SNMP报文抓取及分析

SNMP报文获取与分析

班级：网络工程12-1班

学号：08123536

姓名：赵怀庆

SNMP报文抓取及分析

关于本次SNMP报文抓取及分析工作，我大致上分为三个步骤进行：准备工作；报文抓取及报文分析。

一．准备工作

1.SNMP协议的安装

以WINDOW7系统为例：

点击确认进行协议安装。

2.启动SNMP服务：

在计算机关服务界面中，选择SNMP Service进行开启服务，双击进行配置，如下：

在安全选项卡中做如上配置。

3.下载并安装snmputil工具

安装路径为C盘下Windows下System32文件夹。关于snmputil的使用请见（附件）。4.关于SNMP数据包的接收，我用了虚拟机中WINDOW 2000操作系统，SNMP协议的安

装及服务的开启与上述WINDOW 7系统类似。查看虚拟机IP地址：

二．报文抓取

1.准备工作就绪以后，就可以进行SNMP报文的抓取了，在WINDOW 7中cmd使用snmputil 工具进行发包：

2.同时在Wireshark中进行抓包:

三．报文分析

目的MAC：00 0c 29 2f fc e3

源MAC：00 50 56 c0 00 08

协议类型：08 00 ，为IP数据报

IP报头：45 00 00 44 02 09 00 00 40 11 bc cb c0 a8 9d 01 c0 a8 9d 82 45 IP协议版本4，报头长度20 bytes

00 00 44 总长度68（0x44）

02 09 确认号：512

00 00 标记字段0x00 无偏移字段

40 存活时间64

11 报文协议UPD

aa 26 报头确认号43558

b4 7c 0a 79 源IP地址180 124 10 121

c0 a8 11 81 目标IP地址192 168 17 129

UDP报头：c9 6b 00 a1 00 30 43 6f

C9 6b 源端口161

00 a1 目标端口161

00 30 长度181

43 6f 校验和

其余部分都为SNMP报文，接下来我们对照报文结构体来逐个分析一下：

30是identifier octets, 表示SNMP消息是ASN.1的SEQUENCE类型；

26表示该SNMP报文的总长度是38(0x26)个字节，该字段所表示的报文长度起始于它后面的第一个字节直到报文结束；

02 01 00 表示版本号，可见其确实为BER编码方式。02表示该字段是INTEGER类型；01表示该字段占1个字节；00表示版本号，该值为“版本号-1”；

04 06 70 75 62 6c 69 63 表示团体名，04表示该字段为OCTETSTRING类型；06表示该字段占6个字节；70 75 62 6c 69 63表示团体名的ANSII码的十六进制形式，这里是“public”；

a1 19 其中a1表示PDU type为Get Next Request(1)；19表示后面还有25(0x19)个字节的数据；

02 01 04表示Request ID为0x04；

02 01 00表示error-statue为0；

02 01 00表示error-index为0；

30 0e是ASN.1的SEQUENCE类型；

30 0c表示variable-name1|variable-value1对是ASN.1的SEQUENCE类型；长度是12（0x0c）字节；

06 08表示字段是ASN.1的Object Identifier类型；

2b 06 01 02 01 01 03 00表示variable-name 1: .1.3.6.1.2.1.1.3.0;

05 00为ASN.1的null类型。

（附件）

snmputil.exe工具的使用2012-09-06 17:15:57

一、检查windows 系统是否安装了 snmp 组件。可以在 cmd 中输入"net start snmp" 就可以出现显示信息了

二、命令解释

snmputil，就是程序名啦。

get，就理解成获取一个信息。

getnext，就理解成获取下一个信息。

walk，就理解成获取一堆信息（嗯，应该说所有数据库子树/子目录的信息）agent，具体某台机器拉。

community，嗯就是那个“community strings”“查询密码”拉。

oid，这个要多说一下，这个呢，就是物件识别代码（Object Identifier）。可以把oid理解成MIB管理信息库中各种信息分类存放树资源的一个数字标识。

三、snmputil的命令规则是：

snmputil [get|getnext|walk] agent community oid [oid ...]

[get|getnext|walk]为消息类型，我们此次进行的操作是get

agent指Snmp代理即你想进行操作的网络设备的ip或名称，即192.168.10.191 community：分区域，即密码，默认是public

oid：想要操作的MIB数据对象号，设备名称对应的MIB对象号

是.1.3.6.1.2.1.1.5.0

打开命令行窗口，进入snmputil所在路径，键入

snmputil get 192.168.10.191 public .1.3.6.1.2.1.1.5.0

如果参数都正确，控制台就会显示出机器名。

四、开始刺探信息：

snmputil walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名

snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息