在 Wireshark 抓包中显示 snmp mib 名

Wireshark 是最富盛名的开源抓包工具了，在电信网管开发的日常工作中是不可或缺的，经常需要抓包分析。那有没有办法可以在抓到的包中直接显示 snmp mib 的名字，而不是 OID 呢？办法当然是有的，也很简单，在官方的文档里面就有说明了。这里讲下实际配置步骤：

1. 把 mib 文件放到 “C:\Program Files\Wireshark\snmp\mibs” 目录下。

2. 打开 “%APPDATA%\Wireshark\smi_modules” 文件，在里面按原有的格式，添加mib名字。

3. 修改 Wireshark 的配置，选中 “Enable OID resolution”，”Suppress SMI errors”（如下图）。修改之后关闭再重新打开 Wireshark 就生效了。

注意事项：

1. 如果看到的配置界面跟上面的不一样的话，是 Wireshark 版本太低了，升级到最新的版本即可。

2. 不是所有的 mib 文件都能被正确的解析，这是一个已知问题，因为其用的开源的 mib 解析模块 libsmi 有问题。如果发现加了某几个 mib 之后 Wireshark 就启动不了了，那就还是把改动回退吧。

参考阅读：1，2，3。

另外，因为要求 mib 文件的名字必须是 mib 模块的名字，但是存在文件名和模块名不一致的情况，写了个 groovy 脚本，对指定目录下的 mib 文件进行重命名：

import java.util.regex.*
def dir = new File('''C:\Program Files\Wireshark\snmp\mibs''')
def pattern = ~/(?ms).*^\s*([\w\-]+)\s*DEFINITIONS ::= BEGIN\s*$.*/
dir.eachFileRecurse{ f ->
	if ( f.file && f.name.endsWith(".mib") ) {
		Matcher m = pattern.matcher( f.getText() );
		if (m.matches()) {
			f.renameTo( f.parentFile.path + "\\" + m[0][1] )
			println '"' + m[0][1] + '"'
		}
	}
}