SNMP报文分析

SNMP报文分析一、SNMP协议环境的配置1、主机SNMP协议配置操作系统：Windows10虚拟MAC地址：00-50-56-C0-00-08IP地址：192.168.40.11)安装SNMP协议依次打开控制面板→程序→程序和功能→启用或关闭Windows功能，找到“简单的网络管理协议(SNMP）”并将其勾选，然后确定就可以安装了。2)配置并打开SNMPService服务右键计算机，依次打开管理→服务和应用程序→服务，在右侧找到SNMPService服务，双击开启服务，并在安全选项卡中进行如下配置：2、目标机SNMP协议配置操作系统：虚拟机Windows7MAC地址：00-0C-29-17-A1-58IP地址：192.168.40.130虚拟机Windows7安装SNMP方法，启用SNMP服务和主机Windows10一样，按照上边的步骤即可。二、SNMP协议报文的抓取1、下载并安装snmputil.exe和wireshark由于wireshark是之前就已经下载并安装好的，所以这里了就不做截图。2、发送并抓取SNMP数据包1)首先打开wireshark，由于这里用的是虚拟机，所以就要找到虚拟机所使用的网卡，双击便开始抓包了。2)利用snmputil工具发送snmp数据包，在命令提示符中找到snmputil，然后运行如下的命令。关于snmputil.exe工具的使用：I.snmputil命令解释：snmputil是程序名get可以理解为获取一个信息getnext可以理解为获取下一个信息walk是所有数据库子树/子目录的信息agent具体某台机器拉community就是“communitystrings”“查询密码”oid就是物件识别代码（ObjectIdentifier）可以把oid理解为MIB管理信息库中各种信息分类存放树资源的一个数字标识。II.snmputil的命令规则是：snmputil[get|getnext|walk]agentcommunityoid[oid...][get|getnext|walk]为消息类型，我们此次进行的操作是getagent指Snmp代理即你想进行操作的网络设备的ip或名称，即192.168.40.130community：分区域，即密码，我们这里是Publicoid：想要操作的MIB数据对象号，设备名称对应的MIB对象号是.1.3.6.1.2.1.1.5.0打开命令行窗口，进入snmputil所在路径，键入snmputilget192.168.40.130Public.1.3.6.1.2.1.1.5.0，如果参数都正确，控制台就会显示出机器名。III.刺探对方信息snmputilget对方IPPublic.1.3.6.1.2.1.1.5.0列出计算机名snmputilwalk对方IPPublic.1.3.6.1.4.1.77.1.2.25.1.1列系统用户列表snmputilwalk对方IPPublic.1.3.6.1.2.1.25.4.2.1.2列出系统进程snmputilget对方IPPublic.1.3.6.1.4.1.77.1.4.1.0列出域名snmputilwalk对方IPPublic.1.3.6.1.2.1.25.6.3.1.2列出安装的软件snmputilwalk对方IPPublic.1.3.6.1.2.1.1列出系统信息3)这时候我们可以看到在wireshark中已经抓到了snmp的数据包。三、报文分析我们选取其中的第6个分组进行分析：1、帧头005056c00008000c2917a1580800005056c00008目的MAC000c2917a158源MAC0800是协议类型，为IP数据报2、IP报头45000049055600008011637ac0a82882c0a8280145表示IP协议版本为4，报头长度为20bytes000049表示总长度是730556表示确认号是13660000表示标记字段，无偏移字段80表示存活时间12811表示报文协议UDP（UDP在IP报文的协议号是17）637a表示报头确认号25466c0a82882表示源IP地址192.168.40.130c0a82801表示目的IP地址192.168.40.13、UDP报头00a1dc81003556b400a1表示源端口161dc81表示目的端口564490035表示长度5356b4表示校验和221964、SNMP报文302b02010004065075626c6963a21e0201010201000201003013301106082b0601020101050004054d592d504330表示SNMP消息是ASN.1的SEQUENCE类型2b表示该SNMP报文的总长度是43(0x2b)个字节020100表示版本号，为BER编码方式；02表示该字段是INTEGER类型；01表示该字段占1个字节；00表示版本号，该值为“版本号-1”04065075626c6963表示团体名，04表示该字段为OCTETSTRING类型；06表示该字段占6个字节；5075626c6963表示团体名的ANSII码的十六进制形式，这里是“Public”a21e2表示PDUtype为get-response；1e表示后边还有30(0x1e)个字节的数据020101表示get-response的ID为1020100表示错误状态error-statue为0020100表示错误索引error-index为03013表示“变量名-值”对编码类型是ASN.1的SEQUENCE类型，13表示“变量名-值”对占19(0x13)个字节3011表示第一个“名-值”对区段编码方式30即SEQUENCE类型；第一个“名-值”对总长度17(0x11)个字节0608表示第一个变量名的编码类型6，即时间标签；第一个变量名占8(0x08)个字节2b06010201010500表示第一个变量名，是1.3.6.1.2.1.1.5.0040504表示对应的编码类型是ASN.1的OCTETSTRINGL类型，05表示第一个变量值占5(0x05)个字节4d592d5043表示第一个变量值是MY-PC