—— 通过Sniffer,学习网络管理
编者按: Sniffer是一款有名的网络监听技术,它是进行网络管理、网络取证的有力工具。然而,成也Sniffer,败也Sniffer,当被黑客或不怀好意之人利用时,则非常危险。现在,我们通过正反两篇来分析Sniffer,上篇介绍通过Sniffer来学习网络管理,本篇极有实际价值,而下篇则介绍Sniffer被黑客操纵而作乱。
设备
|
Ip
地址
|
CISCO3550
交换机
|
10.66.0.1
|
PC
机
|
10.66.1.118
|
snmp-server community public RO ――启用SNMP协议,但是只设置了只读属性
snmp-server packetsize 484 ――产生的应答PDU大小不超过484字节
snmp-server enable traps snmp authentication warmstart linkdown linkup coldstart warmstart
――发送5种标准定义的Trap
snmp-server host 10.66.1.188 public ――发送Trap的目的主机
Sniffer 程序我选用是Sniffer Pro,MIB浏览器程序我选择是MG-SOFT MIB Browser,这两款程序都是非常经典的程序。
Sniffer Pro要进行包的捕获,但是捕获到的信息太多了,我们如何在开始捕获的时候就开始筛选呢?进行如下的设置即可:"捕获"-"定义过滤器"-"地址"-"地址类型","位置1"中填入"10.66.1.188","位置2"中填入"10.66.0.1",点击"确定"就可以了。如图1所示
图1
这下子就简单多了,会定义过滤器,使我们能够自如的使用Sniffer Pro软件又近了一步。
得到的结果分析如图3所示:
30 82 01 0a 02 01 00 04 06 70 75 62 6c 69 63 a2 81 fc 02 02 01 dd 02 01 00 02 01 00 30 81 ef 30 81 ec 06 08 2b 06 01 02 01 01 01 00 04 81 df 43 69 73 63 6f 20 49 6e 74 65 72 6e 65 74 77 6f 72 6b 20 4f 70 65 72 61 74 69 6e 67 20 53 79 73 74 65 6d 20 53 6f 66 74 77 61 72 65 20 0d 0a 49 4f 53 20 28 74 6d 29 20 43 33 35 35 30 20 53 6f 66 74 77 61 72 65 20 28 43 33 35 35 30 2d 49 35 51 33 4c 32 2d 4d 29 2c 20 56 65 72 73 69 6f 6e 20 31 32 2e 31 28 31 34 29 45 41 31 61 2c 20 52 45 4c 45 41 53 45 20 53 4f 46 54 57 41 52 45 20 28 66 63 31 29 0d 0a 43 6f 70 79 72 69 67 68 74 20 28 63 29 20 31 39 38 36 2d 32 30 30 33 20 62 79 20 63 69 73 63 6f 20 53 79 73 74 65 6d 73 2c 20 49 6e 63 2e 0d 0a 43 6f 6d 70 69 6c 65 64 20 54 75 65 20 30 32 2d 53 65 70 2d 30 33 20 30 34 3a 30 38 20 62 79 20 61 6e 74 6f 6e 69 6e 6f
02 01 00:Message的第1个组件version,整数0的BER(基本编码规则Basic Encoding Rules)编码
04 06 70 75 62 6c 69 63:Message的第2个组件community,字符串类型值"public"的BER编码,我们可以用一个表来让这个结构更清晰。
十六进制数(
ASCII
码)
|
字符值
|
70
|
p
|
75
|
u
|
62
|
b
|
6c
|
l
|
69
|
i
|
6c
|
c
|
四、01组合里查到只读密码
a2 序列结构(Getreponse-PDU)的传输标志
fc 数据所占字节度,十进制为252(用WORD统计了一下,又是一点不差)。
02 02 01 dd Getreponse-PDU的第1个组件request-id,十进制整数477的BER编码
02 01 00 Getreponse-PDU的第2个组件error-status,整数0的BER编码
02 01 00 Getreponse-PDU的第3个组件error-status,整数0的BER编码
余下的所有字节,是Getreponse-PDU的第4个组件variable-bindings的BER编码
30:序列类型(VARBINDLIST)的传输标志
ef 数据所占长度,十进制为239
06 08 2b 06 01 02 01 01 01 00:第1个组件name,对象标识符1.3.6.1.2.1.1.1.0的BER编码
下面这一长串