⬜⬜⬜ 🐰🟧🟨🟩🟦🟪(*^▽^*)欢迎光临 🟧🟨🟩🟦🟪🐰⬜⬜⬜
✏️write in front✏️
📝个人主页:陈丹宇jmu
🎁欢迎各位→点赞👍 + 收藏⭐️ + 留言📝
🙉联系作者🙈by QQ:813942269🐧
🌈致亲爱的读者:很高兴你能看到我的文章,希望我的文章可以帮助到你,祝万事顺意🏳️🌈
✉️少年不惧岁月长,彼方尚有荣光在 🏆
🚀write in front🚀
一、实验目的
学习捕获SNMP报文,通过报文分析理解SNMP协议的工作过程。
二、实验内容与设计思想
实验内容:编写代码,测试
1)使用snmputilg发送SNMP数据包; 使用wireshark抓包;使用netstat -an查看代理站TCP/UDP连接表,分析并验证SNMP协议的工作过程;
2)自行挑选MIB-2功能组中IP、ICMP、TCP、UDP等的管理对象(要有列对象),抓包分析其SNMP协议工作过程。
3)查找标量对象标识符.1.3.6.1.2.1.11.13是什么对象,其实例标识符是什么?若连续多次GET这个实例标识符,得到的值有什么变化?请抓包分析其PDU格式。请截图说明。
三、实验要求:
撰写实验报告,给出实验小结,问题分析。实验课后5天提交。
四、实验使用环境
操作系统:Microsoft Windows 7/8/10/11
设计环境:Windows SNMP服务,MIB Browser,Whireshark3.4
📋笔记目录
🚀write in front🚀
🌸抓包分析IP组对象实例
📒抓包分析IP组对象中的ipForwarding(1)的get-request 请求报文
📘抓包分析IP组对象中的ipForwarding(1)的get-respond请求报文
📙结论
🚩结尾
🌸抓包分析IP组对象实例
📒抓包分析IP组对象中的ipForwarding(1)的get-request 请求报文
根据TLV中T的编码规则,解释下图中get-request的编码依据。
答:
1、从RFC1157文档(SNMPv1协议的规范文件),查看get-request的ASN.1(抽象语法表示,见“2.1 网络数据表示”)语法。
RFC1157 GetRequst - PDU如下:
4.1.2.The GetRequest-PDU定义如下图所示:
定义中[0]表明GetRequest的标签为“上下文专用标签”,标签值为0;类型为SEQUENCE,是构造类型。
IMPLICIT(隐含标签)指用新标签替换老标签,因此编码时只编码新标签(即上下文专用标签)。
2、根据BER(基本编码规则,Basic Encoding Rule)进行编码。
BER把ASN.1表示的抽象类型值编码为TLV结构的字符串。
2.1 第一部分T的结构为:
根据前面分析:
1)GetRequest的标签为“上下文专用标签”,因此前两位(标签)为10。
2)类型为SEQUENCE,是构造类型,因此第三位类型值为1。
3)“[0]”表示标签值为0,因此后五位为00000。
由此可见,TLV中第一个字节T的值为二进制10 1 00000,即1010 0000,对应十六进制数为a0。
总结:【10(CONTEXT SPECIFIC)+1(构造类型)+00000([0])】,即1010 0000B,a0H。
2.2 第二部分L表示值V的长度。本题中GetRequest PDU的长度为1dH,即十进制29个字节。
2.3 第三部分V表示GetRequest PDU的值,即协议数据单元的内容。根据BER定义,TLV结构的V,可以递归地再编码为TLV结构。
Request-id是 INTEGER 类型,因此 T 字段的前 2 位都是 00,INTEGER 类型是简单类型,第 3 位是 0,INTEGER 类型的标签号是 2,后 5 位是00000,因此 T 字段都是 02。因为Request-id、的 V 字段值为374603364,转换为16进制为16 53 FE 64,长度为4字节,所以 L 字段的值为 4。所以 Request-id 的编码为 02 04 16 53 FE 64。
同理得
error-status 和 error-index都是 INTEGER 类型,因此 T 字段的前 2 位都是 00,INTEGER 类型是简单类型,第 3 位是 0,INTEGER 类型的标签号是 2,后 5 位是00000,因此 T 字段都是 02。这 2个字段的长度都是 1 个字节,所以 L 字段的值为 1,Request-id、error-status 和error-index 的 V 字段值分别为 0、0。所以error-status 和 error-index的编码都为 02 01 00。
关于 variable-bindings 格式,在 RFC1157 中也可以找到其定义,在 4.1.1 中有写到。
variable-bindings 类型为 SEQUENCE 是构造类型,是通用标签
UNIVERSAL,因此前两位(标签)为 00,类型为简单类型,第三位为 0,标签值为 16,后五位为 10000。T 字段为的值为 00110000,对应十六进制数为 30。variable-bindings 的值有15个字节,所以 L 字段的值为 00001111,十六进制为 0F。
所以variable-bindings的编码如下图所示:
variable-bindings 下的第一个是 Object Name,类型是 OBJECT IDENTIFIER 为通用标签 UNIVERSAL,标签值为 6。因此前两位(标签)为00,类型为简单类型,第三位为 0,标签值为 6,后五位为 00110。T字段为的值为 00000110,对应十六进制数为 06。variable-bindings 的值有9个字节,所以 L 字段的值为 00001001,十六进制为 09。V 字段的值为 oid,也就是.3.6.1.2.1.2.2.1.4。Value 的值是 NULL,NULL 类型只有一个值 NULL,其标签是 UNIVERSAL 5。由于这个类型是空类型,无需存储或传送它的值,第二个字节 00 表示值长度为 0。
📘抓包分析IP组对象中的ipForwarding(1)的get-respond请求报文
GetResponse-PDU 在 RFC 文档中的定义如下图所示:
定义中 [2] 表明 GetResponse 的标签为“上下文专用标签”,标签值为2。类型为 SEQUENCE 序列类型,这是一种构造类型。IMPLICIT(隐含标签)指用新标签替换老标签,因此编码时只编码新标签(即上下文专用标签)。
根据 BER 编码规则,GetResponse 的标签为“上下文专用标签”,前两位(标签)为 10。类型为SEQUENCE是构造类型,因此第三位类型值为 1。“[2]”表示标签值为 2,因此后五位为00010。T 字段的值为二进制 10100010,对应十六进制数为 a2。
这次抓到的包的长度为29个字节,十六进制表示为1dH。
在error-status显示的值为 noSuchName,错误的反馈的解释为操作使用了一个不存在的变量,因为这里是出错了,所以在get-respond的返回值中并没有得出对端相应的管理信息,Value的值为NULL。
原因分析:
查看ipForwarding的定义为:该实体是否作为Lp网关对该实体接收到的数据报进行转发而不是发送给该实体的指示。IP网关转发数据报。IPhostsdo(通过主机路由源除外)。请注意,对于某些托管节点,该对象只能接受可能值的一个子集。因为管理的对端是不作为网关进行转发数据的,因此响应的结果才是错误的信息。
📙结论
请求的网管设备是不作为网关转发数据的。
🚩结尾
🎁欢迎各位→点赞👍 + 收藏⭐️ + 留言📝
🌈写给读者:很高兴你能看到我的文章,希望我的文章可以帮助到你,祝万事顺意🏳️🌈
