SNMP协议报文分析示例

网工菜仔

已于 2024-04-03 11:54:35 修改

阅读量1.5k

点赞数 35

文章标签：网络服务器运维

于 2024-04-03 09:01:26 首次发布

本文链接：https://blog.csdn.net/m0_68577390/article/details/137325837

版权

（1）在本地主机上开启SNMP服务，注意读写权限

（2）安装MIB Browser，可根据OID获取设备的各种信息

（3）两台主机连接到同一台路由器（一个网段内），主机A获取主机B的IP地址并加入SNMP服务，以便能够通过MIB获得主机B的信息。

（1）打开Wireshark，选择两台主机同时连接的WLAN，准备抓包，可以通过过滤器设置只得到SNMP的报文

（2）在MIB Browser 的Agent（addr）中输入主机B的IP地址，点击GetNext或者Get获取信息，同时可以看到Wireshark中成功抓取到SNMP的各种类型报文。

（3）选择报文打开，进行报文分析

前置知识——snmp报文数据类型

简单类型：

INTEGER，整数类型：ASN.1中未限制整数的位数，即可以是任意大小的整数。如 Number::=INTEGER
BOOLEAN，布尔类型：取值为TRUE或FALSE。如 Married::=BOOLEAN
REAL，实数类型：ASN.1中对实数精度无限制，REAL可以表示所有的实数。实数可以表示为科学计数法：M×BE，其中尾数M和指数E可以取任何正或负整数值，基数B可以取2或10。如 angle1 AngleInRadians::={31415926, 10, -7}
ENUMERATED，枚举类型：是一组个数有限的整数值，可以给每个整型值赋予不同的意义。如 Month::= ENUMERATED {Jan (1), … , Dec (12) }
OBJECT DESCRIPTION，对象描述符：用于确定对象的一串字符串。
NULL，空值类型：用于位置的填充。若某个时刻无法得知数据准确值，就将其定义为NULL类型。
EXTERNAL，自定义类型。

结构类型：

SEQUENCE，序列类型，包含0个或多个组成元素的有序列表。列表的不同元素可分属于不同的数据类型。元素含元素名、元素类型，其中元素类型可是简单类型，也可是定义的其他构造类型。如 BookPageNo::=Sequence {ChapterNo, Separator，PageNo}
SEQUENCE OF，单纯序列（数组）类型，即序列中的各项都属于同一类型，可看作SEQUENCE类型的特例。如 BookPages::= Sequence of BookPageNo
SET，集合类型，包含0个或多个组成元素的无序集合。元素顺序无任何意义，但它们之间必须是不相同的，组成元素的类型可以为不同的ASN.1类型。如 BookPages::=Set {ChapterNo, Separator, PageNo}
SET OF，单纯集合类型，是包含0个或多个组成元素的无序集合，同单纯序列类型类似，元素须为相同的类型。如 BookPages::=Set of {Sequence {ChapterNo, Separator, PageNo}}

首先要清楚SNMP协议本身的报文格式（本文只以普通消息为例）

*参数说明：

版本：SNMP V1为0，V2:1， V3:2;
团体名：团体名(community)：是一个字符串，作为管理进程和代理进程之间的验证的密码，读缺省为“public”，写缺省为“private”;
PDU类型:
请求标识符(request ID): 由管理进程设置的一个整数值｡代理进程发送get-response时也要返回此请求标识符｡
差错状态(error status)：由代理进程回答时填入0~5中的一个数字｡
差错索引(error index)：当出现noSuchName､badValue或readOnly的差错时,由代理进程在回答时设置的一个整数,它指明有差错的变量在变量列表中的偏移；
变量绑定(variable-bindings)：读取或设置的一个或多个oid的名和对应的值，在get或get-next报文中,变量的名称有效，但值应忽略

拆分报文时，只需要抓住编码结构“TLV”

根据Wireshark可以看到，主机通过MIB Browser获取主机B的各项信息时，抓取主机A发送给主机B的get-request、get-next-request类型的SNMP报文以及主机B回复给主机A的get-respose类型SNMP报文，现在截取几段报文分析如下：

关注