|
来源:http://killgod.blogchina.com/ 8 i s6 _' `/ V5 L3 b+ t
记:黑客X档案前几期的文章上有介绍利用工具snmputil.exe来刺探信息的,但是本 & T# F! S' p/ D+ Z1 k
人觉得讲的有点简单,下面本人来深入的讨论一下,大家共同进步。 * Q) e3 z$ g( c( {7 N: x
p% K4 r0 h) P5 t
一、SNMP的概念,功能
i6 o" L, |7 i* HSNMP(Simple Network Management Protocol)是被广泛接受并投入使用的工业标准, ; v: ^/ B2 [- I* m
它的目标是保证管理信息在任意两点中传送,便于网络管理员在网络上的任何节点检索 8 Y- w" ?& `0 P5 g ?
信息,进行修改,寻找故障;完成故障诊断,容量规划和报告生成。它采用轮询机制,
+ L8 h5 e! T+ J8 ^1 D提供最基本的功能集。最适合小型、快速、低价格的环境使用。它只要求无证实的传输层
# s* h# M1 K( ]) y% Q, ^7 k协议UDP,受到许多产品的广泛支持。
- K3 ]. d; }6 J! u N本文将讨论如何在Win2K安装使支持SNMP功能,SNMP技术对于提升整体安全水准是有益的,
, ]7 K8 j" u; w但也可能存在风险,本文将同时检验这两个方面。另外,除了介绍一些开发工具外, ; I5 t% N- N% N# s
还将图解通过SNMP收集信息的可能用法,以及如何提高安全性。
j( O/ ^/ D8 v5 `" g! o: ~二、在Win2K中安装SNMP 9 z/ q4 v9 T& C+ I: i# Z h
提供一个支持SNMP的Win2K设备与增加一个额外的Windows组件同样简单,只需要进入"开始/设置/控制面板/",
* {4 z# `1 v ~5 ]: q1 M! d选择"添加/删除程序",然后选择"添加/删除Windows组件",随之出现一个对话框,在其中选择"管理和监视工具", ) b( P p7 A3 P- P( |( h
最后点击"下一步",依照提示安装:. G6 e1 X* \7 \* p$ R6 j
OK,现在Win2K就可以通过SNMP来访问了.
3 _( a5 P8 o r4 S( L8 @三、对snmp信息的刺探方法 : b) K8 i6 x. v
1、Snmputil get # q" x# N5 U& j/ x8 m
下面我们在命令行状态下使用Win2K资源工具箱中的程序snmputil.exe
( `$ {+ w: L) z- v(http://pdp.nease.net/snmputil.zip)
, ~1 m0 P& E" r& ]4 f来获取安装了SNMP的Win2K机器的网络接口数目,命令参数是get: ( n: H8 s& F2 u
前提是对方snmp口令是public ! c+ W$ P) D* p- `. {
snmputil.exe提供基本的、低级的SNMP功能,通过使用不同的参数和变量,可以显示设备情况以及管理设备。
' _, ^7 }; ?8 g& m) U下面来看看这个例子都包含了哪些参数和变量:
( ^; h6 Q0 g! a0 S1 M2 F& ~
9 E: R# x2 t* j●最后一个参数是SNMP变量,值为1.3.6.1.2.1.2.1.0,被称为物件识别代码OID(object identifier)。 * V; y& z* Z5 \0 |3 P! O+ @4 F
OID有对应的字符串表达式,也就是在SNMPUTIL输出内容的第一行,在这个例子中,即是interfaces.ifNumber.0。
0 h* g/ `. W2 v/ i( ?8 X这个字符串对于用户来说,就要易记易读多了。你可以发现,这种对应关系与DNS类似。
8 _ ~0 d0 K; h* y5 Z* ]●第二个参数指定将SNMP请求发送给哪个设备,在这里是localhost,即本地主机。
, U* C" r" z# m) l" s●第三个参数指定使用哪个共同体(即验证字符串或口令),在这里是public。
* r' s. s- G8 R5 I" a在每个发送到被管理设备的SNMP UDP信息包中,这个口令是以纯文本形式传输的。
& _4 \7 ~4 c1 W当一个Win2K设备安装上SNMP支持后,缺省的SNMP共同体名称为 public,这表明允许用户读取现有的所有变量。
) i3 ]& `1 Z/ i/ h! c9 n因为即便是设备中的网络接口数目也是一个敏感数据,所以这就成为第一个安全问题。
5 |2 _. ^' [, d3 s$ M" q3 o1 n- ?; A" c# g' z5 _7 N9 _
2、Snmputil getnext , V- a5 ]8 p2 H, p, q G- _
接着,我们试一试snmputil的另一个命令参数getnext:
4 C; x: t5 q& _* m' x7 K; W' b* Cgetnext的功能是获取指定SNMP变量的下一个变量的值及其OID。因为一个设备的所有SNMP变量都是规则排列的,
4 u0 D: s+ H) Z' X所以使用getnext命令参数就可以获取一个设备中的所有变量值及OID,而不需要事先知道它们的准确OID值。 ; d5 k# F1 G. l$ g* w. V: b3 m
) f/ B* ^7 ?3 {) [" o; V/ q4 ^
另外Snmputil getnext可以用来测试 Windows 2K SNMP内存消耗拒绝服务攻击缺陷 # h) N, A/ n% D8 W
受影响的系统有: ) z3 i+ J3 A3 A5 ?# a- r- Q
- Microsoft lmmib2.dll 5.00.2134.1
# Y# W3 t$ o4 P8 b- R% e! p' N- Microsoft Windows 2000 Server SP2
, P! d4 i- @/ W# J: u' ^2 H- Microsoft Windows 2000 Server SP1
( h3 V+ f0 ~! I; H. i% S' z( K- Microsoft Windows 2000 Server
1 I9 {0 U r; `7 v+ E具体方法:
6 J7 m, g) B/ G$ g2 c. \5 u) ksnmputil getnext localhost public .1.3.6.1.4.1.77.1.2.28.0
K0 j8 Z9 U0 j: q5 s D请谨慎使用。。。。。。 当心被警察叔叔K哦 ; h7 C9 _) z: I) `
( E6 V! y" @& h: Q- m
3、snmputil walk 1 }' u1 Y4 X& C
知道了next指令的用途,我们可以编写一个程序自动获取一个设备的所有OID及其数值,而不用一行行地敲入那么长的命令。
0 O7 X3 h# W& r5 c5 y( @但幸运的是,snmputil的walk指令帮助我们实现了这个想法。在命令行状态下敲入下面的命令,将显示出本地机器几乎所有的变量:
+ @+ B+ Z; p/ B' B! g. S yC:\> snmputil walk localhost public .1.3
8 g0 R6 ?+ ?: U: h你会看到一行行的文字在黑白窗口中不停地滚动 ...... 直到最后出现"End of MIB subtree"的信息:
# {0 ]! l, ]5 V4 ^5 O$ _其他指令含义:
5 t, E! D3 |0 J# m f+ i1.snmputil walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程 , P' h9 [: u. W( u/ U9 Z8 x
这样就可以使入侵者在入侵之前就知道你系统运行的软件,有没有装杀毒软件,
* W; D E, n& E I( w4 T: j: l3 g从而知己知彼,百战不殆!
+ q( @* z8 u v( W8 k) J2.snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表
+ B B7 b1 X+ Y有了这个更好了,入侵者可以根据你的用户表编一个密码表进行探测,
( d) A/ I0 j4 {" {2 ]6 y- {1 g) K减少了入侵的盲目性。 5 Y* A+ u0 [" s) y: X+ y# z/ S
3.snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名 % X( h# `# R7 |# D
这个可以列出系统的域名,是入侵者得到了主机名,可以根据此设置探测的密码字典,增加了成功率。 9 P! h2 ~. [2 Y
& d. |2 c+ s5 g% m7 m; E v
4.snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件 % p3 j' O# n1 }& b7 l
用这个入侵者可以看你装的sp是什么,有没有装防火墙等信息,可以据此判断应该有的系统漏洞,增加了入侵的成功率。
1 x3 C4 W/ Q. H" I& F5.snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息
! [( s. M$ T! z6 P& L* D这个可以使入侵者了解系统状况以及主机的稳定性,可以从主机的uptime里得知你系统开机了多长时间,从而确定是否入侵。
5 P& j5 [/ w i. \' D# Q2 H1 h$ c: K+ J D! E2 ~
其他的工具: ! ~$ F' ?$ h8 v% z. ?' c
1:SolarWinds 2002的IP Network Browser
6 _2 |! \7 D1 p2 o3 a5 W5 W$ G! t_id=82">http://www.lbfok.com/txt/showsoft.asp?soft_id=82(软件地址) ; A L6 [# r/ R! C$ S
_id=83">http://www.lbfok.com/txt/showsoft.asp?soft_id=83(注册机下载) l" z7 u9 Y! ~/ G/ q' k9 u$ J
2:LANguard Network Scanner 3.
; d6 I& N. p# q' i, }5 H_id=103">http://www.lbfok.com/txt/showsoft.asp?soft_id=103
& u" i1 v" @9 G6 B3 q1 p$ a |$ H- o3:X-scan2.3cn
2 W# [% T$ Y& r2 Q' j7 c- O& Y以上用x-scan就得到了系统信息 8 L0 _# z7 b [; G0 w& `
_id=13">http://www.lbfok.com/txt/showsoft.asp?soft_id=13
; x! ]+ x* s* u! |2 I8 M: w! a/ j1 @2 B# |2 h Z* k
四、如何提高Win2K SNMP的安全性 & s' G; F4 t$ I& L' D0 X5 k
- I3 m0 c& s- V/ ]8 Z
1:首先需要注意的是,snmp服务的通讯端口是UDP端口,这也就是大部分网络管理人员很容易忽略的地方。 * \. E' q' e) d* b$ \
往往某些网管配置服务器阻断了NetBIOS空会话的建立,就认为系统安全有了相当的保障,可由于安装
: f* S$ u0 B! D. {了SNMP服务,不知不觉中,就给系统带去了极大的隐患。
# R/ M& C, k& n2 h) R, w最方便和容易的解决方法,就是关闭SNMP服务,或者卸载掉该服务。 9 ^+ Y& Q! X& |/ U
如果关掉SNMP服务不方便的话,那么可以通过修改注册表或者直接修改图形界面的SNMP服务属性
2 @2 i/ K0 p+ ?进行安全配置。 8 [0 u" S$ P7 v' ]4 }/ w
开始——程序——管理工具——服务——SNMP Service——属性——安全
, R9 m$ t! H; h' C
9 x6 S6 Q" R' X1 |6 B" _1 u. l$ C6 i3 I在这个配置界面中,可以修改community strings,也就是微软所说的"团体名称",呵呵,也就是
) O, M, [/ ^# O B/ |我所说的"查询密码"。或者可以配置是否从某些安全主机上才允许SNMP查询。 # {9 U, g& p/ d8 D1 a
不过NT4环境下的朋友就必须修改注册表了。 . `! d. e- B2 d; t- b v6 s" d
修改community strings,在
8 ^. H* c, i4 C' W3 Q; w1 |1 R( @" g6 w[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities] : A( ^7 O. C* j+ N0 {
下,将public的名称修改成其它的名称就可以了。 ) `- s- a' j2 g/ u
如果要限定允许的ip才可以进行SNMP查询,可以进入
& H/ Z0 s: d( J/ U2 U% b1 d[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers]
8 v8 ~+ } w9 p H! l添加字符串,名称为"1",内容为要允许的主机IP。
6 l+ R. l" E! k' U9 p. D O当然,如果允许多台机器的话,就要名称沿用"2、3、4"等名称了 ' x8 }3 ?1 t& A' m8 N
1 z5 s5 D3 R5 u- V
2:在Win2K中,事件日志中的任何事件都可用来创建包含这一事件的SNMP陷阱,Microsoft将这称为SNMP 事件转换器。
4 F$ T* [5 z( t$ q1 _& I& \5 Z" g可以对一些Win2K设备进行配置,使得当有人试图登录它或者对其共享而未成功时,让这些设备能够发送一个SNMP陷阱信息。
- n. @9 r" h; S7 S7 s: @5 O- L把这些陷阱引导到我们自己的工作站,并设置当收到陷阱信息,用应用程序播放一个报警音调,这样就可以初步建立一个多 ; ?9 r1 m9 \$ O: u- y* t
媒体安全管理工作站。
1 c0 v* b, T9 S M配置这些陷阱信息所需要的工具有evntwin.exe和evntcmd.exe,二者都是Win2K标准安装后的一部分:
: K+ E: q9 k, g, {# q$ j# m用evntwin.exe对一些重要事件建立陷阱,然后在管理工作站上启动snmputil.exe: 2 l) h# f' _- E5 `+ @) e
8 ? G6 f; Q5 S/ r9 BC:\> snmputil trap 5 u$ j. L' r) L3 _
snmputil: listening for traps... 6 b) H( j f) d3 a' z
Incoming Trap:
e H- I( V' F, e3 m% ageneric = 6
, r2 l, S1 [; C6 gspecific = 529 " c+ v( r/ B) [% m; v1 H
enterprise = .iso.org.8.83.101.99.117.114.105.116.121 / z' B' p# r/ l! ?) G- `& k# e
agent = 127.0.0.1 9 h3 j0 X; @" y! o/ n5 n3 \$ u
source IP = 127.0.0.1 % [- ?5 y* l1 E- s9 \& j" h+ z5 p
community = public $ {( `$ a! x% ~" w( ~+ _& O
variable = .iso.org.1.0
/ e$ b+ T F& Yvalue = String
, z4 J- W$ Q0 i: `% _variable = .iso.org.2.0
) g2 p; m2 f+ j7 rvalue = String SYSTEM
; o7 g" |4 Y' r8 Z! j2 {$ {variable = .iso.org.3.0
4 o8 K: A% |& _* a, |3 {value = String JVO 0 \: Q+ c) r& _6 e; Q0 h8 `
variable = .iso.org.4.0
. C" H6 T$ D1 Uvalue = String 16 ! n& E, X, }2 ~0 Z7 V
variable = .iso.org.5.0 . @1 ?) i5 G9 k5 g; D' m
value = String 2 5 ?6 l$ |7 K$ Y
variable = .iso.org.dod.0 * l- e8 @8 [: s! a, u/ C
value = String nonexistinguser 6 [( a: Y2 J/ y* l6 W
variable = .iso.org.7.0
e3 B! A) H% I; }- e$ f% Fvalue = String ADS
1 N* R% t$ x5 K7 u3 Q0 [- fvariable = .iso.org.8.0
. F4 F; ]( S4 a! ovalue = String 3
2 ^* J7 V) M# a7 g0 e0 \5 Nvariable = .iso.org.9.0
; ]; l& R( [1 R( Gvalue = String NtLmSsp ; ~3 m$ s6 L( h, Q( H
variable = .iso.org.10.0
X- ?1 V/ h$ ], U" Avalue = String MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 " U" { J7 z2 s" Q
variable = .iso.org.11.0
7 H+ V/ M4 t5 b0 ~5 n5 |* Ovalue = String JVO : O; X, T7 b! J+ @! x( A
要记住,SNMP陷阱只产生于出现在Win2K事件日志中的事件。如果是一个单独的工作站,需要在"本地安全策略"中配置。 1 J, u7 ?' H: X8 x
如果是一个域中的设备,要使用AD(活动目录)来设置。 # }6 H9 w$ y. T8 e$ n' d# M& E% ~. W
另一个使用SNMP并得到附加安全的方法是主动监控某些SNMP变量,这些变量有:
+ c+ `$ J+ h) O●IpForwarding (1.3.6.1.2.1.4.1.0):就是IP转发,这个特性对大多少工作站而言不是个好功能。 7 |6 u, }. ^% T# P, F* @, \1 v
●IcmpInRedirects (1.3.6.1.2.1.5.7):是否有人正在向设备发送icmp重定向信息。 9 I9 `$ `! x. c) }, G, ?7 ?
●TcpOutRsts (1.3.6.1.2.1.6.15):一个记数器,表示设备所发送的RST数。当受到端口扫描时,这个记数器会急剧增加。
% N3 e; `8 p( s( x- y●UdpNoPorts (1.3.6.1.2.1.7.2):一个记数器,表示不提供服务的端口的通信量。同样是一个可能受到端口扫描的信号。 - \/ v( z- N/ m& S4 ]) r
对于一个SNMP管理工作站来说,为这些变量设置阀值就能提供很好的报警信息。
2 n* r( z* C9 `" S2 L 2 L4 u, F2 Y" I; n$ J
! g. a4 B4 _- Q: W( S |