SNMP报文抓取及分析

SNMP报文获取与分析班级：网络工程12-1班学号：08123536姓名：赵怀庆SNMP报文抓取及分析关于本次SNMP报文抓取及分析工作，我大致上分为三个步骤进行：准备工作；报文抓取及报文分析。一．准备工作1.SNMP协议的安装以WINDOW7系统为例：点击确认进行协议安装。2.启动SNMP服务：在计算机关服务界面中，选择SNMPService进行开启服务，双击进行配置，如下：在安全选项卡中做如上配置。3.下载并安装snmputil工具安装路径为C盘下Windows下System32文件夹。关于snmputil的使用请见（附件）。4.关于SNMP数据包的接收，我用了虚拟机中WINDOW2000操作系统，SNMP协议的安装及服务的开启与上述WINDOW7系统类似。查看虚拟机IP地址：二．报文抓取1.准备工作就绪以后，就可以进行SNMP报文的抓取了，在WINDOW7中cmd使用snmputil工具进行发包：2.同时在Wireshark中进行抓包:三．报文分析目的MAC：000c292ffce3源MAC：005056c00008协议类型：0800，为IP数据报IP报头：45000044020900004011bccbc0a89d01c0a89d8245IP协议版本4，报头长度20bytes000044总长度68（0x44）0209确认号：5120000标记字段0x00无偏移字段40存活时间6411报文协议UPDaa26报头确认号43558b47c0a79源IP地址18012410121c0a81181目标IP地址19216817129UDP报头：c96b00a10030436fC96b源端口16100a1目标端口1610030长度181436f校验和其余部分都为SNMP报文，接下来我们对照报文结构体来逐个分析一下：30是identifieroctets,表示SNMP消息是ASN.1的SEQUENCE类型；26表示该SNMP报文的总长度是38(0x26)个字节，该字段所表示的报文长度起始于它后面的第一个字节直到报文结束；020100表示版本号，可见其确实为BER编码方式。02表示该字段是INTEGER类型；01表示该字段占1个字节；00表示版本号，该值为“版本号-1”；04067075626c6963表示团体名，04表示该字段为OCTETSTRING类型；06表示该字段占6个字节；7075626c6963表示团体名的ANSII码的十六进制形式，这里是“public”；a119其中a1表示PDUtype为GetNextRequest(1)；19表示后面还有25(0x19)个字节的数据；020104表示RequestID为0x04；020100表示error-statue为0；020100表示error-index为0；300e是ASN.1的SEQUENCE类型；300c表示variable-name1|variable-value1对是ASN.1的SEQUENCE类型；长度是12（0x0c）字节；0608表示字段是ASN.1的ObjectIdentifier类型；2b06010201010300表示variable-name1:.1.3.6.1.2.1.1.3.0;0500为ASN.1的null类型。（附件）snmputil.exe工具的使用2012-09-0617:15:57一、检查windows系统是否安装了snmp组件。可以在cmd中输入netstartsnmp就可以出现显示信息了二、命令解释snmputil，就是程序名啦。get，就理解成获取一个信息。getnext，就理解成获取下一个信息。walk，就理解成获取一堆信息（嗯，应该说所有数据库子树/子目录的信息）agent，具体某台机器拉。community，嗯就是那个“communitystrings”“查询密码”拉。oid，这个要多说一下，这个呢，就是物件识别代码（ObjectIdentifier）。可以把oid理解成MIB管理信息库中各种信息分类存放树资源的一个数字标识。三、snmputil的命令规则是：snmputil[get|getnext|walk]agentcommunityoid[oid...][get|getnext|walk]为消息类型，我们此次进行的操作是getagent指Snmp代理即你想进行操作的网络设备的ip或名称，即192.168.10.191community：分区域，即密码，默认是publicoid：想要操作的MIB数据对象号，设备名称对应的MIB对象号是.1.3.6.1.2.1.1.5.0打开命令行窗口，进入snmputil所在路径，键入snmputilget192.168.10.191public.1.3.6.1.2.1.1.5.0如果参数都正确，控制台就会显示出机器名。四、开始刺探信息：snmputilwalk对方ippublic.1.3.6.1.2.1.25.4.2.1.2列出系统进程snmputilwalk对方ippublic.1.3.6.1.4.1.77.1.2.25.1.1列系统用户列表snmputilget对方ippublic.1.3.6.1.4.1.77.1.4.1.0列出域名snmputilwalk对方ippublic.1.3.6.1.2.1.25.6.3.1.2列出安装的软件snmputilwalk对方ippublic.1.3.6.1.2.1.1列出系统信息