SNMP报文分析.docxVIP

SNMP报文分析一、配置SNMP协议的使用环境1、主机Windows10的配置安装SNMP协议配置并打开SNMP Service服务2、目标机Windows XP的配置配置过程和Windows10下类似，此处不再赘述目标机的ip地址为192.168.72.129目标机的计算机名为二、利用Wireshark抓取 SNMP协议包1、下载安装snmputil.exe和wireshack2、利用snmputil工具发送snmp数据包snmputil命令规则：[get|getnext|walk]为消息类型，我们此次进行的操作是getagent指Snmp代理即你想进行操作的网络设备的ip或名称，即192.168.10.191community：分区域，即密码，默认是publicoid：想要操作的MIB数据对象号示例：snmputil walk 对方ip public .1.3.6.1.2.1.1.5.0列出计算机名snmputil walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息3、同时在wireshack中抓包三、报文分析选取No.27报文进行分析帧头00 0c 29 8c b0 d0 00 50 56 c0 00 08 08 0000 0c 29 8c b0 d0目的MAC00 50 56 c0 00 08源MAC：08 00协议类型，为IP数据报IP报头45 0000 44 69 b9 00 00 80 11 bf 1c c0 a8 48 01 c0 a848 8145 IP协议版本4，报头长度20 bytes 00 00 44总长度68（0x44）69 b9确认号：2706500 00标记字段0x00 无偏移字段80存活时间12811 报文协议UPD bf 1c报头确认号48924c0 a8 48 01源IP地址192.168.72.1c0 a8 48 81目标IP地址192.168.72.129UDP报头f9 80 00 a1 00 30 be 5cf9 80源端口6387200 a1目标端口16100 30长度48be 5c校验和48732SNMP报文30 26 02 01 00 0406 70 75 62 6c 69 63 a1 19 02 01 03 02 01 00 0201 00 30 0e 30 0c 06 08 2b 06 01 02 01 01 02 0005 0030是identifier octets, 表示SNMP消息是ASN.1的SEQUENCE类型；26表示该SNMP报文的总长度是38(0x26)个字节，该字段所表示的报文长度起始于它后面的第一个字节直到报文结束；02 01 00表示版本号，可见其确实为BER编码方式。02表示该字段是INTEGER类型；01表示该字段占1个字节；00表示版本号，该值为“版本号-1”；04 06 70 75 62 6c 69 63表示团体名，04表示该字段为OCTETSTRING类型；06表示该字段占6个字节；70 75 62 6c 69 63表示团体名的ANSII码的十六进制形式，这里是“public”；a1 19 其中a1表示PDU type为Get Next Request(1)；19表示后面还有25(0x19)个字节的数据；02 01 03表示Request ID为0x03；02 01 00表示error-statue为0；02 01 00表示error-index为0；30 0e是ASN.1的SEQUENCE类型；30 0c表示variable-name1|variable-value1对是ASN.1的SEQUENCE类型；长度是12（0x0c）字节；06 08表示字段是ASN.1的Object Identifier类型；2b 06 01 02 01 01 02 00表示variable-name 1: .1.3.6.1.2.1.1.2.0; 05 00为ASN.1的null类型。