ハッカーはsnmp-checkでSNMPでデバイス一覧を表示する(Kali Linuxツール説明)
SNMPでデバイスの一覧を表示するツールを理解するためにまとめてみました。
このsnmp-checkの動作確認は自分のドメインでテストを行っています。
snmp-checkとは
snmp-checkはSNMPでデバイスを一覧にして読める形式で表示するツールです。
これは、侵入テストやシステム監視に役立ちます。GPLライセンスで配布され、jshaw氏の「Athena-2k」スクリプトに基づいています。
snmpwalkと同様の機能を持っています。
機能(以下の一覧を表示します。)
- コンタクト
- 説明
- ライトアクセスの検出(エニュメレーションによる個別対応)
- デバイス
- ドメイン
- ハードウェアとストレージの情報
- ホスト名
- IISの統計
- IPフォワーディング
- リスニングUDPポート
- ロケーション
- motd(message of the day)
- マウントポイント
- ネットワークインターフェース
- ネットワークサービス
- プロセス
- ルーティング情報
- ソフトウェアコンポーネント
- システムアップタイム
- TCPコネクション
- 総メモリ量
- 稼働時間
- ユーザーアカウント
ツールの場所
[Applications]→[01-Information Gathering]→[SNMP Analysis]→[snmp-check]
ツールと使用方法
snmp-check [OPTIONS] <target IP address>
例 snmp-check 192.168.1.7 -c public
【実行イメージ】少し端折って整形しています。
┌──(root__kali)-[/home/kali]
└─# snmp-check 192.168.1.7 -c public
snmp-check v1.9 - SNMP enumerator
Copyright (c) 2005-2015 by Matteo Cantoni (www.nothink.org)
[+] Try to connect to 192.168.1.7:161 using SNMPv1 and community 'public'
[!] 192.168.1.7:161 SNMP request timeout[word_balloon id="1″ size="M" position="L" name_position="under_avatar" radius="true" balloon="talk" balloon_shadow="true"]テスト環境で実行していますが、たぶん「SNMPリフレクター攻撃」対策でリクエストを受け付けていないのかもしれません。(以下snmp-checkツールのまとめを参照願います。)[/word_balloon]
オプション
-p –port
SNMP port. Default port is 161.
SNMPポート。デフォルトのポートは161です。
-c –community
SNMP community. Default is public.
SNMPコミュニティ。デフォルトはpublicです。
-v –version
SNMP version (1,2c). Default is 1.
SNMPバージョン(1,2c)。デフォルトは1です。
-w –write
detect write access. (separate action by enumeration)
ライトアクセスを検出します。(エニュメレーションによる個別対応)
-d –disable_tcp
disable TCP connections enumeration!
TCPコネクションの列挙を無効にします。
-t –timeout
timeout in seconds. Default is 5.
タイムアウトを秒単位で指定します。デフォルトは5です。
-r –retries
request retries. Default is 1.
リクエストの再試行回数。デフォルトは1です。
-i –info
show script version.
スクリプトのバージョンを表示します。
-h –help
show help menu.
ヘルプメニューを表示します。
snmp-checkツールのまとめ
snmpwalkと同様の機能を持っているsnmp-checkですが、2014年頃にSNMPを悪用した「SNMPリフレクター攻撃」があったそうです。
「SNMPリフレクター攻撃」とはSNMPが使用する161/UDPポートを悪用した攻撃で、攻撃者が発信元のIPアドレスを攻撃対象のIPアドレスに変更して踏み台にしたSNMP対応機器へアクセスをします。そのSNMP対応機器から攻撃対象のIPアドレスへ大量の情報を送信してシステムをダウンさせます。
上記の攻撃により警察庁は、外部からのSNMP通信(あて先ポート161/UDPのアクセス)をファイアウォールで遮断する/不要なSNMPエージェントを停止することを推奨していました。
だからsnmp-checkの動作確認しても「SNMP request timeout」と表示されるのかな?と思った次第であります。
※【注意】ひょっとしたら誤っているかもしれません。(^^;