SNMP協(xié)議的中文意思就是簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議。那么這個(gè)幫助管理員們進(jìn)行網(wǎng)絡(luò)管理的協(xié)議到底是從何而來呢？今天我們就來簡(jiǎn)單介紹一下這個(gè)協(xié)議的由來，以及相關(guān)命令的作用。

SNMP協(xié)議開發(fā)于九十年代早期，其目的是簡(jiǎn)化大型網(wǎng)絡(luò)中設(shè)備的管理和數(shù)據(jù)的獲取。許多與網(wǎng)絡(luò)有關(guān)的軟件包，如HP的OpenView和Nortel Networks的Optivity Network Management System，還有Multi Router Traffic Grapher（MRTG）之類的免費(fèi)軟件，都用SNMP服務(wù)來簡(jiǎn)化網(wǎng)絡(luò)的管理和維護(hù)。

由于SNMP協(xié)議的效果實(shí)在太好了，所以網(wǎng)絡(luò)硬件廠商開始把SNMP協(xié)議加入到它們制造的每一臺(tái)設(shè)備。今天，各種網(wǎng)絡(luò)設(shè)備上都可以看到默認(rèn)啟用的SNMP服務(wù)，從交換機(jī)到路由器，從防火墻到網(wǎng)絡(luò)打印機(jī)，無一例外。

僅僅是分布廣泛還不足以造成威脅，問題是許多廠商安裝的SNMP協(xié)議都采用了默認(rèn)的通信字符串（例如密碼），這些通信字符串是程序獲取設(shè)備信息和修改配置必不可少的。采用默認(rèn)通信字符串的好處是網(wǎng)絡(luò)上的軟件可以直接訪問設(shè)備，無需經(jīng)過復(fù)雜的配置。

通信字符串主要包含兩類命令：GET命令，SET命令。GET命令從設(shè)備讀取數(shù)據(jù)，這些數(shù)據(jù)通常是操作參數(shù)，例如連接狀態(tài)、接口名稱等。SET命令允許設(shè)置設(shè)備的某些參數(shù)，這類功能一般有限制，例如關(guān)閉某個(gè)?緗涌凇⑿薷穆酚善韃問?裙δ堋５?芟勻唬珿ET、SET命令都可能被用于拒絕服務(wù)攻擊（DoS）和惡意修改網(wǎng)絡(luò)參數(shù)。

最常見的默認(rèn)通信字符串是public（只讀）和private（讀/寫），除此之外還有許多廠商私有的默認(rèn)通信字符串。幾乎所有運(yùn)行SNMP協(xié)議的網(wǎng)絡(luò)設(shè)備上，都可以找到某種形式的默認(rèn)通信字符串。

SNMP 2.0和SNMP 1.0的安全機(jī)制比較脆弱，通信不加密，所有通信字符串和數(shù)據(jù)都以明文形式發(fā)送。攻擊者一旦捕獲了網(wǎng)絡(luò)通信，就可以利用各種嗅探工具直接獲取通信字符串，即使用戶改變了通信字符串的默認(rèn)值也無濟(jì)于事。

近幾年才出現(xiàn)的SNMP協(xié)議 3.0解決了一部分問題。為保護(hù)通信字符串，SNMP 3.0使用DES（Data Encryption Standard）算法加密數(shù)據(jù)通信；另外，SNMP協(xié)議 3.0還能夠用MD5和SHA（Secure Hash Algorithm）技術(shù)驗(yàn)證節(jié)點(diǎn)的標(biāo)識(shí)符，從而防止攻擊者冒充管理節(jié)點(diǎn)的身份操作網(wǎng)絡(luò)。有關(guān)SNMP 3.0的詳細(xì)說明，請(qǐng)參見http://www.ietf.org/rfc/rfc2570.txt。

雖然SNMP協(xié)議 3.0出現(xiàn)已經(jīng)有一段時(shí)間了，但目前還沒有廣泛應(yīng)用。如果設(shè)備是2、3年前的產(chǎn)品，很可能根本不支持SNMP 3.0；甚至有些較新的設(shè)備也只有SNMP 2.0或SNMP 1.0。

即使設(shè)備已經(jīng)支持SNMP協(xié)議 3.0，許多廠商使用的還是標(biāo)準(zhǔn)的通信字符串，這些字符串對(duì)黑客組織來說根本不是秘密。因此，雖然SNMP協(xié)議 3.0比以前的版本提供了更多的安全特性，如果配置不當(dāng)，其實(shí)際效果仍舊有限。