网络管理实验报告 抓取SNMP

./SNMP报文获取与分析中国矿业大学计算机学院任课教师：顾军目录1SNMP环境配置………………11.1安装SNMP…………………11.2配置SNMP…………………21.3测试SNMP…………………52报文抓取……………………62.1准备工作……………………62.2发送SNMP包………………63报文分析……………………113.1get-next-request………113.2get-response……………133.3get-request………………163.4getbulkrequest…………183.5set-request………………203.6trap………………………223.7Inform……………………24.SNMP环境配置我们采用Windowsxp作为SNMP协议的使用环境。1.1安装SNMP打开添加/删除Windows组件,选择管理和监视工具,在"详细信息"里面,将WMISNMP提供程序、简单网络管理协议打上勾,点击确定。安装过程中需要使用snmpforxp的安装包。1.2配置SNMP找到计算机管理,找到SNMPService,右击得到属性。设置团体名称并设置访问权限,并确定可以接受哪些主机发来的SNMP数据包。1.3测试SNMP这里使用snmputil工具进行简单测试。找到该虚拟机的ip地址,[利用ipconfig命令获得]根据snmputil的命令规则snmputil[get|getnext|walk]agentcommunityoid[oid...][get|getnext|walk]为消息类型,我们此次进行的操作是getcommunity：分区域,即密码,默认是public在snmputil所在路径下,输入：snmputilget本机的ip的值如果正确,则会得到本机的电脑名称。2报文抓取2.1准备工作准备两台配置好SNMP协议的WindowsXP虚拟机,其中一台安装Wireshark用于抓包。我们使用snmputil工具进行抓包。〔注意：两台虚拟机的防火墙要关闭2.2发送SNMP包〔1输入参数参数说明：walk获取一堆信息〔所有数据库子树/子目录的信息192.168.23.129目的IP地址〔要获取的目的的主机的IP地址public〔团体名.1.3.6.1.2.1.1〔物件识别代码代表列出系统信息可以得到SNMP的getnextrequest和getresponse报文〔2参数说明：get可以理解为获取一个信息192.168.23.129目标主机IP地址public团体名.1.3.6.1.4.1.77.1.4.1.0〔物件识别代码列出系统的域名可以得到SNMP的getrequest和getresponse〔3使用MIB-browser设置Address为可以得到SNMP的GetBulk和GetResponse〔4使用IReasoningMIB-browser执行set操作,得到Set-Request报文。〔5发送Trap报文发送SNMPv2Trap报文。〔6发送Inform报文3报文分析3.1get-next-request帧头以太网帧头：<1>目的MAC：000c2970b772<2>源MAC：000c29d91f74<3>协议类型：0800,为IP数据报3.1.2IP数据报IP报头450000420f7f000080117adac0a81780c0a81781〔1其中45："4"代表IP协议的版本,说明是IPv4；"5"代表IP包的长度为：5*4=20字节〔2"00"代表服务类型〔3"0042"代表IP数据报文总长〔包含头部及数据,这里是16进制表示4*16+2=66字节〔4"0f7f"、"0000"代表认证、标志、段偏移；主要用于数据包的分段"0000"代表无偏移字段〔5"80"代表存活时间是128〔6"11"这里代表的是传输层的报文协议,11代表报文协议UDP〔7"7ada"报头确认号31450〔8"c0a81780"代表源IP地址192.168.23.128〔9"c0a81781"代表目的IP地址13.1.3UDP数据报UDP报头：055500a1002e1818〔1"0555"源端口1365〔2"00a1"目的端口161〔3"002e"长度46〔4"1818"校验和3.1.4SNMP数据报"30"代表identifieroctets表示SNMP消息是ASN.1的SEQUENCE类型"24"代表这个SNMP报文的总长度是36〔0x24个字节。"020100"表示版本号,进行BER解码：02代表是INTEGER类型,01代表该字段占1个字节,00表示版本号,该值为"版本号-1""04067075626c6963"表示团体名,04表示该字段为OCTETSTRING类型,06代表占6个字节,7075626c6963分别代表ASCII码的十六进制形式,在这里代表"public"。"a117"a1代表PDUtype为GetNextRequest〔117代表后面还有23〔0x17个字节的数据"020101"表示requestID,02代表是INTEGER类型,01代表有1个字节,01代表RequestID的值为1〔0x01"020100"表示error-status,02代表是INTEGER类型,01代表有1个字节,00代表error-status的值为0"020100"表示error-index,02代表是INTEGER类型,01代表有1个字节,00代表error-index的值为0."300c"表示variable-name1|variable-value1对是ASN.1的SEQUENCE类型,长度是12个字节"300a"是ASN.1的SEQUENCE类型,长度是10〔0x0a字节"06062b0601020101"是variable-name1。"0606"第一个06代表字段是ASN.1的OID类型,第二个06代表长度是6个字节"2b0601020101"代表OID<0x2b=43>"0500"是variable-value1。表示空值Null3.2get-response3.2.1帧头<1>目的MAC地址：000c29d91f74<2>源MAC地址：000c2970b772<3>协议类型:0800为IP数据报3.2.2IP数据报〔1其中45："4"代表IP协议的版本,说明是IPv4；"5"代表IP包的长度为：5*4=20字节〔2"00"代表服务类型〔3"00c7"代表IP数据报文总长〔包含头部及数据,这里是16进制表示12*16+7=199字节〔4"0327"、"0000"代表认证、标志:主要用于数据包的分段"0000"代表无偏移字段〔5"80"代表存活时间是128〔6"11"这里代表的是传输层的报文协议,11代表报文协议UDP〔7"86ad"报头确认号34477〔8"c0a81781"代表源IP地址192.168.23.129〔9"c0a81780"83.2.3UDP数据报〔1"00a1"源端口161〔2"0555"目的端口1365〔3"00b3"长度179〔4"6737"校验和3.2.4SNMP数据报"30"代表identifieroctets表示SNMP消息是ASN.1的SEQUENCE类型"81a8"代表这个SNMP报文的总长度超过了127,0x81a8=1000000110101000代表长度为0xa8即168个字节"020100"表示版本号,进行BER解码：02代表是INTEGER类型,01代表该字段占1个字节,00表示版本号,该值为"版本号-1""04067075626c6963"表示团体名,04表示该字段为OCTETSTRING类型,06代表占6个字节,7075626c6963分别代表ASCII码的十六进制形式,在这里代表"public"。"a2819a"a2代表PDUtype为GetResponse〔2819a即1000000110011010代表后面还有154〔0x81个字节的数据"020101"表示requestID,02代表是INTEGER类型,01代表有1个字节,01代表RequestID的值为1〔0x01"020100"表示error-status,02代表是INTEGER类型,01代表有1个字节,00代表error-status的值为0"020100"表示error-index,02代表是INTEGER类型,01代表有1个字节,00代表error-index的值为0."30818e"表示variable-name1|variable-value1对是ASN.1的SEQUENCE类型,长度是142〔0x8e字节"30818b"第一个30代表字段是ASN.1的SEQUENCE类型,81和8b代表长度为139〔0x8b字节"06082b06010201010100"是variable-name1。"0608"第一个06代表字段是ASN.1的OID类型,第二个08代表长度是8个字节"2b06010201010100"代表OID047f48617264776172653a20783836204661Hardware:x86Fa6d696c792036204d6f64656c20393420mily6Model945374657070696e6720332041542f4154Stepping3AT/AT20434f4d50415449424c45202d20536fCOMPATIBLE-So6674776172653a2057696e646f777320ftware:Windows323030302056657273696f6e20352e312000Version5.120284275696c64203236303020556e69<Build2600Uni70726f636573736f72204672656529processorFree>是variable-value1。其中：04代表是字符串类型的编码7f代表后面有127个字节后面的十六进制数根据ASCII码转换成字符已经用斜体标出。3.3get-request我们利用第二次发包抓取到的包进行分析。3.3.1帧头目的MAC地址：000c2970b772源MAC地址：000c29d91f74协议类型:0800为IP数据报3.3.2IP数据报〔1其中45："4"代表IP协议的版本,说明是IPv4；"5"代表IP包的长度为：5*4=20字节〔2"00"代表服务类型〔3"0046"代表IP数据报文总长〔包含头部及数据,这里是16进制表示4*16+6=70字节〔4"010e"、"0000"代表认证、标志:主要用于数据包的分段"0000"代表无偏移字段〔5"80"代表存活时间是128〔6"11"这里代表的是传输层的报文协议,11代表报文协议UDP〔7"8947"报头确认号35143〔8"c0a81780"代表源IP地址192.168.23.128〔9"c0a81781"93.3.3UDP数据报〔1"043d"源端口1085〔2"00a1"目的端口161〔3"0032"长度50〔4"12c7"校验和3.3.4SNMP数据报"30"代表identifieroctets表示SNMP消息是ASN.1的SEQUENCE类型"28"代表这个SNMP报文的总长度是40〔0x28个字节。"020100"表示版本号,进行BER解码：02代表是INTEGER类型,01代表该字段占1个字节,00表示版本号,该值为"版本号-1""04067075626c6963"表示团体名,04表示该字段为OCTETSTRING类型,06代表占6个字节,7075626c6963分别代表ASCII码的十六进制形式,在这里代表"public"。"a01b"a1代表PDUtype为GetRequest〔01b代表后面还有27〔0x1b个字节的数据"020101"表示requestID,02代表是INTEGER类型,01代表有1个字节,01代表RequestID的值为1〔0x01"020100"表示error-status,02代表是INTEGER类型,01代表有1个字节,00代表error-status的值为0"020100"表示error-index,02代表是INTEGER类型,01代表有1个字节,00代表error-index的值为0."3010"30表示variable-name1|variable-value1对是ASN.1的SEQUENCE类型,0e代表长度为16〔0x10字节"300e"第一个30代表字段是ASN.1的SEQUENCE类型,长度是14〔0x0e字节。"060a2b060104014d01040100"是variable-name1。06代表是OID类型,0a代表有10个字节,"2b060104014d01040100"代表OID"0500"是variable-value1。表示空值Null3.4getbulkrequest3.4.1帧头<1>目的MAC地址：000c2970b772<2>源MAC地址：000c29d91f74<3>协议类型:0800为IP数据报3.4.2IP数据报〔1其中"45"："4"代表IP协议的版本,说明是IPv4；"5"代表IP包的长度为：5*4=20字节〔2"00"代表服务类型〔3"003f"代表IP数据报文总长〔包含头部及数据,这里是16进制表示3*16+15=63字节〔4"2893"、"0000"代表认证、标志、段偏移；主要用于数据包的分段"0000"代表无偏移字段〔5"80"代表存活时间是128〔6"11"这里代表的是传输层的报文协议,11代表报文协议UDP〔7"61c9"报头确认号25033〔8"c0a81780"代表源IP地址192.168.23.128〔9"c0a81781"93.4.3UDP数据报〔1"056e"源端口1390〔2"00a1"目的端口161〔3"002b"长度43〔4"7b90"校验和3.4.4SNMP数据报"30"代表identifieroctets表示SNMP消息是ASN.1的SEQUENCE类型"21"代表这个SNMP报文的总长度是33〔0x21个字节。"020101"表示版本号,进行BER解码：02代表是INTEGER类型,01代表该字段占1个字节,00表示版本号,该值为"v2c<1>""04067075626c6963"表示团体名,04表示该字段为OCTETSTRING类型,06代表占6个字节,7075626c6963分别代表ASCII码的十六进制形式,在这里代表"public"。"a514"a1代表PDUtype为GetRequest〔014代表后面还有20〔0x14个字节的数据"02020415"代表request-id,第一个"02"代表是INTEGER类型,第二个"02"代表有2个字节,"0415"代表Request-id是1045〔0x0415"020100"代表non-repeaters,"02"代表是INTEGER类型,"01"代表有1个字节,"00"代表non-repeaters的值是0。"02010a"代表max-repetitions,"02"代表是INTEGER类型,"01"代表有1个字节,"0a"代表max-repeaters的值是10。"3008"30表示variable-name1|variable-value1对是ASN.1的SEQUENCE类型,08代表长度为8〔0x08字节。"3006"第一个30代表字段是ASN.1的SEQUENCE类型,长度是6〔0x06字节"06022b06"是variable-name1。代表OID<0x2b=43>06代表是OID类型,02代表有2个字节,2b和06表明了OID的值是"0500"是variable-value1。表示空值Null3.5set-request3.5.1帧头<1>目的MAC地址：000c2970b772<2>源MAC地址：000c29d91f74<3>协议类型:0800为IP数据报3.5.2IP数据报〔1其中"45"："4"代表IP协议的版本,说明是IPv4；"5"代表IP包的长度为：5*4=20字节〔2"00"代表服务类型〔3"0048"代表IP数据报文总长〔包含头部及数据,这里是16进制表示4*16+8=72字节〔4"1a86"代表认证、标志；主要用于数据包的分段"0000"代表无偏移字段〔5"80"代表存活时间是128〔6"11"这里代表的是传输层的报文协议,11代表报文协议UDP〔7"6fcd"报头确认号28621〔8"c0a81780"代表源IP地址192.168.23.128〔9"c0a81781"93.5.3UDP数据报〔1"046a"源端口1130〔2"00a1"目的端口161〔3"0034"长度52〔4"219c"校验和3.5.4SNMP数据报"30"代表identifieroctets表示SNMP消息是ASN.1的SEQUENCE类型"2a"代表这个SNMP报文的总长度是36〔0x2a个字节。"020100"表示版本号,进行BER解码：02代表是INTEGER类型,01代表该字段占1个字节,00表示版本号,该值为"版本号-1""04067075626c6963"表示团体名,04表示该字段为OCTETSTRING类型,06代表占6个字节,7075626c6963分别代表ASCII码的十六进制形式,在这里代表"public"。"a31d"a1代表PDUtype为SetRequest〔31d代表后面还有29〔0x1d个字节的数据"0204674e4309"表示requestID。02表示是INTEGER类型,04代表有4个字节,674e4309代表requestID为1733182217〔0x674e4309"020100"表示error-status,02代表是INTEGER类型,01代表有1个字节,00代表error-status的值为0"020100"表示error-index,02代表是INTEGER类型,01代表有1个字节,00代表error-index的值为0."300f"表示variable-name1|variable-value1对是ASN.1的SEQUENCE类型,0f代表长度是15〔0x0f个字节"300d"第一个30代表字段是ASN.1的SEQUENCE类型,长度是13〔0x0d字节"06082b06010201010600"是variable-name1。06代表是OID类型,08代表有8个字节,"2b06010201010600"代表OID"040132"是variable-value1。04代表OctetString,01代表有1个字节,32代表ASCII码"2"。3.6Trap3.6.1帧头<1>目的MAC地址：000c2970b772<2>源MAC地址：000c29d91f74<3>协议类型:0800为IP数据报3.6.2IP数据报〔1其中"45"："4"代表IP协议的版本,说明是IPv4；"5"代表IP包的长度为：5*4=20字节〔2"00"代表服务类型〔3"0061"代表IP数据报文总长〔包含头部及数据,这里是16进制表示6*16+1=97字节〔4"1d26"、"0000"代表认证、标志；主要用于数据包的分段"0000"代表无偏移字段〔5"80"代表存活时间是128〔6"11"这里代表的是传输层的报文协议,11代表报文协议UDP〔7"6d14"报头确认号27924〔8"c0a81780"代表源IP地址192.168.23.128〔9"c0a81781"93.6.3UDP数据报〔1"0526"源端口1318〔2"00a2"目的端口162〔3"004d"长度77〔4"87ea"校验和3.6.4SNMP数据报"30"代表identifieroctets表示SNMP消息是ASN.1的SEQUENCE类型"43"代表这个SNMP报文的总长度是67〔0x43个字节。"020101"表示版本号,进行BER解码：02代表是INTEGER类型,01代表该字段占1个字节,00表示版本号,该值为"v2c<1>""04067075626c6963"表示团体名,04表示该字段为OCTETSTRING类型,06代表占6个字节,7075626c6963分别代表ASCII码的十六进制形式,在这里代表"public"。"a736"a7代表PDUtype为trap36代表后面还有54〔0x36个字节的数据"0204153ce2e2"表示requestID。02表示是INTEGER类型,04代表有4个字节,153ce202代表requestID为356311778〔0x153ce2e2"020100"表示error-status,02代表是INTEGER类型,01代表有1个字节,00代表error-status的值为0"020100"表示error-index,02代表是INTEGER类型,01代表有1个字节,00代表error-index的值为0."3028"第一个30代表字段是ASN.1的SEQUENCE类型,长度是40〔0x28字节"300d"30表示variable-name1|variable-value1对是ASN.1的SEQUENCE类型,0d代表长度为13〔0x0d字节"06082b06010201010300"代表variable-name1。06代表OID,08代表8个字节,"2b06010201010300""430100"43代表类型是Timeticks,代表variable-value1。01代表有1个字节,00代表Timeticks的值是0"3017"30表示variable-name2|variable-value2对是ASN.1的SEQUENCE类型,17代表长度为23〔0x17字节"060a2b060106030101040100"代表variable-name2。06代表类型是OID,0a代表10个字节,"2b060106030101040100""06092b0601060301010501"代表variable-value2。06代表是OID类型,09代表有9个字节,"2b0601060301010501"3.7Inform帧头<1>目的MAC地址：000c2970b772<2>源MAC地址：000c29d91f74<3>协议类型:0800为IP数据报3.7.2IP数据报〔1其中"45"："4"代表IP协议的版本,说明是IPv4；"5"代表IP包的长度为：5*4=20字节〔2"00"代表服务类型〔3"0061"代表IP数据报文总长〔包含头部及数据,这里是16进制表示6*16+1=97字节〔4"1f0e"代表认证、标志、段偏移；主要用于数据包的分段"0000"代表无偏移字段〔5"80"代表存活时间是128〔6"11"这里代表的是传输层的报文协议,11代表报文协议UDP〔7"6b2c"报头确认号27436