|
来源:http://killgod.blogchina.com/
) O' a K$ t% b* }, S记:黑客X档案前几期的文章上有介绍利用工具snmputil.exe来刺探信息的,但是本
1 c Y( D2 c1 [8 Y. u8 x% z人觉得讲的有点简单,下面本人来深入的讨论一下,大家共同进步。
* L; q+ G0 N9 j1 K0 b/ x7 R7 F3 p( [$ U# d/ n4 e2 m
一、SNMP的概念,功能
1 X+ y1 m l/ h* H8 I! y2 USNMP(Simple Network Management Protocol)是被广泛接受并投入使用的工业标准,
. {7 E+ W6 D6 L它的目标是保证管理信息在任意两点中传送,便于网络管理员在网络上的任何节点检索 + a# m* H; \6 ~0 E
信息,进行修改,寻找故障;完成故障诊断,容量规划和报告生成。它采用轮询机制, 2 P! N1 X+ i" i1 q5 `
提供最基本的功能集。最适合小型、快速、低价格的环境使用。它只要求无证实的传输层
; v# x- }; F9 K$ v协议UDP,受到许多产品的广泛支持。 6 w3 q+ C# i2 b2 \2 ? N- h
本文将讨论如何在Win2K安装使支持SNMP功能,SNMP技术对于提升整体安全水准是有益的,
1 m1 @3 x9 L2 C2 w' X& I# K, U/ \但也可能存在风险,本文将同时检验这两个方面。另外,除了介绍一些开发工具外,
; t+ F6 W% h7 d" c. ~& b6 Z还将图解通过SNMP收集信息的可能用法,以及如何提高安全性。
/ ^; w" e( R1 D: G7 M0 w二、在Win2K中安装SNMP 8 [% ~% X' y8 Z; t" {* V- q
提供一个支持SNMP的Win2K设备与增加一个额外的Windows组件同样简单,只需要进入"开始/设置/控制面板/", 7 @( o% U3 E4 z- R/ @& r; Q
选择"添加/删除程序",然后选择"添加/删除Windows组件",随之出现一个对话框,在其中选择"管理和监视工具", ; \* v+ }6 w; p3 J" ]
最后点击"下一步",依照提示安装:; P& f5 T, x) W* a; O
OK,现在Win2K就可以通过SNMP来访问了.
B% u+ I4 p+ u) A三、对snmp信息的刺探方法 9 ^( Y& O, b$ c" q1 v4 e# @" M( C
1、Snmputil get
% H2 K" ~3 R9 L! _; T* @$ t* y下面我们在命令行状态下使用Win2K资源工具箱中的程序snmputil.exe
k' w$ h! a) ], b. f(http://pdp.nease.net/snmputil.zip)
$ t+ E; S& p" M8 P9 a来获取安装了SNMP的Win2K机器的网络接口数目,命令参数是get: . {$ M* l+ d( T+ R1 M# @7 u+ |
前提是对方snmp口令是public
' s& \% e- a" L9 hsnmputil.exe提供基本的、低级的SNMP功能,通过使用不同的参数和变量,可以显示设备情况以及管理设备。
. f) s6 Z* [) Y4 U j下面来看看这个例子都包含了哪些参数和变量:
" }9 o& |* S( ~/ X* i7 ~3 V$ g# a/ ~( ?$ X. Q" |" |; h* r
●最后一个参数是SNMP变量,值为1.3.6.1.2.1.2.1.0,被称为物件识别代码OID(object identifier)。
& q5 A% V' F* `, |OID有对应的字符串表达式,也就是在SNMPUTIL输出内容的第一行,在这个例子中,即是interfaces.ifNumber.0。
, L& ]! a; {8 u1 d; v S. p这个字符串对于用户来说,就要易记易读多了。你可以发现,这种对应关系与DNS类似。 8 k1 h) T) q- ]8 u4 F- o- g+ r; C
●第二个参数指定将SNMP请求发送给哪个设备,在这里是localhost,即本地主机。
2 p# y! Z6 i* b @: D●第三个参数指定使用哪个共同体(即验证字符串或口令),在这里是public。
7 u' u. M: [/ q. u在每个发送到被管理设备的SNMP UDP信息包中,这个口令是以纯文本形式传输的。
. I$ ]: ~ g0 [# e c0 R ?" r- }- g当一个Win2K设备安装上SNMP支持后,缺省的SNMP共同体名称为 public,这表明允许用户读取现有的所有变量。 0 F7 p! F8 C b# _5 R+ n8 W U. l u
因为即便是设备中的网络接口数目也是一个敏感数据,所以这就成为第一个安全问题。 : N/ t# h; Z: f. Y
3 U$ t1 |' `* O' O+ B4 N- F
2、Snmputil getnext 0 a. \/ O, i) U& d+ ] y
接着,我们试一试snmputil的另一个命令参数getnext:
- q7 C( x4 j; b6 @6 Y8 Egetnext的功能是获取指定SNMP变量的下一个变量的值及其OID。因为一个设备的所有SNMP变量都是规则排列的, ' |3 T) v! x2 F' C3 P
所以使用getnext命令参数就可以获取一个设备中的所有变量值及OID,而不需要事先知道它们的准确OID值。 # Y, f$ z, x/ Q# k! k( |6 w
: w. t) }% h/ E. F* T
另外Snmputil getnext可以用来测试 Windows 2K SNMP内存消耗拒绝服务攻击缺陷 & P: T; Z) Q: e( o
受影响的系统有:
8 e9 f' W( c9 ?- Microsoft lmmib2.dll 5.00.2134.1
2 [- D" G4 Y4 B6 X& C, D- Microsoft Windows 2000 Server SP2 : H1 ?1 b; D( t/ _0 q# O
- Microsoft Windows 2000 Server SP1 1 i# r$ L2 ~8 d9 x2 v: F
- Microsoft Windows 2000 Server : X1 M) D9 A W9 c
具体方法:
" m/ `2 m3 o2 Y) Z& @, fsnmputil getnext localhost public .1.3.6.1.4.1.77.1.2.28.0 , C1 ~$ `8 o- V+ N* u
请谨慎使用。。。。。。 当心被警察叔叔K哦 " i& ]" Q$ `% Z4 y$ d; o
$ T1 ~+ { k( c' E
3、snmputil walk & u N' z9 F8 Z/ p& X' m- P# g& O1 w
知道了next指令的用途,我们可以编写一个程序自动获取一个设备的所有OID及其数值,而不用一行行地敲入那么长的命令。
! o( A7 O4 A+ S P1 R- o0 q但幸运的是,snmputil的walk指令帮助我们实现了这个想法。在命令行状态下敲入下面的命令,将显示出本地机器几乎所有的变量: ( t: u% y! t( j# h: J7 S
C:\> snmputil walk localhost public .1.3
, y/ d! e" d) i你会看到一行行的文字在黑白窗口中不停地滚动 ...... 直到最后出现"End of MIB subtree"的信息: % l* M5 \9 M/ R& a6 {% k; y. X" e
其他指令含义:
5 ]7 v/ }8 l3 k1.snmputil walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程
/ M1 ~1 f7 K! k; k# h5 W这样就可以使入侵者在入侵之前就知道你系统运行的软件,有没有装杀毒软件, 1 f5 C Q8 v1 j- {* F5 E# {
从而知己知彼,百战不殆!
( W5 x4 j. y! h0 i2.snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表 5 V* M1 q- w! t$ H# o
有了这个更好了,入侵者可以根据你的用户表编一个密码表进行探测,- g f: I+ K& u' k6 I
减少了入侵的盲目性。
9 F, G7 V6 u- k( _0 w1 P3.snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名
2 Q2 D5 ?% m1 I3 b; c这个可以列出系统的域名,是入侵者得到了主机名,可以根据此设置探测的密码字典,增加了成功率。 4 Q! s, V. I8 R4 }! B
; Y$ M8 H! Z' A( _/ f
4.snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件 6 n8 X* u4 t) A" c
用这个入侵者可以看你装的sp是什么,有没有装防火墙等信息,可以据此判断应该有的系统漏洞,增加了入侵的成功率。 # J3 W& i; p& {* O7 J" Q
5.snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息 ! v5 ~* s8 m" N' W( s2 ]' i# ?$ P
这个可以使入侵者了解系统状况以及主机的稳定性,可以从主机的uptime里得知你系统开机了多长时间,从而确定是否入侵。 , g( G( b% O, s5 J
- D1 ]! j% k6 @. }
其他的工具:
/ r5 x; a4 y6 E& E5 j1:SolarWinds 2002的IP Network Browser 5 _- X2 R: [% f" j8 f7 N
_id=82">http://www.lbfok.com/txt/showsoft.asp?soft_id=82(软件地址)
+ `, w0 E) A0 g; x9 J8 H0 h_id=83">http://www.lbfok.com/txt/showsoft.asp?soft_id=83(注册机下载) 9 _3 E8 F8 Z. V0 U1 i
2:LANguard Network Scanner 3.
?4 s" L, u/ M$ E_id=103">http://www.lbfok.com/txt/showsoft.asp?soft_id=103 / V+ e7 e0 V* Y1 g) J a9 I
3:X-scan2.3cn
. Q8 q' z' g& Q1 d以上用x-scan就得到了系统信息 6 Z* H' }/ x- d
_id=13">http://www.lbfok.com/txt/showsoft.asp?soft_id=13 * G8 b- n/ j8 h; G
' R T$ m. W1 `4 M7 M
四、如何提高Win2K SNMP的安全性
. c0 U$ h- q& Z( x4 W# F
$ S3 r5 w$ O) A" T1:首先需要注意的是,snmp服务的通讯端口是UDP端口,这也就是大部分网络管理人员很容易忽略的地方。
! P- H- P" ^! m# {3 c5 z往往某些网管配置服务器阻断了NetBIOS空会话的建立,就认为系统安全有了相当的保障,可由于安装
- l4 O2 g$ z3 p/ b' ~了SNMP服务,不知不觉中,就给系统带去了极大的隐患。 6 t. H( b! S D
最方便和容易的解决方法,就是关闭SNMP服务,或者卸载掉该服务。 3 @- F- Y# x1 D9 E( `
如果关掉SNMP服务不方便的话,那么可以通过修改注册表或者直接修改图形界面的SNMP服务属性
& k# \; N7 o& K( |' v) b! j( J进行安全配置。 3 Z4 L. A( ]! w. _' I/ v
开始——程序——管理工具——服务——SNMP Service——属性——安全
" Z+ M- O) Y& E0 q8 j! R& _6 u" V) a+ X! `) b* K
在这个配置界面中,可以修改community strings,也就是微软所说的"团体名称",呵呵,也就是
( T3 X+ M' X! U3 r; w# l1 E9 L我所说的"查询密码"。或者可以配置是否从某些安全主机上才允许SNMP查询。
; Z' ?6 _5 n+ J4 I不过NT4环境下的朋友就必须修改注册表了。
, U J; G- ^8 O% k- ]( {修改community strings,在 # J; Z# J7 L. ~. U% I
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities]
4 y% S& h# S/ q4 }- c6 R$ b, G4 F7 s下,将public的名称修改成其它的名称就可以了。 8 t4 M9 o: I# t3 m9 U3 f3 c
如果要限定允许的ip才可以进行SNMP查询,可以进入
9 i; t* B+ t2 v6 f7 j[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers]
6 J5 x$ j' v3 R# p6 h& Y$ e: l添加字符串,名称为"1",内容为要允许的主机IP。 4 Z& O& N8 |7 k
当然,如果允许多台机器的话,就要名称沿用"2、3、4"等名称了 : p; M4 U3 M) c' R; G) P+ O
2 S4 P$ ^# k. I0 L9 \4 @: S2:在Win2K中,事件日志中的任何事件都可用来创建包含这一事件的SNMP陷阱,Microsoft将这称为SNMP 事件转换器。
: V4 f0 J- Y. N' f+ r, F4 ~, S可以对一些Win2K设备进行配置,使得当有人试图登录它或者对其共享而未成功时,让这些设备能够发送一个SNMP陷阱信息。 ; C$ _& C; X' W5 D E
把这些陷阱引导到我们自己的工作站,并设置当收到陷阱信息,用应用程序播放一个报警音调,这样就可以初步建立一个多
]9 [3 ~0 Q8 U' U: u媒体安全管理工作站。 1 q, @0 R# b/ v1 ^$ s5 v
配置这些陷阱信息所需要的工具有evntwin.exe和evntcmd.exe,二者都是Win2K标准安装后的一部分:
$ B, o$ P0 V" H: }7 p% v- C用evntwin.exe对一些重要事件建立陷阱,然后在管理工作站上启动snmputil.exe: ; ^/ V7 F0 t( ?* T0 P1 y' ?& `
. Q! F9 I. K) i" p$ [) a% N
C:\> snmputil trap ; [1 \$ D; G& m8 Z
snmputil: listening for traps... z& q: Y' ^( d" C) M% e3 a4 z8 I2 e# W
Incoming Trap: - |$ f. A/ c6 L v5 {# Z
generic = 6 ! o) @8 f$ M; x, Y" _
specific = 529
) {/ Z/ Y2 s$ M3 @2 C/ Jenterprise = .iso.org.8.83.101.99.117.114.105.116.121
# ?9 k" s2 i- u, Gagent = 127.0.0.1
: u5 F4 f$ S0 u* E. c n/ \source IP = 127.0.0.1
$ s/ A3 ]0 ~& k& Jcommunity = public
: i0 H0 o V" R, u. I6 r& uvariable = .iso.org.1.0
2 m5 y" J% b& t5 k% @ N$ B. r0 [value = String
0 K- J5 H* ]( M* V2 ^( b/ mvariable = .iso.org.2.0 : S, P- B3 z1 w7 Y9 x! I" m: ]
value = String SYSTEM ; I8 { b5 ^, c7 s/ T. S1 B( n
variable = .iso.org.3.0 1 W3 i3 X) H: j9 k3 R
value = String JVO ! g/ C& O, D9 a& c* l( o
variable = .iso.org.4.0 / D& L) l* P$ o" ^8 O/ X
value = String 16 8 N* v# [4 _6 ^1 t9 \% O9 k
variable = .iso.org.5.0
4 N5 t- d5 c( Q( b6 ^. B' j; N, Bvalue = String 2
3 K- o. Y5 R' F1 Lvariable = .iso.org.dod.0 : a$ W+ ^ {9 p
value = String nonexistinguser $ u% F0 U+ f6 _1 H, [) U N& b8 ]
variable = .iso.org.7.0 : ]% ^5 @, c) y' Z% @9 y
value = String ADS
' l3 V' Z1 k" N: xvariable = .iso.org.8.0
) E. m* ]' |4 _1 Q! `1 G$ }$ x3 Xvalue = String 3
5 O% r6 S ]% Avariable = .iso.org.9.0
5 K/ ], f+ b- f4 q1 ivalue = String NtLmSsp
9 b1 _4 y; l* z. O; Y. tvariable = .iso.org.10.0
4 D N9 m" R+ z: E3 j' K! uvalue = String MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 0 \2 G" _ S: _
variable = .iso.org.11.0
* u6 D/ _7 t! uvalue = String JVO % s2 h8 T9 z2 o8 D( N; `# h H) L
要记住,SNMP陷阱只产生于出现在Win2K事件日志中的事件。如果是一个单独的工作站,需要在"本地安全策略"中配置。
0 C4 t$ q) l; O7 {, d" g/ y& n/ y如果是一个域中的设备,要使用AD(活动目录)来设置。
' @% O Z% e4 i" k. Y9 U另一个使用SNMP并得到附加安全的方法是主动监控某些SNMP变量,这些变量有: : C# ^! x5 J% _' v1 e6 P! b" ~
●IpForwarding (1.3.6.1.2.1.4.1.0):就是IP转发,这个特性对大多少工作站而言不是个好功能。 9 \3 @. `( n" Q" d5 p2 a
●IcmpInRedirects (1.3.6.1.2.1.5.7):是否有人正在向设备发送icmp重定向信息。
4 h( _% M( v+ A# y0 j: m0 _' }●TcpOutRsts (1.3.6.1.2.1.6.15):一个记数器,表示设备所发送的RST数。当受到端口扫描时,这个记数器会急剧增加。 9 E! ? z) b4 w1 X3 `" H. c) X% s) Q
●UdpNoPorts (1.3.6.1.2.1.7.2):一个记数器,表示不提供服务的端口的通信量。同样是一个可能受到端口扫描的信号。
; m2 h3 E1 P( R& _/ _ c9 Q5 W对于一个SNMP管理工作站来说,为这些变量设置阀值就能提供很好的报警信息。 . Z8 a) q; `" s. z+ [
: d$ q1 R5 c+ N( Z
+ E1 x1 C9 [. |" T! K& `
|