实验一snmp安装信息刺探以及安全策略Word格式文档下载.docx

1、，然后选择添加/删除Windows组件，随之出现一个对话框，在其中选择管理和监视工具，最后点击下一步，依照提示安装，安装完成后， Win2K就可以通过SNMP来远程访问了.三、对snmp信息的刺探方法以WIN2K来说，一旦安装并启动了简单网络管理协议SNMP，系统将打开UDP 161 snmpUDP 162 snmptrap两个端口。具体做什么我们不去细究。需要注意的是，这里使用的是UDP端口，而不是TCP端口。同时，WIN2K系统支持初始的“查询密码”community strings 为：public我们只要通过一款Resource Kit里面的工具snmputil，就可以方便的获得非常多

2、的信息。（snmputil进程网上可免费下载）snmputil.exe提供基本的、低级的SNMP功能，通过使用不同的参数和变量，可以显示设备情况以及管理设备。snmputil，就是程序名。get，就理解成获取一个信息。getnext，就理解成获取下一个信息。walk，就理解成获取一堆信息agent，具体某台机器。community，就是 “community strings”“查询密码”。oid，是物件识别代码（Object Identifier）。可以把oid理解成MIB管理信息库中各种信息分类存放树资源的一个数字标识。1、Snmputil get 下面我们在命令行状态下使用Win2K资源工

3、具箱中的程序snmputil.exe 来获取安装了SNMP的Win2K机器的网络接口数目，命令参数是get： 前提是对方snmp口令是public 下面来看看这个例子都包含了哪些参数和变量：最后一个参数是SNMP变量，值为1.3.6.1.2.1.2.1.0，被称为物件识别代码OID（object identifier）。OID有对应的字符串表达式，也就是在SNMPUTIL输出内容的第一行，在这个例子中，即是interfaces.ifNumber.0。这个字符串对于用户来说，就要易记易读多了。你可以发现，这种对应关系与DNS类似。第二个参数指定将SNMP请求发送给哪个设备，在这里是localho

4、st，即本地主机。第三个参数指定使用哪个共同体（即验证字符串或口令），在这里是public。在每个发送到被管理设备的SNMP UDP信息包中，这个口令是以纯文本形式传输的。当一个Win2K设备安装上SNMP支持后，缺省的SNMP共同体名称为 public，这表明允许用户读取现有的所有变量。因为即便是设备中的网络接口数目也是一个敏感数据，所以这就成为第一个安全问题。2、Snmputil getnext 接着，我们试一试snmputil的另一个命令参数getnext:getnext的功能是获取指定SNMP变量的下一个变量的值及其OID。因为一个设备的所有SNMP变量都是规则排列的， 所以使用get

5、next命令参数就可以获取一个设备中的所有变量值及OID，而不需要事先知道它们的准确OID值。另外Snmputil getnext可以用来测试 Windows 2K SNMP内存消耗拒绝服务攻击缺陷 具体方法:snmputil getnext localhost public .1.3.6.1.4.1.77.1.2.28.0 3、snmputil walk 知道了next指令的用途，我们可以编写一个程序自动获取一个设备的所有OID及其数值，而不用一行行地敲入那么长的命令。但幸运的是，snmputil的walk指令帮助我们实现了这个想法。在命令行状态下敲入下面的命令，将显示出本地机器几乎所有的变

6、量：C: snmputil walk localhost public .1.3 你会看到一行行的文字在黑白窗口中不停地滚动 . 直到最后出现End of MIB subtree开始刺探信息：尝试获得对方机器当前进程列表snmputil.exe walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2尝试获得对方机器系统用户列表 snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 （如下图）当然，这样的命令还可以做很多（祥见附录）四、如何提高Win2K SNMP的安全性 1:首先需要注意的是，snmp服务的通讯端口是

7、UDP端口，这也就是大部分网络管理人员很容易忽略的地方。往往某些网管配置服务器阻断了NetBIOS空会话的建立，就认为系统安全有了相当的保障，可由于安装 了SNMP服务，不知不觉中，就给系统带去了极大的隐患。最方便和容易的解决方法，就是关闭SNMP服务，或者卸载掉该服务。如果关掉SNMP服务不方便的话，那么可以通过修改注册表或者直接修改图形界面的SNMP服务属性 进行安全配置。开始程序管理工具服务SNMP Service属性安全 在这个配置界面中，可以修改community strings，也就是微软所说的团体名称，也就是所说的查询密码。或者可以配置是否从某些安全主机上才允许SNMP查询。不过

8、NT4环境下的朋友就必须修改注册表了。修改community strings，在 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSNMPParametersValidCommunities 下，将public的名称修改成其它的名称就可以了。如果要限定允许的ip才可以进行SNMP查询，可以进入 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSNMPParametersPermittedManagers 添加字符串，名称为1，内容为要允许的主机IP。当然，如果允许多台机器的话，就要名称沿用2、3

9、、4等名称了2:在Win2K中，事件日志中的任何事件都可用来创建包含这一事件的SNMP陷阱，Microsoft将这称为SNMP 事件转换器。可以对一些Win2K设备进行配置，使得当有人试图登录它或者对其共享而未成功时，让这些设备能够发送一个SNMP陷阱信息。把这些陷阱引导到我们自己的工作站，并设置当收到陷阱信息，用应用程序播放一个报警音调，这样就可以初步建立一个多媒体安全管理工作站。配置这些陷阱信息所需要的工具有evntwin.exe和evntcmd.exe，二者都是Win2K标准安装后的一部分：用evntwin.exe对一些重要事件建立陷阱，然后在管理工作站上启动snmputil.exe：

10、snmputil trap 附Snmp入侵方式：1.snmputil walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程 这样就可以使入侵者在入侵之前就知道你系统运行的软件，有没有装杀毒软件， 从而知己知彼，百战不殆！2.snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表 有了这个更好了，入侵者可以根据你的用户表编一个密码表进行探测， 减少了入侵的盲目性。3.snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名 这个可以列出系统

11、的域名，是入侵者得到了主机名，可以根据此设置探测的密码字典，增加了成功率。4.snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件 用这个入侵者可以看你装的sp是什么，有没有装防火墙等信息，可以据此判断应该有的系统漏洞，增加了入侵的成功率。5.snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息 这个可以使入侵者了解系统状况以及主机的稳定性，可以从主机的uptime里得知你系统开机了多长时间，从而确定是否入侵。附：保护SNMP通常，保护SNMP代理与SNMP管理站之间的通信的方法是:给这些代

12、理和管理站指定一个共享的社区名称。当SNMP管理站向SNMP服务发送查询时，请求方的社区名称就会与代理的社区名称进行比较。如果匹配，则表明SNMP管理站已通过身份验证。如果不匹配，则表明SNMP代理认为该请求是“失败访问” 尝试，并且可能会发送一条SNMP陷阱消息。SNMP消息是以明文形式发送的。这些明文消息很容易被“Microsoft网络监视器”这样的网络分析程序截取并解码。XX的人员可以捕获社区名称，以获取有关网络资源的重要信息。“IP安全协议”（IP Sec）可用来保护SNMP通信。您可以创建保护TCP和UDP端口161和162上的通信的IP Sec策略，以保护SNMP事务。创建筛选器列

13、表 要创建保护SNMP消息的IP Sec策略，先要创建筛选器列表。方法是:单击开始，指向管理工具，然后单击本地安全策略。展开安全设置，右键单击“本地计算机上的IP安全策略”，然后单击“管理IP筛选器列表和筛选器操作”。单击“管理IP筛选器列表”选项卡，然后单击添加。在IP筛选器列表对话框中，键入SNMP消息（161/162）（在名称框中），然后键入TCP和UDP端口161筛选器（在说明框中）。单击使用“添加向导”复选框，将其清除，然后单击添加。在“源地址”框（位于显示的IP筛选器属性对话框的地址选项卡上）中，单击“任意IP地址”。在“目标地址”框中，单击我的IP地址。单击“镜像。匹配具有正好相

14、反的源和目标地址的数据包”复选框，将其选中。单击协议选项卡。在“选择协议类型”框中，选择UDP。在“设置IP协议端口”框中，选择“从此端口”，然后在框中键入161。单击“到此端口”，然后在框中键入161。单击确定。在IP筛选器列表对话框中，选择添加。选中“镜像、匹配具有正好相反的源和目标地址的数据包”复选框。在“选择协议类型框中，单击TCP。在“设置IP协议”框中，单击“从此端口”，然后在框中键入161。在IP筛选器列表对话框中，单击添加。单击“镜像，匹配具有正好相反的源和目标地址的数据包”复选框，将其选中。在“选择协议类型”框中，单击UDP。在“设置IP协议”框中，单击“从此端口”，然后在框

15、中键入162。单击“到此端口”，然后在框中键入162。单击确定，在IP筛选器列表对话框中，单击添加。单击确定 在IP筛选器列表对话框中单击确定，然后单击“管理IP筛选器列表和筛选器操作”对话框中的确定。创建IPSec策略 要创建IPSec策略来对SNMP通信强制实施IPSec，请按以下步骤操作:右键单击左窗格中“本地计算机上的IP安全策略”，然后单击创建IP安全策略。“IP安全策略向导”启动。单击下一步。在“IP安全策略名称”页上的名称框中键入Secure SNMP。在说明框中，键入Force IPSec for SNMP Communications，然后单击下一步。单击“激活默认响应规则”

16、复选框，将其清除，然后单击下一步。在“正在完成IP安全策略向导”页上，确认“编辑属性”复选框已被选中，然后单击完成。在安全“NMP属性”对话框中，单击使用“添加向导”复选框，将其清除，然后单击添加。单击IP“筛选器列表”选项卡，然后单击SNMP消息（161/162）。单击筛选器操作选项卡，然后单击需要安全。单击身份验证方法选项卡。默认的身份验证方法为Kerberos。如果您需要另一种身份验证方法，则请单击添加。在新身份验证方法属性对话框中，从下面的列表中选择要使用的身份验证方法，然后单击确定:ActiveDirectory默认值（KerberosV5协议） 使用此字符串（预共享密钥） 在新规则属性对话框中，单击应用，然后单击确定。在SNMP“属性”对话框中，确认SNMP“消息（161/162）”复选框已被选中，然后单击确定。在“本地安全设置”控制台的右窗格中，右键单击安全SNMP规则，然后单击指定。在所有运行SNMP服务的基于Windows的计算机上完成此过程。SNMP管理站上也必须配置此IPSec策略。