbfok.com/txt/showsoft.asp?soft_id=103
( e) b/ Y I& }, A; ~: z4 F3:X-scan2.3cn
% }, J& X: X( m" M+ |以上用x-scan就得到了系统信息 A) j: I- D$ v5 C1 |+ F1 C: [4 ^3 B2 u
_id=13">http://www.lbfok.com/txt/showsoft.asp?soft_id=13 + j& R/ O2 ?% r/ [
p" {3 k( c) Y% `# a6 B, p+ b0 G四、如何提高Win2K SNMP的安全性 ) _9 V3 t' b1 S, e
6 |( H: G3 Y0 f$ z7 B- o) n1:首先需要注意的是,snmp服务的通讯端口是UDP端口,这也就是大部分网络管理人员很容易忽略的地方。 1 T- d' |9 p; D% o/ {9 `
往往某些网管配置服务器阻断了NetBIOS空会话的建立,就认为系统安全有了相当的保障,可由于安装
0 a: A: a, S" } `* E了SNMP服务,不知不觉中,就给系统带去了极大的隐患。
* V& l( f+ ]) Q% O最方便和容易的解决方法,就是关闭SNMP服务,或者卸载掉该服务。
% Z. [! Q# U% G$ O) m7 ^4 S如果关掉SNMP服务不方便的话,那么可以通过修改注册表或者直接修改图形界面的SNMP服务属性 + v. S- b4 s+ B) J) O" v {
进行安全配置。 2 C1 D. b8 r* j" X, I
开始——程序——管理工具——服务——SNMP Service——属性——安全 ( [ z# I+ w: t7 I7 t( I
, D+ r( a) J. g: x' y在这个配置界面中,可以修改community strings,也就是微软所说的"团体名称",呵呵,也就是 ( [* F/ @% h5 B {) S8 Y
我所说的"查询密码"。或者可以配置是否从某些安全主机上才允许SNMP查询。 - ~6 M( C( f1 M" n) U! T+ r, j2 W
不过NT4环境下的朋友就必须修改注册表了。
/ |- Y* S5 }1 U& Z. j1 A d; |修改community strings,在
# O5 b7 P( {; N" a[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities]
, a1 d" r( L# {+ { |下,将public的名称修改成其它的名称就可以了。 * e' `6 g/ t2 |# K$ r! O0 T
如果要限定允许的ip才可以进行SNMP查询,可以进入 8 l8 l+ L7 M: M
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers]
8 D4 `; Q0 a5 B0 c添加字符串,名称为"1",内容为要允许的主机IP。 2 E7 s$ V7 K! |. C9 c
当然,如果允许多台机器的话,就要名称沿用"2、3、4"等名称了
5 G- F" @$ v' L$ r1 Q; R0 ]; G! e% c+ j
) {4 s" B5 a9 w3 c2:在Win2K中,事件日志中的任何事件都可用来创建包含这一事件的SNMP陷阱,Microsoft将这称为SNMP 事件转换器。 % M5 X( J( W s
可以对一些Win2K设备进行配置,使得当有人试图登录它或者对其共享而未成功时,让这些设备能够发送一个SNMP陷阱信息。
* ]% v' a2 X7 j7 z1 r把这些陷阱引导到我们自己的工作站,并设置当收到陷阱信息,用应用程序播放一个报警音调,这样就可以初步建立一个多 0 f) [+ G M. ?; }
媒体安全管理工作站。
. X) @! Y! Z8 u配置这些陷阱信息所需要的工具有evntwin.exe和evntcmd.exe,二者都是Win2K标准安装后的一部分: ! f O2 O- V8 A2 m0 X: k, n) C2 E
用evntwin.exe对一些重要事件建立陷阱,然后在管理工作站上启动snmputil.exe:
0 t& `7 Z* Y& w4 I0 q; B' l- m; P( ?) o$ E# r& E2 d! l
C:\> snmputil trap 1 E) I6 x8 ~6 t! h' x2 x
snmputil: listening for traps... ) \" }/ T* ^- g& m6 [
Incoming Trap:
( v3 R" ~. }2 E0 k5 P' s0 p: ugeneric = 6 . u/ ~) n+ }. M
specific = 529 9 L* N# g* Q0 F+ u9 E" |* R+ o
enterprise = .iso.org.8.83.101.99.117.114.105.116.121 9 s3 `3 B, b/ M4 j( Q
agent = 127.0.0.1
+ o! V( e* |! W+ P1 J; psource IP = 127.0.0.1 % `8 T5 u% Z, S
community = public * Q G; L. [% A
variable = .iso.org.1.0 " M, s# Y4 W1 `9 ]" x4 t
value = String
/ D9 \+ _% O" v# s5 {8 x/ ^& qvariable = .iso.org.2.0 8 h$ y) Y0 |( f8 T6 |7 p$ V1 |
value = String SYSTEM
) k: I. ^0 J) i7 `- gvariable = .iso.org.3.0 - f# U8 Z m4 Y- k
value = String JVO 2 a9 H: s6 x$ [) w' B) ]3 ?( h4 ^
variable = .iso.org.4.0
% g2 A) Q% {; Fvalue = String 16
L# O' o3 h' G5 |4 @variable = .iso.org.5.0 / W. z; z. E* f h
value = String 2
4 K) {4 A6 _# T9 Hvariable = .iso.org.dod.0
( o- `1 G$ g) x9 _/ n& o5 Lvalue = String nonexistinguser
$ v. e0 ]7 t2 C1 T& tvariable = .iso.org.7.0
* U0 ^! q2 d) A% ?6 t; V% Yvalue = String ADS + a& Y( ]7 g# `7 e+ B
variable = .iso.org.8.0
[& q8 S: s8 }1 Evalue = String 3
( k3 a) j v" r3 kvariable = .iso.org.9.0
% W, |$ r) ~& |+ r9 svalue = String NtLmSsp
3 B! b; }& y- R cvariable = .iso.org.10.0
5 i. ?* u( R7 `1 W9 q wvalue = String MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
4 C0 o" |) Z; P- u" \# J [0 @. Kvariable = .iso.org.11.0
3 l4 S# ~: I1 Q, [) f4 I+ Avalue = String JVO 2 I( c2 O8 T7 \1 Z9 K
要记住,SNMP陷阱只产生于出现在Win2K事件日志中的事件。如果是一个单独的工作站,需要在"本地安全策略"中配置。 + M! ?5 l7 e" `9 N; ^
如果是一个域中的设备,要使用AD(活动目录)来设置。
! s5 l8 X" i( J N) _' m另一个使用SNMP并得到附加安全的方法是主动监控某些SNMP变量,这些变量有:
. O6 Y L) S' q+ H3 g; `; g& @●IpForwarding (1.3.6.1.2.1.4.1.0):就是IP转发,这个特性对大多少工作站而言不是个好功能。 . ^' M# n& Y) K. U
●IcmpInRedirects (1.3.6.1.2.1.5.7):是否有人正在向设备发送icmp重定向信息。 ) F4 C* @ P' o( {( g% C1 C
●TcpOutRsts (1.3.6.1.2.1.6.15):一个记数器,表示设备所发送的RST数。当受到端口扫描时,这个记数器会急剧增加。 : T1 P* d: F8 H+ d1 T1 z
●UdpNoPorts (1.3.6.1.2.1.7.2):一个记数器,表示不提供服务的端口的通信量。同样是一个可能受到端口扫描的信号。
2 M6 h) f! _+ w* X1 @1 i: c对于一个SNMP管理工作站来说,为这些变量设置阀值就能提供很好的报警信息。
4 Q0 c- A' T( S) j
' U/ }" m& u3 ^- q7 K) k) ] {) f& Y# g" }2 g v/ b& k S; f
| 
IP卡
狗仔卡
发表于 2005-1-20 14:41
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
