Wireshark中的一些SNMP相关的过滤器

Wireshark中的一些SNMP相关的过滤器  

转自

由于现在的工作是在网管产品上,时不时需要抓SNMP包来定位问题。原来我只知道‘snmp’这个过滤器,在数据量不多时,这个过滤器也够用了,但是一到产品环境下,那显示的条数还是太多了,每次要从那么多packet里找到你想要的包都要用search找一下,找完第一条,又找下一条,无聊啊... 
今天没啥事就google了一把,发现以前自己真的是土到家了,完全可以根据oid,或者value来进行过滤。

例子1: 根据request或者response 所绑定的oid来进行过滤

snmp.name contains 1.3.6.1.4.1.6387.9000.216.1.5.2.2.1.11

这是个非常有用的过滤器,因为SNMP里的get/set都是需要指定OID的。

如果只想输出response里的,可以加上个条件:
snmp.get_response && (snmp.name contains 1.3.6.1.4.1.6387.9000.216.1.5.2.2.1.11)

例子2: 根据response里value字段来过滤,这种情况下需要先知道value的类型,因为Wireshark过滤器里的snmp.value后面得有个类型才行(注意:SNMP的response里是可以有多个value的)

snmp.value.oid == 1.3.6.1.4.1.6387.400.10.16  只要response里有一个value,它的类型是OID,并且值是1.3.6.1.4.1.6387.400.10.16就输出到结果中 

snmp.value.int ==  123456 只要response里有一个value,它的类型是int,并且值是1234就输出到结果中 

snmp.value.octets contains "abc" 只要response里有一个value,它的类型是OctetString,并且值里包含了abc就输出到结果中 (注意,大小写在这里是一样的)

这里需要指出的是Wireshark里显示的OctetString类的值不是“abc"这样的格式,而是abc对应的ascii码得十六进制数值,比如 abc对应的就是616263

snmp.value.octets matches "^m" 只要response里有一个value,它的类型是OctetString,并且值是以m开头的话,就输出到结果中
snmp.value.octets matches "m$" 只要response里有一个value,它的类型是OctetString,并且值是以m结束的话,就输出到结果中

这里matches后面其实就个正则表达式,你可以发挥自己的想象去写。

这里是所有的SNMP过滤器的参考指南:


Wireshark是一个开源的网络协议分析工具。通过Wireshark,用户可以捕获和分析网络数据包,并进行自定义过滤。用户可以使用Wireshark基于多种条件来过滤数据包,以便更好地分析网络流量。 在Wireshark进行自定义过滤时,可以使用Wireshark的Lua插件进行扩展。Lua是一种轻量级的脚本语言,非常适合用于Wireshark的自定义过滤。 要创建一个自定义过滤的Lua插件,请按照以下步骤进行操作: 1. 首先,确保你已经安装了Wireshark。你可以在Wireshark的官方网站上下载并安装最新版本的Wireshark。 2. 打开Wireshark,在菜单栏上选择“帮助”>“关于Wireshark”>“文件夹”,可以查看Wireshark的安装目录。 3. 在Wireshark的安装目录,找到名为"plugins"的文件夹。如果没有该文件夹,可以创建一个新的文件夹,并将其命名为"plugins"。 4. 在"plugins"文件夹创建一个新的Lua脚本文件,例如"custom_filter.lua"。 5. 打开"custom_filter.lua"文件并编写Lua脚本代码来定义自定义过滤条件。你可以根据你的需求编写自定义的过滤逻辑,以满足你的网络分析需求。 6. 保存并关闭"custom_filter.lua"文件。 7. 在Wireshark,使用快捷键"Ctrl + Shift + L"重新加载所有的Lua脚本。这将使Wireshark加载你刚才创建的自定义过滤插件。 8. 现在,你可以在Wireshark过滤选项使用你的自定义过滤条件了。 请注意,上述步骤仅适用于使用Lua进行自定义过滤条件的情况。如果你想使用其他编程语言进行自定义过滤条件,可以参考Wireshark的官方文档关于插件开发的指南。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值