|
来源:http://killgod.blogchina.com/ ! W6 k/ {4 M* H1 A. f
记:黑客X档案前几期的文章上有介绍利用工具snmputil.exe来刺探信息的,但是本
5 ~$ P1 j, [6 O2 L# a人觉得讲的有点简单,下面本人来深入的讨论一下,大家共同进步。 $ t' K1 A1 W! K3 U' W
. o2 k& p1 ]4 |( |/ R
一、SNMP的概念,功能 / _3 U/ J1 O( x4 l2 u& |+ [1 ^
SNMP(Simple Network Management Protocol)是被广泛接受并投入使用的工业标准, - f, d: T- p' q! z. e
它的目标是保证管理信息在任意两点中传送,便于网络管理员在网络上的任何节点检索 4 I8 ~; k; L r- o
信息,进行修改,寻找故障;完成故障诊断,容量规划和报告生成。它采用轮询机制, 0 J R, ~7 \. b) j/ o( V( U
提供最基本的功能集。最适合小型、快速、低价格的环境使用。它只要求无证实的传输层 / X% p3 |2 T) O. W& `$ ]
协议UDP,受到许多产品的广泛支持。
% D% d/ U, | N- W4 Z% C' L本文将讨论如何在Win2K安装使支持SNMP功能,SNMP技术对于提升整体安全水准是有益的,
4 c/ K: E- h( y' X N但也可能存在风险,本文将同时检验这两个方面。另外,除了介绍一些开发工具外,
' o9 F5 m( c$ X8 ]. @- r: N4 N还将图解通过SNMP收集信息的可能用法,以及如何提高安全性。
. S) d$ Z1 u S' r9 L0 x二、在Win2K中安装SNMP 9 j0 U' s( Z. i1 F( F2 c' ^
提供一个支持SNMP的Win2K设备与增加一个额外的Windows组件同样简单,只需要进入"开始/设置/控制面板/", ; |0 Y+ s& x" A- b; s
选择"添加/删除程序",然后选择"添加/删除Windows组件",随之出现一个对话框,在其中选择"管理和监视工具", U# N K* ~2 @7 o: U0 V% i/ |
最后点击"下一步",依照提示安装:" f' k t- M* I! {6 S
OK,现在Win2K就可以通过SNMP来访问了.
0 O5 X* m2 Y+ S- ?6 s9 }$ j三、对snmp信息的刺探方法 5 {+ r- @4 D1 @0 u6 |% h
1、Snmputil get
+ A4 l2 E7 `) {2 A下面我们在命令行状态下使用Win2K资源工具箱中的程序snmputil.exe + _1 V7 b1 R; J% ?/ o( W
(http://pdp.nease.net/snmputil.zip)
, H/ ~0 @6 S, D. p来获取安装了SNMP的Win2K机器的网络接口数目,命令参数是get:
, ]1 j) i$ c5 j7 @* |前提是对方snmp口令是public
$ Z2 A6 W9 n6 C- J5 @0 I* c" {$ ^snmputil.exe提供基本的、低级的SNMP功能,通过使用不同的参数和变量,可以显示设备情况以及管理设备。
( A/ _, W0 o$ h5 H2 q+ L下面来看看这个例子都包含了哪些参数和变量:
4 M1 S q( ?9 x S. D- `9 m2 ]/ M) d3 \7 C
●最后一个参数是SNMP变量,值为1.3.6.1.2.1.2.1.0,被称为物件识别代码OID(object identifier)。
* V& S& K; m/ M' [OID有对应的字符串表达式,也就是在SNMPUTIL输出内容的第一行,在这个例子中,即是interfaces.ifNumber.0。 + A h5 `% N. D, r% E) f
这个字符串对于用户来说,就要易记易读多了。你可以发现,这种对应关系与DNS类似。 4 g3 A/ \, {; D- y- [
●第二个参数指定将SNMP请求发送给哪个设备,在这里是localhost,即本地主机。
% W. t4 a4 G/ T. E" }' e' t●第三个参数指定使用哪个共同体(即验证字符串或口令),在这里是public。
0 r1 \% ^! r* _2 J1 O' b6 P在每个发送到被管理设备的SNMP UDP信息包中,这个口令是以纯文本形式传输的。
' [' h. J# N# H/ L5 W当一个Win2K设备安装上SNMP支持后,缺省的SNMP共同体名称为 public,这表明允许用户读取现有的所有变量。 2 z& k' z2 h' \7 y. G# G7 f/ ]0 a0 L% y
因为即便是设备中的网络接口数目也是一个敏感数据,所以这就成为第一个安全问题。
9 |0 |# @+ m$ W \0 z
5 n( F4 T- U- `; X9 G2、Snmputil getnext " n9 V5 U6 I d; ]3 k' z; }
接着,我们试一试snmputil的另一个命令参数getnext: . \$ `" ^+ L3 S# a# I& _" r% s
getnext的功能是获取指定SNMP变量的下一个变量的值及其OID。因为一个设备的所有SNMP变量都是规则排列的,
1 i. e& h; v* {7 |* A! m% u所以使用getnext命令参数就可以获取一个设备中的所有变量值及OID,而不需要事先知道它们的准确OID值。 {/ J. g/ s8 z0 R+ N( g2 l
7 k7 [$ p- X) u5 T0 ^$ l: c另外Snmputil getnext可以用来测试 Windows 2K SNMP内存消耗拒绝服务攻击缺陷 % a2 I& f$ B1 q7 v$ @) X$ B/ s8 m
受影响的系统有:
: l6 }4 G# o- [0 }1 Z- Microsoft lmmib2.dll 5.00.2134.16 e# @$ i( ~% T5 P
- Microsoft Windows 2000 Server SP2 / ^+ m) O) I/ K/ G& L
- Microsoft Windows 2000 Server SP1
2 S9 ~8 s8 D+ l- Microsoft Windows 2000 Server
0 W" b2 R) ?7 _$ _' F具体方法:
9 j/ x* b4 O; `2 ^9 X: {snmputil getnext localhost public .1.3.6.1.4.1.77.1.2.28.0 * x( Q1 d: y& O0 O4 [, W) D
请谨慎使用。。。。。。 当心被警察叔叔K哦 % X/ ]$ j1 E+ G9 L) _% d
4 @* g( z& L/ g W# s3、snmputil walk
o$ d5 K# D. [- g. s知道了next指令的用途,我们可以编写一个程序自动获取一个设备的所有OID及其数值,而不用一行行地敲入那么长的命令。
1 ]2 y) N7 B5 c1 r% S* |* [但幸运的是,snmputil的walk指令帮助我们实现了这个想法。在命令行状态下敲入下面的命令,将显示出本地机器几乎所有的变量: # f6 A; F: H. j/ o& [. F @/ c
C:\> snmputil walk localhost public .1.3 " Q# I8 x. x- c! w
你会看到一行行的文字在黑白窗口中不停地滚动 ...... 直到最后出现"End of MIB subtree"的信息:
. S R* {- ~- l' H其他指令含义:
7 L0 n( _9 l# L1 v: V1.snmputil walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程
) V. Z$ {9 U) d* e# M n, K" y这样就可以使入侵者在入侵之前就知道你系统运行的软件,有没有装杀毒软件,
$ Y- x0 q" ~* r从而知己知彼,百战不殆! & u; T- u) u6 t( N+ }4 M
2.snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表
1 v2 ~& [. f- Q$ |7 |$ L有了这个更好了,入侵者可以根据你的用户表编一个密码表进行探测,. \" r3 F5 q& m2 ~6 I+ X
减少了入侵的盲目性。 7 R" ?0 u r( j& _" X
3.snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名 5 f) x9 u' n8 C5 J; k6 f2 s
这个可以列出系统的域名,是入侵者得到了主机名,可以根据此设置探测的密码字典,增加了成功率。 ) ^! D; ]& Q9 K" S4 }* t# T
: L, F% h5 J4 s" _4.snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件
6 l* z4 n. m5 {4 |2 r用这个入侵者可以看你装的sp是什么,有没有装防火墙等信息,可以据此判断应该有的系统漏洞,增加了入侵的成功率。
+ `! Y4 s+ g8 f5.snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息 0 h: g0 O' l! `7 X4 H
这个可以使入侵者了解系统状况以及主机的稳定性,可以从主机的uptime里得知你系统开机了多长时间,从而确定是否入侵。 3 k; }* @+ N: Z+ R
3 q7 \0 k# a7 W其他的工具: 1 Y$ w: q# z4 n8 g7 a# L
1:SolarWinds 2002的IP Network Browser
) @' {1 g K. X) @+ A8 {_id=82">http://www.lbfok.com/txt/showsoft.asp?soft_id=82(软件地址) . S& V8 x5 O8 m- I; y
_id=83">http://www.lbfok.com/txt/showsoft.asp?soft_id=83(注册机下载) " P- t9 G: E9 X. s, i
2:LANguard Network Scanner 3.
2 i! ?8 D5 b# Y_id=103">http://www.lbfok.com/txt/showsoft.asp?soft_id=103 ; Q4 J$ i$ W: O/ m
3:X-scan2.3cn / q: k3 x: |( G
以上用x-scan就得到了系统信息 + ~0 u( r1 V( @1 f
_id=13">http://www.lbfok.com/txt/showsoft.asp?soft_id=13 ' h" {4 G5 L, [ Y5 a& t/ o) ?8 i* m
0 r' Y$ R, |, H1 Y" d4 d四、如何提高Win2K SNMP的安全性 4 U5 J# j- }: J h" r, v0 L
5 G# C: U8 c4 G1:首先需要注意的是,snmp服务的通讯端口是UDP端口,这也就是大部分网络管理人员很容易忽略的地方。 5 S* r) \, s2 R r$ y' [
往往某些网管配置服务器阻断了NetBIOS空会话的建立,就认为系统安全有了相当的保障,可由于安装 2 P& h. \2 \& k
了SNMP服务,不知不觉中,就给系统带去了极大的隐患。 6 C: S! J4 [( U* |
最方便和容易的解决方法,就是关闭SNMP服务,或者卸载掉该服务。 $ g" Z2 k5 Z r2 I' X6 d5 |* r
如果关掉SNMP服务不方便的话,那么可以通过修改注册表或者直接修改图形界面的SNMP服务属性 * e1 O. A+ Q2 c1 n
进行安全配置。
& P, f2 h, X" o5 U, ]- P# r开始——程序——管理工具——服务——SNMP Service——属性——安全 # G- H3 k: I b J
# N- [4 g+ Y* l2 F, V! r
在这个配置界面中,可以修改community strings,也就是微软所说的"团体名称",呵呵,也就是
/ U! a& q( q6 i我所说的"查询密码"。或者可以配置是否从某些安全主机上才允许SNMP查询。
; L+ E9 ~2 W3 k# P5 J不过NT4环境下的朋友就必须修改注册表了。
0 B% ?( _" ^ U3 x, W修改community strings,在 0 \" ^$ w( C5 ?8 q
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities]
- |) Y0 |# C+ \; x9 w下,将public的名称修改成其它的名称就可以了。 / \8 B0 c; o6 j, q$ y' j
如果要限定允许的ip才可以进行SNMP查询,可以进入
3 o: b) q* c( B. X[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers]
: R! ]& u& D* E6 L& V/ x& D$ r添加字符串,名称为"1",内容为要允许的主机IP。 9 d" @/ ^% g6 v0 z% a: U- {
当然,如果允许多台机器的话,就要名称沿用"2、3、4"等名称了
& N! J" f+ c @( U% k+ ?% l1 s" D" v D1 e
2:在Win2K中,事件日志中的任何事件都可用来创建包含这一事件的SNMP陷阱,Microsoft将这称为SNMP 事件转换器。 ' o5 M% p1 k3 h9 {! D5 B7 G
可以对一些Win2K设备进行配置,使得当有人试图登录它或者对其共享而未成功时,让这些设备能够发送一个SNMP陷阱信息。
8 H# S; b! J! W8 _把这些陷阱引导到我们自己的工作站,并设置当收到陷阱信息,用应用程序播放一个报警音调,这样就可以初步建立一个多
, }. \4 X+ g- m4 S5 O6 m/ e* v媒体安全管理工作站。
0 T7 Z* h! D) @; J7 |配置这些陷阱信息所需要的工具有evntwin.exe和evntcmd.exe,二者都是Win2K标准安装后的一部分:
( J8 W' R: ?! O) m2 _& M用evntwin.exe对一些重要事件建立陷阱,然后在管理工作站上启动snmputil.exe:
0 V5 S* a- C" D" L/ U- X# Z) `# o+ D6 `! @
C:\> snmputil trap - d" J/ g: V: X& ?% R, x5 H
snmputil: listening for traps...
- ]6 ^/ |* U" I: UIncoming Trap: 9 }3 X( S, c* e. d) d! l8 p/ V
generic = 6
# G7 c7 S3 ]9 mspecific = 529
: `1 Y/ D1 d! v6 o+ Denterprise = .iso.org.8.83.101.99.117.114.105.116.121
0 K( O Y0 A. d; o3 bagent = 127.0.0.1 4 C/ N2 q* a& O) X0 R
source IP = 127.0.0.1
3 c) ?) w) L; ~: I; w4 Ccommunity = public 4 \' E7 F: g9 F* n
variable = .iso.org.1.0 5 n! P v" A! ]
value = String
( \5 s# k. e( Y, v4 zvariable = .iso.org.2.0 % }3 n0 g% o6 \4 z2 Z. X' r1 F
value = String SYSTEM + s1 V5 y! u1 U. O' P9 G9 b* V
variable = .iso.org.3.0
9 a8 y' A- \6 P5 ^' ]value = String JVO " i# m! g8 Y. }1 J6 z$ D+ s' ~
variable = .iso.org.4.0
1 M1 |7 d9 A& Z" m! Ivalue = String 16 1 s1 S- K3 }! ~+ h' H2 V* M2 O
variable = .iso.org.5.0 9 J. x+ u( c& n1 Q
value = String 2 ! R9 I5 y3 ?. W& s: E3 \
variable = .iso.org.dod.0 0 \, _7 E( j4 ]" e9 G' Z+ B: U
value = String nonexistinguser
/ R% M9 P/ r$ Y" J# ~$ gvariable = .iso.org.7.0
* z" ]( _1 x2 E7 H5 v0 Gvalue = String ADS
3 P/ } \. z2 v, Dvariable = .iso.org.8.0
) n( I5 n/ \6 T$ h# w" m6 d: e7 L7 Gvalue = String 3 8 i7 \7 D. t7 y& l! W
variable = .iso.org.9.0
* e% ^. N0 K: }3 Avalue = String NtLmSsp + A8 [& r' j$ a/ H; x' f& A
variable = .iso.org.10.0 $ \0 ?7 _2 J' C. w1 ?- `1 H9 s' H: \
value = String MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
0 L5 H+ T5 F. G3 K9 }# gvariable = .iso.org.11.0
/ r$ Q4 x/ j [- J2 i8 z- Dvalue = String JVO 8 A* ~! u) h! x
要记住,SNMP陷阱只产生于出现在Win2K事件日志中的事件。如果是一个单独的工作站,需要在"本地安全策略"中配置。
8 ^& x, g+ X- b, S7 u如果是一个域中的设备,要使用AD(活动目录)来设置。 * p9 q0 [8 t i, a" `
另一个使用SNMP并得到附加安全的方法是主动监控某些SNMP变量,这些变量有:
0 H( r- j" I$ F7 \1 s1 b●IpForwarding (1.3.6.1.2.1.4.1.0):就是IP转发,这个特性对大多少工作站而言不是个好功能。 ! ~7 p' H/ w( @( y/ r3 d
●IcmpInRedirects (1.3.6.1.2.1.5.7):是否有人正在向设备发送icmp重定向信息。 6 f+ L) `! r2 k5 C& k# }; P7 Z) D: i
●TcpOutRsts (1.3.6.1.2.1.6.15):一个记数器,表示设备所发送的RST数。当受到端口扫描时,这个记数器会急剧增加。 + g9 Y# R: g/ a1 w# P0 @% d
●UdpNoPorts (1.3.6.1.2.1.7.2):一个记数器,表示不提供服务的端口的通信量。同样是一个可能受到端口扫描的信号。 ! i7 t6 ~3 [* t8 Q! | }
对于一个SNMP管理工作站来说,为这些变量设置阀值就能提供很好的报警信息。 4 s& h( U* d1 c" [9 t
5 B u+ k# k$ u2 t5 h9 p
) H l3 D/ g5 Q2 W! O1 v | 
IP卡
狗仔卡
发表于 2005-1-20 14:41
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
