SNMP报文抓取及分析

1、snmp报文获取与分析班级：网络工程12-1班 学号：08123536姓名：赵怀庆snmp报文抓取及分析关于本次snmp报义抓取及分析工作，我大致上分为三个步骤进行：准备工作；报文抓 取及报文分析。一. 准备工作 1. snmp协议的安装 以wind0w7系统为例：点击确认进行i办议安装。 2.启动snmp服务：詹漏 tt) «*xh)峰，o! 3 g j : b gjii l»tr.toxn- mtlm '讲种角，u似靈m£ »<x<w ¥ xmwvmoas*，碥s mw# m<qm«94助shmr mnr

2、keffximmi粘：利:snmpl 调采肪 ttitwu的. x.ltss, it. wwpwtlwmp軋)0襲过jm鑪m .峤ummats&s.-'swu-ei吠毫2a珀swseaea«3mbna白珀*»相脚白 imb&.asfjo功豕切篸珀轚景角象功搌楗»n秦mmkt>snmp wrv>c«emktfimwirar 碑/cxshmp tr«p腻一software frrottn. bn m no«ic<6o*' ft® swp0imo««f>

3、助. .4s<o*d脚一$mi<chbo«rti5y«le»n e*ert hw. ull- t«bul pc input w m m fttmk&dwduwr 咏- kp/lpnetsk>$.a «*<p*«orytelnetft t«rp«>f ccrliiktft.jbr.ft hvwd orde<wkw.e«iiea«sfl«bms«nsfi闭5jm李功鼸助x&. 篆功fl劝 爹切 白玥 筝珀fi功s坊ml擊用 o功

4、a切«»r«mam纂jmwx«m 羃：sii煢利峭m»smxjqmtumr在计算机关服务界酣中，选择snmp service进行开启服务，双击进行配置，如下:在安全选项卡屮做如上配ffi。 3.下载并安装snmputil工具安装路径为c盘下windows h system32文件夹。关于snmputil的使用请见（附件）。4.关于snmp数裾包的接收，我用/虚拟机中window 2000操作系统，snmp协议的安装及服务的开启与上述window 7系统类似。查看虚拟机ip地址：二. 报乂抓取1.准备t作就绪以v5,就可以进行snmp报文的抓取了

5、，在window 7屮cmd使用snmputil 工具进行发包：sb 官理员：c:windowssystem32cmd.exe:usersadninistratoi*>sninput il get 192.168.157.130 public .1.3.6.1.2.1.1.5.0iuariable = ssten.svsnane .0 ualue = string duz861311408c: usersm)dmini.strator>sninput il walk 192.168.157.130 public .1.3.6.1.2.1.1iuariable = ssrsten.s

6、vsdescr .0ualue = string hardware: x86 family 15 model 2 stepping 0 at/at compatible ：oftware: windows 2000 uersion 5.0 <build 2195 uniprocessor free>uariable = ssrsten.ssobject i d.0 ualue = object id 1.3.6.1.4.1.311.1.1.3.1|uariablesystem.ssupt ine.0ualue = tineticks 62507uariable = ssrsten.

7、svscontact .0 ualue = stringiuariable = ssrstemsyrsname .0 ualue = string duz861311408|uariable = ssrsten.svslocat ion .0 lalue = stringariable = system.s</sseruices .0 ualue = integer32 76end of mib subtree.2.同吋在wireshark中进行抓包:file edit view go capture analyze statstics telephony took internals

8、help© ®4 送 1 b eq gl afilter: expression.clear applysdveno.timesourcedestinationprotocollengthinfo1 0.000000000192.168.157.129192.168.157.2ons78 standard query 0x2c6a2 o.o25173ooo192.168.157.2192 168 157 129192.168.157.129onstfp158 standard query respon6? 1ftnn rspnn4 1.41875oooo192.168.15

9、7.1192.168.157.130swp80 get-next-request 1.3.5 1.419139000192.168.157.130192.168.157.1swp213 get-response 1.3.6.1.6 1.430466000192.168.157.1192.168.157.130snmp82 get-next-request 1.3.7 1.431048000192.168.157.130192.168.157.1swp94 get-response 1.3.6.1.i8 1.433718000192.168.157.1192.168.157.130swp82 g

10、et-next-request 1.3.9 1.433912000192.168.1s7.130192.168.157.1swp8s get-response 1.3.6.1.10 1.435777ooo192.168.157.1192.168.157.1305wp82 get-next-request 1. 3.|11 1.435956ooo192.168.157.130192.168.157.1swp82 get-response 1.3.6.1.12 1.437479000192.168.157.1192.168.157.130swp82 get-next-request 1.3，13

11、1.437606000192.168.157.130192.168.157.1swp94 get-response 1.3.6.1.14 1.440208000192.168.157.1192.168.157.130swp82 get-next-request 1.3.15 1.440309000192.168.157.130192.168.157.1snmp82 get-response 1.3.6.1.16 1.441814000192.168.157.1192.168.157.130swp82 get-next-request 1.3.17 1.441907000192.168.157.

12、130192.168.157.1swp83 get-response 1.3.6.1.ffi frame 10: 82 bytes on wire (656 bits), 82 bytes captured (656 bits) on interface 0不 ethernet ii， src： 00：50：56:c0：00:08 (00：50:56：co:oo:o8). qst： 00:0c：29:2f:fc:e3 (oo:oc：29：2f：fc:e3) ffi internet protocol version 4 src: 192.168.1s7.1 (192.168.157.1), d

13、st: 192.168.157.130 (192.168.157.130) 田 user datagram protocol, src port: 51563 (51563). dst port: 161 (161)土 simple network management protocol000000100020003000400050ololloo513a.o0003604 0603q19ceaa.6 ocoo cof o o 6 3f 9b 2e206609 2 9 5 020 c7 3c42ooo 0 4 8 7 0 0ood615009000q842q 5ao-o(>5 0 0 0

14、 3 4cooo 00010101018d22 1 0900088642oa2ao200115c3ooobf 26cc6oo6 c39b5b 4 1 2 )/p ved. .®.k. .0 co0&.public0.0. 0(ready to load or capture profite: default三. 报文分析 000000oc292ffce3|005056co 000808004500.pve.1 0010004402090000 4011becb coa89d01coa8.d. .i 00209d821 c96b00al 0030436f |3026020100

15、04" k". 0co0&.i 00300570756?fic69 6llal19 102 01040?01oo02.public.1 0040010030oe30oc 06082b06 0102010103001 0. 01 0050|0500 目的 mac: 00 oc 29 2f fc e3源 mac： 00 50 56 co 00 08协议类型：08 00 ,为ip数据报ip 报义： 45 00 00 44 02 09 00 00 40 llbc cb co a89d 01 co a89d 82 45ip协议版木4，报头长度20 bytes 00 00 44

16、 总长度 68 (0x44)02 09确认号:51200 00标记字段0x00无偏移字段40存活时间6411报义协议updaa 26报头确认号43558b4 7c 0a 79 源 ip 地址 180 124 10 121co a8 11 81 目标 ip 地址 192 168 17 129udpis头:c9 6b 00 al 00 30 43 6f c9 6b 源端口 161 00 al 0 标端 li 16100 30 长度 181 43 6f校验和m:余部分都为snmp报文，接下来我们对照报文结构体来逐个分析一卜：30 足 identifier octets,表示 snmp 消息足 asn

17、.1 的 sequence 类型；26表示该snmp报文的总长度是38(0x26)个字节，该字段所表示的报文长度起始于它后血 的第一个字节直到报文结朿；02 0100表示版木兮，可见其确实为ber编码方式。02表示该字段是integer类型；01表 示该字段占1个字节；00表示版本号，该值为“版本号-1”；04 06 70 75 62 6c 69 63表示闭体名，04表示该字段为octetstring类型；06表示该宁段心 6个字节;70 75 62 6c 69 63表示团体名的ansii码的十六进制形式,这里是“public”; al 19 k中al表示pdu type为get next r

18、equest;19表示后面还有25(0x19)个字节的数据; 02 01 04 表示 request id 为 0x04;02 01 00 表示 error-statue 为 0;02 01 00 表示 error-index 为 0:30 0e 是 asn.1 的 sequence 类型；30 0c 表示 variable-namel|variable-valuel 对是 asn.1 的 sequence 类型;长度是 12 (0x0c)字节；06 08 表示字段是 asn.1 的 object identifier 类型;2b 06 01 02 01 01 03 00 表示 variabl

19、e-name 1: .1.3.6.1.2.1.1.3.0;05 00 为 asn.1 的 null 类型。(附件)snmputil.exe工具的使用2012-09-06 17:15:57一、检查windows系统是否安装了 snmp组件。口'以在cmd中输入"net start srnnp"就可以岀现显示信息了二、命令解释snmputi 1,就是程序名啦。get,就理解成获取一个信息。getnext,就理解成获取下一个信息。walk,就理解成获取一堆信息(嗯，应该说所有数据库子树/子目录的信息) agent,具体來台机器拉。community,嗯就是那个 “community strings” “查询密码”拉。oid,这个要多说一下，这个呢，就是物件识别代码(object identifier)。 可以把oid理解成m1b管理信息库屮各种信息分类存放树资源的一个数字标识。三、snmputil的命令规则是：snmputil get | getnext | walk agent community oid oid get igetnext |walk为消息类型，我们此次