1、SNMP報文獲得與分析中國礦業(yè)大學計算機學院任課教師：顧軍1SNMP1SNMP1SNMP2SNMP5266SNMP6311get-next-request11get-response13get-request16getbulkrequest18set-request20trap22Inform241SNMP環(huán)境配置我們采用Windowsxp作為SNMP協(xié)議的使用環(huán)境。安裝SNMP翻開增加/刪除Windows組件，選擇管理和監(jiān)監(jiān)工具，在“詳盡信息”里面，將網(wǎng)絡(luò)管理協(xié)議打上勾，點擊確定。安裝過程中需要使用snmpforxp的安裝包。WMISNMP供應程序、簡單配置SNMP找到計算機管理，找到SNM

2、PService，右擊獲得屬性。設(shè)置集體名稱并設(shè)置接見權(quán)限，并確定能夠接受哪些主機發(fā)來的SNMP數(shù)據(jù)包。測試SNMP這里使用snmputil工具進行簡單測試。找到該虛假機的ip地點，【利用ipconfig命令獲得】依照snmputil的命令規(guī)則snmputilget|getnext|walkagentcommunityoidoid.get|getnext|walk為信息種類，我們此次進行的操作是getagent指Snmp代理即你想進行操作的網(wǎng)絡(luò)設(shè)施的ip或名稱，即：分地區(qū)，即密碼，默認是publicoid：想要操作的MIB數(shù)據(jù)對象號，設(shè)施名稱對應的MIB對象號是.在snmputil所在路徑下，

3、輸入：snmputilget本機的ip的值本機集體名.假如正確，則會獲得本機的電腦名稱。報文抓取準備工作準備兩臺配置好SNMP協(xié)議的WindowsXP虛假機，其中一臺安裝Wireshark用于抓包。我們使用snmputil工具進行抓包。（注意：兩臺虛假機的防火墻要封閉）發(fā)送SNMP包（1）輸入?yún)?shù)snmputilwalkpublic.參數(shù)說明：目的IP地點（要獲得的目的的主機的walkIP獲得一堆信息（所有數(shù)據(jù)庫子樹地點）/子目錄的信息）public（集體名）.（物件鑒識代碼代表列出系統(tǒng)信息）能夠獲得SNMP的getnextrequest和getresponse報文（2）輸入?yún)?shù)：snmput

4、ilgetpublic.參數(shù)說明：get能夠理解為獲得一個信息目標主機IP地點public集體名.（物件鑒識代碼列出系統(tǒng)的域名）能夠獲得SNMP的getrequest和getresponse3）使用MIB-browser設(shè)置Address為能夠獲得SNMP的GetBulk和GetResponse4）使用IReasoningMIB-browser履行set操作，獲得Set-Request報文。5）發(fā)送Trap報文發(fā)送SNMPv2Trap報文。6）發(fā)送Inform報文報文分析get-next-request幀頭以太網(wǎng)幀頭：目的MAC：000c2970b772源MAC：000c29d91f74協(xié)議種

5、類：0800，為IP數(shù)據(jù)報IP數(shù)據(jù)報IP報頭450000420f7f000080117adac0a81780c0a81781（1）其中45：“4”代表IP協(xié)議的版本，說明是IPv4；“5”代表IP包的包頭長度為：5*4=20字節(jié)2）“00”代表服務種類（3）“0042”代表IP數(shù)據(jù)報文總長（包含頭部及數(shù)據(jù)），這里是16進制表示4*16+2=66字節(jié)4）“0f7f”、“0000”代表認證、標志、段偏移；主要用于數(shù)據(jù)包的分段“0000”代表無偏移字段5）“80”代表存活時間是128（6）“11”這里代表的是傳輸層的報文協(xié)議，11代表報文協(xié)議UDP7）“7ada”報頭確認號31450（8）“c0a8

6、1780”代表源IP地點（9）“c0a81781”代表目的IP地點UDP數(shù)據(jù)報UDP報頭：055500a1002e18181）“0555”源端口13652）“00a1”目的端口1613）“002e”長度464）“1818”校驗和SNMP數(shù)據(jù)報（1）“30”代表identifieroctets表示SNMP信息是的SEQUENCE種類（2）“24”代表這個SNMP報文的總長度是36（0 x24）個字節(jié)。（3）“020100”表示版本號，進行BER解碼：02代表是INTEGER種類，01代表該字段占1個字節(jié)，00表示版本號，該值為“版本號-1”（4）“04067075626c6963”表示集體名，0

7、4表示該字段為OCTETSTRING種類，06代表占6個字節(jié)，7075626c6963分別代表ASCII碼的十六進制形式，在這里代表“public”。（5）“a117”a1代表PDUtype為GetNextRequest（1）17代表后邊還有23（0 x17）個字節(jié)的數(shù)據(jù)（6）“020101”表示requestID，02代表是INTEGER種類，01代表有1個字節(jié)，01代表RequestID的值為1（0 x01）（7）“020100”表示error-status,02代表是INTEGER種類，01代表有1個字節(jié)，00代表error-status的值為0（8）“020100”表示error-in

8、dex，02代表是INTEGER種類，01代表有1個字節(jié)，00代表error-index的值為0.（9）“300c”表示variable-name1|variable-value1對是的SEQUENCE種類，長度是12個字節(jié)10）“300a”是的SEQUENCE種類，長度是10（0 x0a）字節(jié)（11）“06062b0601020101”是variable-name1?！?606”第一個06代表字段是的OID種類，第二個06代表長度是6個字節(jié)（12）“2b0601020101”代表OID(0 x2b=43)00”是variable-value1。表示空值Nullget-response幀頭目的

9、MAC地點：000c29d91f74源MAC地點：000c2970b772(3)協(xié)議種類:0800為IP數(shù)據(jù)報IP數(shù)據(jù)報（1）其中45：“4”代表IP協(xié)議的版本，說明是IPv4；“5”代表IP包的包頭長度為：5*4=20字節(jié)2）“00”代表服務種類（3）“00c7”代表IP數(shù)據(jù)報文總長（包含頭部及數(shù)據(jù)），這里是16進制表示12*16+7=199字節(jié)4）“0327”、“0000”代表認證、標志:主要用于數(shù)據(jù)包的分段“0000”代表無偏移字段5）“80”代表存活時間是128（6）“11”這里代表的是傳輸層的報文協(xié)議，11代表報文協(xié)議UDP7）“86ad”報頭確認號34477（8）“c0a81781

10、”代表源IP地點（9）“c0a81780”代表目的IP地點UDP數(shù)據(jù)報（1）“00a1”源端口1612）“0555”目的端口13653）“00b3”長度1794）“6737”校驗和SNMP數(shù)據(jù)報（1）“30”代表identifieroctets表示SNMP信息是的SEQUENCE種類（2）“81a8”代表這個SNMP報文的總長度超出了127,0 x81a8=代表長度為0 xa8即168個字節(jié)（3）“020100”表示版本號，進行BER解碼：02代表是INTEGER種類，01代表該字段占1個字節(jié)，00表示版本號，該值為“版本號-1”（4）“04067075626c6963”表示集體名，04表示該

11、字段為OCTETSTRING種類，06代表占6個字節(jié)，7075626c6963分別代表ASCII碼的十六進制形式，在這里代表“public”。5）“a2819a”a2代表PDUtype為GetResponse（2）819a即代表后邊還有154（0 x81）個字節(jié)的數(shù)據(jù)（6）“020101”表示requestID，02代表是INTEGER種類，01代表有1個字節(jié)，01代表RequestID的值為1（0 x01）（7）“020100”表示error-status,02代表是INTEGER種類，01代表有1個字節(jié)，00代表error-status的值為0（8）“020100”表示error-inde

12、x，02代表是INTEGER種類，01代表有1個字節(jié)，00代表error-index的值為0.（9）“30818e”表示variable-name1|variable-value1對是的SEQUENCE種類，長度是142（0 x8e）字節(jié)（10）“30818b”第一個30代表字段是的SEQUENCE種類，81和8b代表長度為139（0 x8b）字節(jié)（11）“06082b06010201010100”是variable-name1?！?608”第一個06代表字段是的OID種類，第二個08代表長度是8個字節(jié)（12）“2b06010201010100”代表OID(0 x2b=43)047f48617

13、264776172653a20783836204661Hardware:x86Fa6d696c792036204d6f64656c20393420mily6Model945374657070696e6720332041542f4154Stepping3AT/AT20434f4d50415449424c45202d20536fCOMPATIBLE-So6674776172653a2057696e646f777320ftware:Windows323030302056657273696f6e20352e312000Version20284275696c64203236303020556e69(Bu

14、ild2600Uni70726f636573736f72204672656529processorFree)是variable-value1。其中：04代表是字符串種類的編碼7f代表后邊有127個字節(jié)后邊的十六進制數(shù)依照ASCII碼變換成字符已經(jīng)用斜體標出。get-request我們利用第二次發(fā)包抓取到的包進行分析。幀頭目的MAC地點：000c2970b772源MAC地點：000c29d91f74協(xié)議種類:0800為IP數(shù)據(jù)報IP數(shù)據(jù)報（1）其中45：“4”代表IP協(xié)議的版本，說明是IPv4；“5”代表IP包的包頭長度為：5*4=20字節(jié)2）“00”代表服務種類（3）“0046”代表IP數(shù)據(jù)報

15、文總長（包含頭部及數(shù)據(jù)），這里是16進制表示4*16+6=70字節(jié)4）“010e”、“0000”代表認證、標志:主要用于數(shù)據(jù)包的分段“0000”代表無偏移字段5）“80”代表存活時間是128（6）“11”這里代表的是傳輸層的報文協(xié)議，11代表報文協(xié)議UDP7）“8947”報頭確認號35143（8）“c0a81780”代表源IP地點（9）“c0a81781”代表目的IP地點UDP數(shù)據(jù)報1）“043d”源端口10852）“00a1”目的端口1613）“0032”長度504）“12c7”校驗和SNMP數(shù)據(jù)報（1）“30”代表identifieroctets表示SNMP信息是的SEQUENCE種類（2

16、）“28”代表這個SNMP報文的總長度是40（0 x28）個字節(jié)。（3）“020100”表示版本號，進行BER解碼：02代表是INTEGER種類，01代表該字段占1個字節(jié)，00表示版本號，該值為“版本號-1”（4）“04067075626c6963”表示集體名，04表示該字段為OCTETSTRING種類，06代表占6個字節(jié)，7075626c6963分別代表ASCII碼的十六進制形式，在這里代表“public”。5）“a01b”a1代表PDUtype為GetRequest（0）1b代表后邊還有27（0 x1b）個字節(jié)的數(shù)據(jù)（6）“020101”表示requestID，02代表是INTEGER種類

17、，01代表有1個字節(jié)，01代表RequestID的值為1（0 x01）（7）“020100”表示error-status,02代表是INTEGER種類，01代表有1個字節(jié)，00代表error-status的值為0（8）“020100”表示error-index，02代表是INTEGER種類，01代表有1個字節(jié)，00代表error-index的值為0.（9）“3010”30表示variable-name1|variable-value1對是的SEQUENCE種類，0e代表長度為16（0 x10）字節(jié)（10）“300e”第一個30代表字段是的SEQUENCE種類，長度是14（0 x0e）字節(jié)。（1

18、1）“060a2b060104014d01040100”是variable-name1。06代表是OID種類，0a代表有10個字節(jié)，“2b060104014d01040100”代表OID(0 x2b=43)00”是variable-value1。表示空值Nullgetbulkrequest幀頭目的MAC地點：000c2970b772源MAC地點：000c29d91f74(3)協(xié)議種類:0800為IP數(shù)據(jù)報IP數(shù)據(jù)報1）其中“45”：“4”代表IP協(xié)議的版本，說明是IPv4；“5”代表IP包的包頭長度為：5*4=20字節(jié)2）“00”代表服務種類（3）“003f”代表IP數(shù)據(jù)報文總長（包含頭部及數(shù)

19、據(jù)），這里是16進制表示3*16+15=63字節(jié)4）“2893”、“0000”代表認證、標志、段偏移；主要用于數(shù)據(jù)包的分段“0000”代表無偏移字段5）“80”代表存活時間是128（6）“11”這里代表的是傳輸層的報文協(xié)議，11代表報文協(xié)議UDP7）“61c9”報頭確認號25033（8）“c0a81780”代表源IP地點（9）“c0a81781”代表目的IP地點UDP數(shù)據(jù)報1）“056e”源端口13902）“00a1”目的端口1613）“002b”長度434）“7b90”校驗和SNMP數(shù)據(jù)報（1）“30”代表identifieroctets表示SNMP信息是的SEQUENCE種類（2）“21”

20、代表這個SNMP報文的總長度是33（0 x21）個字節(jié)。（3）“020101”表示版本號，進行BER解碼：02代表是INTEGER種類，01代表該字段占1個字節(jié)，00表示版本號，該值為“v2c(1)”（4）“04067075626c6963”表示集體名，04表示該字段為OCTETSTRING種類，06代表占6個字節(jié)，7075626c6963分別代表ASCII碼的十六進制形式，在這里代表“public”。5）“a514”a1代表PDUtype為GetRequest（0）14代表后邊還有20（0 x14）個字節(jié)的數(shù)據(jù)（6）“02020415”代表request-id，第一個“02”代表是INTEG

21、ER種類，第二個“02”代表有2個字節(jié)，“0415”代表Request-id是1045（0 x0415）（7）“020100”代表non-repeaters，“02”代表是INTEGER種類，“01”代表有1個字節(jié)，“00”代表non-repeaters的值是0。（8）“02010a”代表max-repetitions，“02”代表是INTEGER種類，“01”代表有1個字節(jié)，“0a”代表max-repeaters的值是10。（9）“3008”30表示variable-name1|variable-value1對是的SEQUENCE種類，08代表長度為8（0 x08）字節(jié)。（10）“3006”

22、第一個30代表字段是的SEQUENCE種類，長度是6（0 x06）字節(jié)（11）“06022b06”是variable-name1。代表OID(0 x2b=43)06代表是OID種類，02代表有2個字節(jié)，2b和06表示了OID的值是00”是variable-value1。表示空值Nullset-request幀頭目的MAC地點：000c2970b772源MAC地點：000c29d91f74(3)協(xié)議種類:0800為IP數(shù)據(jù)報IP數(shù)據(jù)報1）其中“45”：“4”代表IP協(xié)議的版本，說明是IPv4；“5”代表IP包的包頭長度為：5*4=20字節(jié)2）“00”代表服務種類（3）“0048”代表IP數(shù)據(jù)報文

23、總長（包含頭部及數(shù)據(jù)），這里是16進制表示4*16+8=72字節(jié)4）“1a86”代表認證、標志；主要用于數(shù)據(jù)包的分段“0000”代表無偏移字段5）“80”代表存活時間是128（6）“11”這里代表的是傳輸層的報文協(xié)議，11代表報文協(xié)議UDP7）“6fcd”報頭確認號28621（8）“c0a81780”代表源IP地點（9）“c0a81781”代表目的IP地點UDP數(shù)據(jù)報1）“046a”源端口11302）“00a1”目的端口1613）“0034”長度524）“219c”校驗和SNMP數(shù)據(jù)報（1）“30”代表identifieroctets表示SNMP信息是的SEQUENCE種類（2）“2a”代表這

24、個SNMP報文的總長度是36（0 x2a）個字節(jié)。（3）“020100”表示版本號，進行BER解碼：02代表是INTEGER種類，01代表該字段占1個字節(jié)，00表示版本號，該值為“版本號-1”（4）“04067075626c6963”表示集體名，04表示該字段為OCTETSTRING種類，06代表占6個字節(jié)，7075626c6963分別代表ASCII碼的十六進制形式，在這里代表“public”。5）“a31d”a1代表PDUtype為SetRequest（3）1d代表后邊還有29（0 x1d）個字節(jié)的數(shù)據(jù)（6）“0204674e4309”表示requestID。02表示是INTEGER種類，0

25、4代表有4個字節(jié)，674e4309代表requestID為17（0 x674e4309）（7）“020100”表示error-status,02代表是INTEGER種類，01代表有1個字節(jié)，00代表error-status的值為0（8）“020100”表示error-index，02代表是INTEGER種類，01代表有1個字節(jié)，00代表error-index的值為0.（9）“300f”表示variable-name1|variable-value1對是的SEQUENCE種類,0f代表長度是15（0 x0f）個字節(jié)10）“300d”第一個30代表字段是的SEQUENCE種類，長度是13（0 x0

26、d）字節(jié)（11）“06082b06010201010600”是variable-name1。06代表是OID種類，08代表有8個字節(jié)，“2b06010201010600”代表OID(0 x2b=43)“040132”是variable-value1。04代表OctetString，01代表有1個字節(jié)，32代表ASCII碼“2”。Trap幀頭目的MAC地點：000c2970b772源MAC地點：000c29d91f74(3)協(xié)議種類:0800為IP數(shù)據(jù)報IP數(shù)據(jù)報1）其中“45”：“4”代表IP協(xié)議的版本，說明是IPv4；“5”代表IP包的包頭長度為：5*4=20字節(jié)2）“00”代表服務種類（3

27、）“0061”代表IP數(shù)據(jù)報文總長（包含頭部及數(shù)據(jù)），這里是16進制表示6*16+1=97字節(jié)4）“1d26”、“0000”代表認證、標志；主要用于數(shù)據(jù)包的分段“0000”代表無偏移字段5）“80”代表存活時間是128（6）“11”這里代表的是傳輸層的報文協(xié)議，11代表報文協(xié)議UDP7）“6d14”報頭確認號27924（8）“c0a81780”代表源IP地點（9）“c0a81781”代表目的IP地點UDP數(shù)據(jù)報1）“0526”源端口13182）“00a2”目的端口1623）“004d”長度774）“87ea”校驗和SNMP數(shù)據(jù)報（1）“30”代表identifieroctets表示SNMP信息

28、是的SEQUENCE種類（2）“43”代表這個SNMP報文的總長度是67（0 x43）個字節(jié)。（3）“020101”表示版本號，進行BER解碼：02代表是INTEGER種類，01代表該字段占1個字節(jié)，00表示版本號，該值為“v2c(1)”（4）“04067075626c6963”表示集體名，04表示該字段為OCTETSTRING種類，06代表占6個字節(jié)，7075626c6963分別代表ASCII碼的十六進制形式，在這里代表“public”。5）“a736”a7代表PDUtype為trap36代表后邊還有54（0 x36）個字節(jié)的數(shù)據(jù)（6）“0204153ce2e2”表示requestID。02

29、表示是INTEGER種類，04代表有4個字節(jié)，153ce202代表requestID為8（0 x153ce2e2）（7）“020100”表示error-status,02代表是INTEGER種類，01代表有1個字節(jié)，00代表error-status的值為0（8）“020100”表示error-index，02代表是INTEGER種類，01代表有1個字節(jié)，00代表error-index的值為0.（9）“3028”第一個30代表字段是的SEQUENCE種類，長度是40（0 x28）字節(jié)（10）“300d”30表示variable-name1|variable-value1對是的SEQUENCE種類

30、，0d代表長度為13（0 x0d）字節(jié)（11）“06082b06010201010300”代表variable-name1。06代表OID,08代表8個字節(jié)，“2b06010201010300”(0 x2b=43)0100”43代表種類是Timeticks，代表variable-value1。01代表有1個字節(jié)，00代表Timeticks的值是0（12）“3017”30表示variable-name2|variable-value2對是的SEQUENCE種類，17代表長度為23（0 x17）字節(jié)“060a2b060106030101040100”代表variable-name2。06代表種類是

31、OID，0a代表10個字節(jié)，“2b060106030101040100”代表OID是092b0601060301010501”代表variable-value2。06代表是OID種類，09代表有9個字節(jié)，“2b0601060301010501”代表OID值Inform幀頭目的MAC地點：000c2970b772源MAC地點：000c29d91f74(3)協(xié)議種類:0800為IP數(shù)據(jù)報IP數(shù)據(jù)報1）其中“45”：“4”代表IP協(xié)議的版本，說明是IPv4；“5”代表IP包的包頭長度為：5*4=20字節(jié)2）“00”代表服務種類（3）“0061”代表IP數(shù)據(jù)報文總長（包含頭部及數(shù)據(jù)），這里是16進制表示6*16+1=97字節(jié)4）“1f0e”代表認證、標志、段偏移；主要用于數(shù)據(jù)包的分段“0000”代表無偏移字段5）“80”代表存活時間是128（6）“11”這里代表的是傳輸層的報文協(xié)議，11代表報文協(xié)議UDP7）“6b2c”報頭確認號27436（8）“c0a81780”代表源IP地點（9）“c0a81781”代表目的IP地點UDP數(shù)