snmputilg使用

snmputilg.exe很多管理员都知道，关闭了WindowsXP系统的TCP139和445端口以后，安全性会提高很多，至少对系统信息的刺探扫描无法进行。但要做到真正完善的安全，还需要从每一个细节去考虑是否会存在隐患。比如，对于完全安装的WindowsXP或启动了简单网络管理协议（SNMP）的系统来说，仍然存在非常致命的隐患。SNMP是“SimpleNetworkManagementProtocol”的缩写，中文含义是“简单网络管理协议”，当使用特殊的客户端应用程序，通过该“查询密码”的验证，将获得对应的权限（只读或者读写），从而对SNMP中管理信息库（MIB）进行访问。而让攻击者惊喜的是，管理信息库（MIB）中则保存了系统所有的重要信息。也就是说，如果能够知道“查询密码”，就可以刺探系统的信息了。实际上，很多网络设备的密码都是默认的，这就给了黑客可乘之机。snmputilg.exe这个图形界面工具对以前的命令行模式的SNMP浏览工具进行了补充。它可以给系统管理员提供关于SNMP方面的信息，便于在排除故障的时候当作参考。打开软件界面，可以用来执行诸如GET、GET-NEXT等操作或进行有关的设置。另外，这个工具也能将数据保存到剪贴板或将数据保存为以逗号为结束符号的文本文件。第一步：在系统上安装SNMP服务。默认情况下，SNMP服务没有安装，单击控制面板中的“添加或删除程序”图标，再单击“添加/删除Windows组件”，选中“管理和监视工具”，再单击“详细信息”按钮。在弹出的窗口中，选中“简单网络管理协议”，单击“确定”按钮，完成简单网络管理协议（SNMP服务）的安装，如图2所示。图2第二步：在WindowsXP中，点击“开始”中的“运行”菜单，在编辑框中键入“snmputilg”然后回车，这时会出现一个图形界面工具，如图3所示。图3第三步：工具启动后，Node编辑框中会显示默认的回送地址127.0.0.1；CurrentOID指的是“当前对象标识符”，标识是Windows系统中用来代表一个对象的数字，每个标识都是整个系统中唯一的，上图中显示的值是.1.3.6.1.2.1，也可以把OID理解成MIB管理信息库中各种信息分类存放树资源的一个数字标识。Community一项的默认值是public。上面所介绍的这些项目也可选定别的值。下面是一些常用的命令：snmputilwalkippublic.1.3.6.1.2.1.25.4.2.1.2列出系统进程snmputilwalkippublic.1.3.6.1.4.1.77.1.2.25.1.1列出系统用户列表snmputilgetippublic.1.3.6.1.4.1.77.1.4.1.0列出域名snmputilwalkippublic.1.3.6.1.2.1.25.6.3.1.2列出安装的软件snmputilwalkippublic.1.3.6.1.2.1.1列出系统信息第四步：如果选择了别的系统的IP地址，则必须运行SNMP服务，而目标系统必须配置好网络访问的地址。同时，所需要的辅助工具也应当具备或运行。缺省情况下，WindowsXP对所有另外系统的IP地址都是允许访问的。另一个问题是community，当选定community的值时，一要注意它所代表的对象必须存在；二要注意其“可读”属性只有获准许可之后才能进行读操作；三要注意这个项目在windows系列的不同版本中，对访问地址的限制可能不一样。第五步：凡是SNMP可以执行的功能（SNMPFunctiontoExecute），在图中下拉组合框中都已经列出。选择好之后，用鼠标点击“ExecuteCommand”按钮就可以执行相关操作了。以下是这些操作的功能简介：GETthevalueofthecurrentobjectidentifier：得到当前对象的ID标识数值GETtheNEXTvalueafterthecurrentobjectidentifier(thisisthedefault)：得到紧接当前对象之后的下一个对象的ID标识数值（这是默认的）GETtheNEXT20valuesafterthecurrentobjectidentifier：得到当前对象之后的20个对象的ID标识数值GETallvaluesfromobjectidentifierdown(WALKthetree)：得到从当前对象往下的所有对象的ID标识数值WALKthetreefromWINSvaluesdown：从WINS值往下漫游目录WALKthetreefromDHCPvaluesdown：从DHCP值往下漫游目录WALKthetreefromLANMANvaluesdown：从LANMAN值往下漫游目录WALKthetreefromMIB-IIdown(InternetMIB)：从MIB-II往下漫游目录第六步：针对SNMP攻击的防范。SNMP服务的通讯端口是UDP端口，这也是大部分网络管理人员很容易忽略的地方。由于安装了SNMP服务，不知不觉就给系统带来了极大的隐患。最方便和容易的解决方法是关闭SNMP服务，或者卸载掉该服务。如果不想关掉SNMP服务，可以通过修改注册表或者直接修改图形界面的SNMP服务属性进行安全配置。打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMPService”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，可以修改communitystrings，也就是微软所说的“团体名称”，即所谓的“查询密码”，或者配置是否从某些安全主机上才允许SNMP查询，如图4所示。图4另一种方法是修改注册表中的communitystrings值。打开注册表，在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities]下，将public的名称修改成其它的名称就可以了。如果要限定允许的IP才可以进行SNMP查询，还可以进入注册表中的如下位置添加字符串：[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers]，名称为“1”，内容为要允许的主机IP。当然，如果允许多台机器的话，就要名称沿用“2、3、4”等名称了。一、作用简述SNMP是＂SimpleNetworkManagementProtocol＂的缩写，中文含义是＂简单网络管理协议＂，这个协议的作用和详细情况，各位可以参考有关资料．这里只介绍针对这个协议进行状态查询的工具软件Snmputilg.exe．也是支持工具目录中所提供的．至于用途，不外乎是给系统管理员提供关于SNMP方面的信息，便于在排除故障的时候当做参考．打开工具显示界面之后，你就可以用来执行诸如GET,GET-NEXT等等操作或进行有关的设置．另外，这个工具也能将数据保存到剪贴板，或将数据保存为以逗号为结束符号的文本文件．在使用中应当注意：即使多数对象的都使用了默认的ID标识（数值），你也要谨慎地使用SNMPSET命令，因为不正确地使用这个命令之后，可能导致网络名称资源方面的问题或是在引起连通方面的问题．二、使用方法1.启动程序：在ｗｉｎｄｏｗｓ2000的环境中，点击＂开始－＞运行＂，在编辑框中键入snmputilg然后回车或点击＂确定＂．2.和以前遇到的不同，Snmputilg.exe是一个图形界面的工具，尽管执行程序的时候可以使用命令行控制窗口打开它，但实际启动成功之后出现的界面仍然是图形的3.工具启动后，Node编辑框中显示的是默认的回送地址，地址值是127.0.0.1；CurrentOID指的是＂当前对象标识符＂，标识是windows系统中用来代表一个对象的数字，每个标识都是整个系统中唯一的，也就是说，标识不会、也不允许重复．图中显示的值是.1.3.6.1.2.1．public是community一项的默认选择．上面所介绍的这些项目也可选定别的值．4.如果选择了别的系统的IP地址，则必须运行SNMP服务，而目标系统必须配置好网络访问的地址，所谓配置，包括地址设置和权限打开．同时，所需要的辅助工具也应当具备或运行．缺省情况下，windows2000对所有另外系统的IP地址都是允许访问的．5.另一个问题是community，当选定community的值时，一要注意它所代表的对象必须存在，二要注意其＂可读＂属性只有获准许可之后才能进行读操作．三要注意这个项目在windows系列的不同版本中，对访问地址的限制可能不一样．6.凡是SNMP可以执行的功能（SNMPFunctiontoExecute），在图中下拉组合框中都已经列出，可供选择．选择好之后，请鼠标点击ExecuteCommand按钮来执行对应的操作．以下是这些操作的功能简介：GETthevalueofthecurrentobjectidentifier：得到当前对象的ID标识数值GETtheNEXTvalueafterthecurrentobjectidentifier(thisisthedefault)：得到紧接当前对象之后的下一个对象的ID标识数值（这是默认的）GETtheNEXT20valuesafterthecurrentobjectidentifier：得到当前对象之后的20个对象的ID标识数值GETallvaluesfromobjectidentifierdown(WALKthetree)：得到从当前对象往下的所有对象的ID标识数值WALKthetreefromWINSvaluesdown：从WINS值往下漫游目录WALKthetreefromDHCPvaluesdown：从DHCP值往下漫游目录WALKthetreefromLANMANvaluesdown：从LANMAN值往下漫游目录WALKthetreefromMIB-IIdown(InternetMIB)：从MIB-II往下漫游目录7.显示结果含义解释：这些结果可以清除，也可以保存或更新，要实现上述功能，可以使用菜单中对应的操作，具体地说，这些操作包括：将一个或多个结果拷贝入剪贴板.删除现在列出的所有内容．清除已经执行过的所有的命令.请求记录当前已经选定的项目.产生一个文本文件，用该文件保存所有的记录的映像编辑或设置某个对象的标识．在使用这个操作时要谨慎，因为一旦进行了不正确地设置，将可能导致网络名称资源方面的问题或连通方面的问题．