Wireshark中的一些SNMP相关的过滤器

最新推荐文章于 2022-09-09 14:26:27 发布
最新推荐文章于 2022-09-09 14:26:27 发布
阅读量5.7k 收藏 6
点赞数 1
分类专栏: Snmp 文章标签: 正则表达式 search 产品 google 工作

Wireshark中的一些SNMP相关的过滤器  

转自

由于现在的工作是在网管产品上,时不时需要抓SNMP包来定位问题。原来我只知道‘snmp’这个过滤器,在数据量不多时,这个过滤器也够用了,但是一到产品环境下,那显示的条数还是太多了,每次要从那么多packet里找到你想要的包都要用search找一下,找完第一条,又找下一条,无聊啊... 
今天没啥事就google了一把,发现以前自己真的是土到家了,完全可以根据oid,或者value来进行过滤。

例子1: 根据request或者response 所绑定的oid来进行过滤

snmp.name contains 1.3.6.1.4.1.6387.9000.216.1.5.2.2.1.11

这是个非常有用的过滤器,因为SNMP里的get/set都是需要指定OID的。

如果只想输出response里的,可以加上个条件:
snmp.get_response && (snmp.name contains 1.3.6.1.4.1.6387.9000.216.1.5.2.2.1.11)

例子2: 根据response里value字段来过滤,这种情况下需要先知道value的类型,因为Wireshark过滤器里的snmp.value后面得有个类型才行(注意:SNMP的response里是可以有多个value的)

snmp.value.oid == 1.3.6.1.4.1.6387.400.10.16  只要response里有一个value,它的类型是OID,并且值是1.3.6.1.4.1.6387.400.10.16就输出到结果中 

snmp.value.int ==  123456 只要response里有一个value,它的类型是int,并且值是1234就输出到结果中 

snmp.value.octets contains "abc" 只要response里有一个value,它的类型是OctetString,并且值里包含了abc就输出到结果中 (注意,大小写在这里是一样的)

这里需要指出的是Wireshark里显示的OctetString类的值不是“abc"这样的格式,而是abc对应的ascii码得十六进制数值,比如 abc对应的就是616263

snmp.value.octets matches "^m" 只要response里有一个value,它的类型是OctetString,并且值是以m开头的话,就输出到结果中
snmp.value.octets matches "m$" 只要response里有一个value,它的类型是OctetString,并且值是以m结束的话,就输出到结果中

这里matches后面其实就个正则表达式,你可以发挥自己的想象去写。

这里是所有的SNMP过滤器的参考指南:


天王
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
MIB Browser和Wireshark 的使用:通过oid获取设备信息时的SNMP报文分析
Shinetien21_专栏
01-23 6790
MIB Browser&  Wireshark   Table View 1.   Address  : 172.16.72.134 (将我所在主机的IP添加到172.16.72.134 的SNMP) 2.   OID:  .1.3.6.1.2.2.1  (或点击ifTable) 3.   Operations : Table View 4.   Go.. 结果:显示整张ifTab
SNMP 计算机网络管理 实验1(一) 练习与使用Wireshark抓取SNMP数据包任务一,安装wireshark和winPcap程序;任务二,学会使用Wireshark设置抓包过虑器
陈丹宇的博客
06-30 1284
SNMP 计算机网络管理 实验1(一) 练习与使用Wireshark抓取SNMP数据包任务一,安装wireshark和winPcap程序;任务二,学会使用Wireshark设置抓包过虑器
Wireshark常用过滤使用方法
weixin_44228952的博客
03-13 158
https://www.cnblogs.com/nmap/p/6291683.html
Wireshark的显示过滤器
Edidaughter的博客
11-19 4671
显示过滤器指的是针对已经捕获的报文,过滤出符合特定规则的分组。通常情况下,用户捕获到的文件很多,即使使用捕获过滤器后,仍然还是有很多无关的包。当用户分析数据包时,很难找到自己需要的部分,此时显示过滤器就非常有用了。显示过滤器相比捕获过滤器更加强大,而且更加常用。因为显示过滤器不仅可以对数据包进行过滤,而且不会省略捕获文件的其他数据。也就是说,如果用户想回到原先的捕获文件,只需要清空显示过滤表达式即可。 1.使用显示过滤器 窗口有一个“应用显示过滤器”文本框(如图的1)。用户将使用的过滤器表达式
wireshark专栏——仅保存过滤出的报文
weixin_44081384的博客
09-09 4601
wireshark过滤报文后保存,然后打开保存后的报文仅显示保存后的报文。
使用Wireshark抓取SNMP Trap包
weixin_33859231的博客
12-13 2770
Wireshark SNMP Trap 过滤关键字:snmp && udp.dstport == 162        
wireshark
夜车星繁的博客
06-19 5687
晚上看渗透教程看的很懵。。。 在此水一篇教程,接下来会努力学习写出好的博客。 Wireshark界面说明 过滤器表达式书写是wireshark使用的核心,但在此之前,很多初学者还会碰到一个难题,就是感觉wireshark界面上很多东西不懂怎么看。其实还是挺明了的我们下面简单说一下,如下图。 1号窗口展示的是wireshark捕获到的所有数据包的列表。注意最后一列Info列是wires...
SNMP报文抓取及分析
xiayigan的博客
07-05 1万+
关于本次SNMP报文抓取及分析工作,我大致上分为三个步骤进行:准备工作;报文抓取;报文分析。 一. 准备工作 1. SNMP协议的安装,以WINDOW7系统为例: 点击确认进行协议安装。 启动SNMP服务: 在计算机关服务界面,选择SNMP Service进行开启服务,双击进行配置,如下:在安全选项卡做如上配置。 3. 下载并安装snmputil工具 安装路径为C盘下Window
wireshark的一些过滤规则
sunshine2853的专栏
07-20 5129
一、      MAC地址过滤 #筛选出MAC地址是20:dc:e6:f3:78:cc的数据包,包括源MAC地址或者目的MAC地址使用的是20:dc:e6:f3:78:cc的全部数据包 eth.addr==20:dc:e6:f3:78:cc #筛选出源MAC地址是20:dc:e6:f3:78:cc的数据包 eth.src==20:dc:e6:f3:78:cc #筛选出目的MAC地址
SNMP报文抓取与分析(一)
weixin_34266504的博客
07-23 1516
SNMP报文抓取与分析(一) 1、抓取SNMP报文 SNMP报文的形式大致如下图所示 我们这里使用netcat这个工具来抓取snmp的PDU(协议数据单元)。(因为我们并不需要前面的IP和UDP首部) 关于netcat的一些基本使用可以看这里http://www.cnblogs.com/oloroso/p/4610563.html 本文由乌合之众 lym瞎编,欢迎转载 blog.cn...
Wireshark使用教程(界面说明、捕获过滤器表达式、显示过滤器表达式)
weixin_37910058的博客
08-22 1700
Wireshark使用教程(界面说明、捕获过滤器表达式、显示过滤器表达式) 一、说明 1.1 背景说明 对于大多数刚开始接触wireshark的使用者而言,经常是开始的时候时候看到wireshark能把所有数据包都拦截下来觉得强无敌,但是面对一大堆的数据包要问有什么用或者说想要找到我想要的那些数据包怎么找(比如telnet登录过程的那些数据包)则完全是一脸茫然。 一是界面一堆窗口,什么作用...
wireshark抓取常用报文协议过滤法则大全
echo
09-18 2万+
做应用识别这一块经常要对应用产生的数据流量进行分析。 抓包采用wireshark,提取特征时,要对session进行过滤,找到关键的stream,这里总结了wireshark过滤的基本语法,供自己以后参考。(脑子记不住东西) wireshark进行过滤时,按照过滤的语法可分为协议过滤和内容过滤。 对标准协议,既支持粗粒度的过滤如HTTP,也支持细粒度的、依据协议属性值进行的过滤如tcp.po...
Wireshark抓包及常用过滤方法
热门推荐
liu_yanxiaobai的博客
05-24 2万+
一、抓包 实际遇到组件服务间的报错问题时,通过日志无法快速看出原因,可通过抓包的方式来快速查看接口返回信息及错误提示,使用如下命令可实现对某个端口进行抓包: tcpdump -i any -w /opt/xxx.pcap tcp port 8150 # 8150为调用接口的端口号 二、常用过滤方法 通过以上命令抓取到tcp协议的报文后,使用Wireshark打开xxx.pcap文件,在过滤框(Fileter)输入相应的过滤表达式可快速筛选想看的接口间的请求报文: 1.过滤源(source)ip和
wireshark的安装和使用
weixin_34008933的博客
05-22 1550
Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。 Wireshark的优势:- 安装方便。- 简单易用的界面。- 提供丰富的功能。Wireshark的原名是Ethereal,...
OctetString 转String
weixin_30896763的博客
06-10 3577
/// <summary> /// OctetString转时间 /// </summary> /// <param name="ss">字符串如 07 E3 06 06 11 10 0A 00 2B 08 00</param> /// <returns&g...
Wireshark 抓包显示 snmp mib 名
谁解其中味
08-30 2674
Wireshark 是最富盛名的开源抓包工具了,在电信网管开发的日常工作是不可或缺的,经常需要抓包分析。那有没有办法可以在抓到的包直接显示 snmp mib 的名字,而不是 OID 呢?办法当然是有的,也很简单,在官方的文档里面就有说明了。这里讲下实际配置步骤: 1
Wireshark如何设置过滤器
最新发布
05-12
Wireshark过滤器是用来过滤捕获到的数据包的一种方法,可以帮助用户找到他们需要的数据包。下面是关于Wireshark如何设置过滤器的介绍: 1. 在Wireshark的主窗口,可以看到捕获到的所有数据包。 2. 在过滤...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值