snmputilg.exe
很多管理员都知道,关闭了Windows XP
系统的TCP139和445
端口以后,安全性会提高很多,至少对
系统信息的刺探扫描无法进行。但要做到真正完善的安全,还需要从每一个细节去考虑是否会存在隐患。比如,对于完全安装的Windows XP或启动了简单
网络管理协议(SNMP)的
系统来说,仍然存在非常致命的隐患。SNMP是“Simple Network Management Protocol”的缩写,中文含义是“简单
网络管理协议”,当使用特殊的客户端应用程序,通过该“查询密码”的验证,将获得对应的权限(只读或者读写),从而对SNMP中管理信息库(MIB)进行访问。而让攻击者惊喜的是,管理信息库(MIB)中则保存了
系统所有的重要信息。也就是说,如果能够知道“查询密码”,就可以刺探
系统的信息了。实际上,很多
网络设备的密码都是默认的,这就给了黑客可乘之机。
snmputilg.exe这个图形界面
工具对以前的命令行模式的SNMP浏览
工具进行了补充。它可以给系统管理员提供关于SNMP方面的信息,便于在排除故障的时候当作参考。打开
软件界面,可以用来执行诸如GET、GET-NEXT等操作或进行有关的设置。另外,这个
工具也能将数据保存到剪贴板或将数据保存为以逗号为结束符号的文本文件。
第一步:在系统上安装SNMP服务。默认情况下,SNMP服务没有安装,单击控制面板中的“添加或删除程序”图标,再单击“添加/删除Windows组件”,选中“管理和监视工具”,再单击“详细信息”按钮。在弹出的窗口中,选中“简单网络管理协议”,单击“确定”按钮,完成简单网络管理协议(SNMP服务)的安装。
第二步:在Windows XP中,点击“开始”中的“运行”菜单,在编辑框中键入“snmputilg”然后回车,这时会出现一个图形界面工具。
第三步:工具启动后,Node编辑框中会显示默认的回送地址127.0.0.1;Current OID指的是“当前对象标识符”,标识是Windows系统中用来代表一个对象的数字,每个标识都是整个系统中唯一的,上图中显示的值是.1.3.6.1.2.1,也可以把OID理解成MIB管理信息库中各种信息分类存放树资源的一个数字标识。Community一项的默认值是public。上面所介绍的这些项目也可选定别的值。下面是一些常用的命令:
snmputil walk ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程
snmputil walk ip public .1.3.6.1.4.1.77.1.2.25.1.1 列出系统用户列表
snmputil get ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名
snmputil walk ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件
snmputil walk ip public .1.3.6.1.2.1.1 列出系统信息
2 3
第四步:如果选择了别的系统的IP地址,则必须运行SNMP服务,而目标系统必须配置好网络访问的地址。同时,所需要的辅助工具也应当具备或运行。缺省情况下,Windows XP对所有另外系统的IP地址都是允许访问的。另一个问题是community,当选定community的值时,一要注意它所代表的对象必须存在;二要注意其“可读”属性只有获准许可之后才能进行读操作;三要注意这个项目在windows系列的不同版本中,对访问地址的限制可能不一样。
第五步:凡是SNMP可以执行的功能(SNMP Function to Execute),在图中下拉组合框中都已经列出。选择好之后,用鼠标点击“Execute Command”按钮就可以执行相关操作了。以下是这些操作的功能简介:
GET the value of the current object identifIEr:得到当前对象的ID标识数值
GET the NEXT value after the current object identifier (this is the default):得到紧接当前对象之后的下一个对象的ID标识数值(这是默认的)
GET the NEXT 20 values after the current object identifier:得到当前对象之后的20个对象的ID标识数值
GET all values from object identifier down (WALK the tree):得到从当前对象往下的所有对象的ID标识数值
WALK the tree from WINS values down:从WINS值往下漫游目录
WALK the tree from DHCP values down:从DHCP值往下漫游目录
WALK the tree from LANMAN values down:从LANMAN值往下漫游目录
WALK the tree from MIB-II down (Internet MIB):从MIB-II往下漫游目录
第六步:针对SNMP攻击的防范。SNMP服务的通讯端口是UDP端口,这也是大部分网络管理人员很容易忽略的地方。由于安装了SNMP服务,不知不觉就给系统带来了极大的隐患。最方便和容易的解决方法是关闭SNMP服务,或者卸载掉该服务。如果不想关掉SNMP服务,可以通过修改注册表或者直接修改图形界面的SNMP服务属性进行安全配置。打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMP Service”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置界面中,可以修改community strings,也就是微软所说的“团体名称”,即所谓的“查询密码”,或者配置是否从某些安全主机上才允许SNMP查询。
3 4
另一种方法是修改注册表中的community strings值。打开注册表,在[HKEY_LOCAL_MacHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunitIEs]下,将public的名称修改成其它的名称就可以了。如果要限定允许的IP才可以进行SNMP查询,还可以进入注册表中的如下位置添加字符串: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers],名称为“1”,内容为要允许的主机IP。当然,如果允许多台机器的话,就要名称沿用“2、3、4”等名称了
