|
来源:http://killgod.blogchina.com/
" W. I( B3 T; m& |/ k; y% ^, x记:黑客X档案前几期的文章上有介绍利用工具snmputil.exe来刺探信息的,但是本
7 A( O! c9 O8 J X5 b8 Z) b, B人觉得讲的有点简单,下面本人来深入的讨论一下,大家共同进步。 2 o$ e/ C$ l! @) y! M! E' E
( i9 n% t; V6 M. L一、SNMP的概念,功能 : v6 @ e$ ~) A8 e
SNMP(Simple Network Management Protocol)是被广泛接受并投入使用的工业标准,
; V+ D0 t. x3 U它的目标是保证管理信息在任意两点中传送,便于网络管理员在网络上的任何节点检索 " ~+ I% f( Q" H5 K6 i! F1 |: o
信息,进行修改,寻找故障;完成故障诊断,容量规划和报告生成。它采用轮询机制,
6 | S# N P7 e" G8 F1 J# _" G提供最基本的功能集。最适合小型、快速、低价格的环境使用。它只要求无证实的传输层 / ~! D% s6 \+ A1 r' r; n# q# e
协议UDP,受到许多产品的广泛支持。
. S0 F, |( {: C9 F; ]/ [4 a本文将讨论如何在Win2K安装使支持SNMP功能,SNMP技术对于提升整体安全水准是有益的,
8 ]/ I0 T. f$ p& c5 \/ G但也可能存在风险,本文将同时检验这两个方面。另外,除了介绍一些开发工具外,
1 R0 I. p' t: w; U( z& P还将图解通过SNMP收集信息的可能用法,以及如何提高安全性。
& t- D) T: J @二、在Win2K中安装SNMP ' s( d7 s- e+ {) M) e: F0 N
提供一个支持SNMP的Win2K设备与增加一个额外的Windows组件同样简单,只需要进入"开始/设置/控制面板/", ; Q' y' p; R3 r
选择"添加/删除程序",然后选择"添加/删除Windows组件",随之出现一个对话框,在其中选择"管理和监视工具",
- {! b) K) V2 |: V1 W最后点击"下一步",依照提示安装:" F$ z* Y, s8 k) j! R
OK,现在Win2K就可以通过SNMP来访问了. 5 O4 d, ^8 [* P0 Z2 i
三、对snmp信息的刺探方法
" c3 u4 d* D% T$ ^1 v; L1、Snmputil get
& d6 l8 G+ M4 n1 i% G下面我们在命令行状态下使用Win2K资源工具箱中的程序snmputil.exe
1 }1 w" l7 O. f q& g(http://pdp.nease.net/snmputil.zip) . }* A3 ?9 L$ m a+ J2 o
来获取安装了SNMP的Win2K机器的网络接口数目,命令参数是get:
6 B* w" k) G2 A+ j6 F前提是对方snmp口令是public
~- X6 o3 ~- v7 @3 Z, Dsnmputil.exe提供基本的、低级的SNMP功能,通过使用不同的参数和变量,可以显示设备情况以及管理设备。
; n$ n9 L- z5 ~* w9 I/ F& i6 d下面来看看这个例子都包含了哪些参数和变量: w# P# s+ z: J) P
6 Y9 x6 F0 h n' Z5 X- G●最后一个参数是SNMP变量,值为1.3.6.1.2.1.2.1.0,被称为物件识别代码OID(object identifier)。
5 I/ i* N/ M" P! F3 J4 e: `OID有对应的字符串表达式,也就是在SNMPUTIL输出内容的第一行,在这个例子中,即是interfaces.ifNumber.0。 1 s; q8 c9 S1 W y
这个字符串对于用户来说,就要易记易读多了。你可以发现,这种对应关系与DNS类似。
; t) U# e( X" Y; t* r+ x●第二个参数指定将SNMP请求发送给哪个设备,在这里是localhost,即本地主机。 3 u' P2 H3 r9 S" a( Q
●第三个参数指定使用哪个共同体(即验证字符串或口令),在这里是public。 - p& N9 I7 w9 k2 @
在每个发送到被管理设备的SNMP UDP信息包中,这个口令是以纯文本形式传输的。
# O% {( O+ @; v4 j7 g* d5 x当一个Win2K设备安装上SNMP支持后,缺省的SNMP共同体名称为 public,这表明允许用户读取现有的所有变量。
, U3 [9 `( G) L因为即便是设备中的网络接口数目也是一个敏感数据,所以这就成为第一个安全问题。
4 m+ g: t5 `7 h0 p. B( T- r% p' s, A7 L8 r$ Q
2、Snmputil getnext
8 D- m# o/ |. ^9 h. I" M接着,我们试一试snmputil的另一个命令参数getnext:
6 } W; D- y* M! [getnext的功能是获取指定SNMP变量的下一个变量的值及其OID。因为一个设备的所有SNMP变量都是规则排列的,
, j4 R% u! @' g l7 q( ~所以使用getnext命令参数就可以获取一个设备中的所有变量值及OID,而不需要事先知道它们的准确OID值。
+ |, E. A0 ?6 g8 h" i6 X6 L z! G: R4 N! C9 A& s
另外Snmputil getnext可以用来测试 Windows 2K SNMP内存消耗拒绝服务攻击缺陷
7 i# i5 {9 l# \1 A受影响的系统有: * |& n4 q: t- C) i" p! N" M
- Microsoft lmmib2.dll 5.00.2134.1$ |% [/ u) l* f, W
- Microsoft Windows 2000 Server SP2 ! j' ?1 I- ?1 X
- Microsoft Windows 2000 Server SP1 2 a, R0 W' K0 d8 z2 D0 r6 b' m' O
- Microsoft Windows 2000 Server
: c4 G& o+ Q9 ~/ |* o! L& R4 j具体方法:
4 d, |' h. ]. K: m) jsnmputil getnext localhost public .1.3.6.1.4.1.77.1.2.28.0 " d1 Y$ n; A( }0 F( e
请谨慎使用。。。。。。 当心被警察叔叔K哦
# y% A* p8 r: [# s: G
0 f, w* Y. k& U$ R. m1 T T3、snmputil walk
6 V5 I3 c# h! [3 S知道了next指令的用途,我们可以编写一个程序自动获取一个设备的所有OID及其数值,而不用一行行地敲入那么长的命令。 # e V6 b, n' {' D5 ^: A5 ~3 {8 g' d
但幸运的是,snmputil的walk指令帮助我们实现了这个想法。在命令行状态下敲入下面的命令,将显示出本地机器几乎所有的变量: " F0 w1 P- p; q( y* X' J) _2 {! k
C:\> snmputil walk localhost public .1.3
$ F+ S* Q* p" P你会看到一行行的文字在黑白窗口中不停地滚动 ...... 直到最后出现"End of MIB subtree"的信息:
4 q; a0 r) S- b3 T' F0 p4 s, ]3 j其他指令含义: * L" m# L; x( s. {& a+ [
1.snmputil walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程
5 M2 P2 I- U$ M7 V Y这样就可以使入侵者在入侵之前就知道你系统运行的软件,有没有装杀毒软件,
. |4 a6 j) B e7 E从而知己知彼,百战不殆!
! R7 Q, H2 K6 I4 o- y2.snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表
j3 _" W! T! U7 l2 d; I$ S有了这个更好了,入侵者可以根据你的用户表编一个密码表进行探测,
" m: c' [1 [# v. z2 ]减少了入侵的盲目性。
, Z1 N! z8 H ?" I# l& f# r. W/ c3.snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名 4 ?' L6 p2 T" B$ H. H
这个可以列出系统的域名,是入侵者得到了主机名,可以根据此设置探测的密码字典,增加了成功率。
" y+ _& T k1 t+ G# t
4 t. ?+ ? y+ N+ z4.snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件
; Q. P2 X2 S6 l5 J& J' ?用这个入侵者可以看你装的sp是什么,有没有装防火墙等信息,可以据此判断应该有的系统漏洞,增加了入侵的成功率。 - z- h2 U- d3 S$ \
5.snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息 - v! p0 L6 ^1 v/ T, M( D0 b k
这个可以使入侵者了解系统状况以及主机的稳定性,可以从主机的uptime里得知你系统开机了多长时间,从而确定是否入侵。
! Z. u0 K- z: ?1 ?9 j0 ?7 r) H: d$ Z9 k4 H" X4 [# M: l* {
其他的工具:
4 \: \) g* l |' j( N) |1:SolarWinds 2002的IP Network Browser
0 W+ X7 W$ B9 f2 x& E_id=82">http://www.lbfok.com/txt/showsoft.asp?soft_id=82(软件地址)
q/ I5 r, y6 ~8 v/ O7 R& z6 F_id=83">http://www.lbfok.com/txt/showsoft.asp?soft_id=83(注册机下载) * j8 T# H8 g7 Z p# R! f z
2:LANguard Network Scanner 3.
4 N% Y- K% s7 q& S$ V5 O% q_id=103">http://www.lbfok.com/txt/showsoft.asp?soft_id=103 + L( ]5 Y2 ~/ \* f
3:X-scan2.3cn
8 U3 h0 _& Y3 \$ O. s3 w+ V3 |以上用x-scan就得到了系统信息
9 r/ l! w7 l2 a4 [) w_id=13">http://www.lbfok.com/txt/showsoft.asp?soft_id=13 2 a" ~* Y6 G/ U
2 `# [7 D' z% C. r, t0 @9 l
四、如何提高Win2K SNMP的安全性
" O) c3 k5 s- u6 y; v; D9 K" c( B( Q
1:首先需要注意的是,snmp服务的通讯端口是UDP端口,这也就是大部分网络管理人员很容易忽略的地方。
+ v# s @8 ~% k) H往往某些网管配置服务器阻断了NetBIOS空会话的建立,就认为系统安全有了相当的保障,可由于安装
/ B4 G/ ?: n! M9 m; \( a% H了SNMP服务,不知不觉中,就给系统带去了极大的隐患。
* q9 y: z/ C% ]最方便和容易的解决方法,就是关闭SNMP服务,或者卸载掉该服务。
% n% Q8 a/ |; {: v3 y, u) L如果关掉SNMP服务不方便的话,那么可以通过修改注册表或者直接修改图形界面的SNMP服务属性
) K# }8 t( s( y2 f. _2 _0 c: \' y6 k8 P进行安全配置。 & v$ q. l6 t: A+ w1 z
开始——程序——管理工具——服务——SNMP Service——属性——安全
- s9 i; s7 b3 {# f) ]0 O! W
; z$ Y, [7 \6 } {/ w: c在这个配置界面中,可以修改community strings,也就是微软所说的"团体名称",呵呵,也就是 4 F9 |0 ]3 q, q i
我所说的"查询密码"。或者可以配置是否从某些安全主机上才允许SNMP查询。
6 ]0 w7 A& B( e5 o不过NT4环境下的朋友就必须修改注册表了。
1 K. B: H1 @, X) h: A# f% E( ?修改community strings,在
( s$ o8 R' f. E( ]3 @8 T& \[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities] . h% U: }, m! S* q% x! k
下,将public的名称修改成其它的名称就可以了。 V$ i7 T) C) ?, }2 T
如果要限定允许的ip才可以进行SNMP查询,可以进入
( U* {4 }: Q$ V1 ]* ~' e* }! Z[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers]
! [7 ^! [+ {. ~ Z* d添加字符串,名称为"1",内容为要允许的主机IP。
* _' p; a+ r, u( i2 L+ p" @当然,如果允许多台机器的话,就要名称沿用"2、3、4"等名称了 5 O6 M* B& G2 b2 D' G1 Z8 u; z
8 m# a* l8 Z- A: B2 ?
2:在Win2K中,事件日志中的任何事件都可用来创建包含这一事件的SNMP陷阱,Microsoft将这称为SNMP 事件转换器。 ) J, Y9 A' U. A6 h6 n; T3 m% ?6 F
可以对一些Win2K设备进行配置,使得当有人试图登录它或者对其共享而未成功时,让这些设备能够发送一个SNMP陷阱信息。 a% r, w- |8 p# r
把这些陷阱引导到我们自己的工作站,并设置当收到陷阱信息,用应用程序播放一个报警音调,这样就可以初步建立一个多
: j- ^& W8 o$ }媒体安全管理工作站。
) w" I. E) I& v7 J& I+ s5 }) h配置这些陷阱信息所需要的工具有evntwin.exe和evntcmd.exe,二者都是Win2K标准安装后的一部分:
t! c; r) @" T' S* [, ?用evntwin.exe对一些重要事件建立陷阱,然后在管理工作站上启动snmputil.exe: 9 e( M% m1 d# b& @2 G: B: X- Q: _
) G8 G- _" l' C& W$ m8 b# {8 g
C:\> snmputil trap
. N: D ^0 _6 T- Y6 ^; Fsnmputil: listening for traps...
0 |" f/ g" K$ a$ x4 _+ aIncoming Trap:
. h* `: |( F% o* Cgeneric = 6
2 c$ b/ i9 w! ~' O$ B. y3 |specific = 529
6 g g0 a+ r/ c8 fenterprise = .iso.org.8.83.101.99.117.114.105.116.121
9 J0 q7 ]" i5 k+ y0 F- z }9 F& Aagent = 127.0.0.1
( I9 p3 W3 N' P3 ssource IP = 127.0.0.1 0 W4 M+ E6 }, m9 a+ }4 }7 F1 _. F) m
community = public
8 |( m) D8 Y6 c; ^6 Y. Wvariable = .iso.org.1.0
" L" w3 M' C1 U$ G6 Uvalue = String
2 N# e- z6 J; W2 F1 j+ `variable = .iso.org.2.0
0 N& r1 v& _9 M! Mvalue = String SYSTEM ! L: G% p2 l/ o" c# r' a& M. ]
variable = .iso.org.3.0
' A6 R% T1 B, G+ pvalue = String JVO
6 Z) [( \. c% d& A* v8 O/ c7 Y3 }: Jvariable = .iso.org.4.0
. X* b# e$ F+ n) n+ tvalue = String 16
% ?, r9 j- f- {variable = .iso.org.5.0
' c/ \% M& `7 j ovalue = String 2
4 i& R- ?8 R7 \4 y; Nvariable = .iso.org.dod.0
1 I$ T3 T! _' V& _5 D) B& S H6 l1 evalue = String nonexistinguser : b1 u! c: W4 s1 S6 g
variable = .iso.org.7.0
# y3 d3 ^2 s& svalue = String ADS 3 V+ U1 f/ t0 I( f7 z0 _0 d/ ~* o
variable = .iso.org.8.0 + l0 r% t% R" a3 e2 i
value = String 3
0 b! G1 r; d7 n" M) S6 \variable = .iso.org.9.0
# y; A2 ~# C, b. N; E/ Vvalue = String NtLmSsp
2 D' q7 S- Z" t" L2 z' ~variable = .iso.org.10.0
9 J2 ~0 n9 c6 kvalue = String MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
+ ^# n8 ~( b% ?: l# wvariable = .iso.org.11.0 ! s8 a0 r9 @- O. O4 J! G: Y
value = String JVO - Y2 [ b% G6 [; I) j
要记住,SNMP陷阱只产生于出现在Win2K事件日志中的事件。如果是一个单独的工作站,需要在"本地安全策略"中配置。
; W9 H+ K T p1 k0 j如果是一个域中的设备,要使用AD(活动目录)来设置。 ; Z" h) `( Y/ \
另一个使用SNMP并得到附加安全的方法是主动监控某些SNMP变量,这些变量有:
# N+ }! M( h; b% V: j+ u, f! \9 t●IpForwarding (1.3.6.1.2.1.4.1.0):就是IP转发,这个特性对大多少工作站而言不是个好功能。 6 Z9 n- I8 [- i1 ?" O6 \: W4 F
●IcmpInRedirects (1.3.6.1.2.1.5.7):是否有人正在向设备发送icmp重定向信息。
% F! `: X4 k$ E●TcpOutRsts (1.3.6.1.2.1.6.15):一个记数器,表示设备所发送的RST数。当受到端口扫描时,这个记数器会急剧增加。 7 U% @( Y6 c( j2 \6 x5 H5 j! t
●UdpNoPorts (1.3.6.1.2.1.7.2):一个记数器,表示不提供服务的端口的通信量。同样是一个可能受到端口扫描的信号。
" a' R, k& c& a: V/ G5 j; u b& q对于一个SNMP管理工作站来说,为这些变量设置阀值就能提供很好的报警信息。
% O( E; w6 {0 ^9 T
" l2 O) F4 U" W0 U* r& E) w
$ ~1 x2 c4 l3 i |