在 Wireshark 抓包中显示 snmp mib 名
2010年12月9日
没有评论
Wireshark 是最富盛名的开源抓包工具了,在电信网管开发的日常工作中是不可或缺的,经常需要抓包分析。那有没有办法可以在抓到的包中直接显示 snmp mib 的名字,而不是 OID 呢?办法当然是有的,也很简单,在官方的文档里面就有说明了。这里讲下实际配置步骤:
1. 把 mib 文件放到 “C:\Program Files\Wireshark\snmp\mibs” 目录下。
2. 打开 “%APPDATA%\Wireshark\smi_modules” 文件,在里面按原有的格式,添加mib名字。
3. 修改 Wireshark 的配置,选中 “Enable OID resolution”,”Suppress SMI errors”(如下图)。修改之后关闭再重新打开 Wireshark 就生效了。
注意事项:
1. 如果看到的配置界面跟上面的不一样的话,是 Wireshark 版本太低了,升级到最新的版本即可。
2. 不是所有的 mib 文件都能被正确的解析,这是一个已知问题,因为其用的开源的 mib 解析模块 libsmi 有问题。如果发现加了某几个 mib 之后 Wireshark 就启动不了了,那就还是把改动回退吧。
另外,因为要求 mib 文件的名字必须是 mib 模块的名字,但是存在文件名和模块名不一致的情况,写了个 groovy 脚本,对指定目录下的 mib 文件进行重命名:
import java.util.regex.* def dir = new File('''C:\Program Files\Wireshark\snmp\mibs''') def pattern = ~/(?ms).*^\s*([\w\-]+)\s*DEFINITIONS ::= BEGIN\s*$.*/ dir.eachFileRecurse{ f -> if ( f.file && f.name.endsWith(".mib") ) { Matcher m = pattern.matcher( f.getText() ); if (m.matches()) { f.renameTo( f.parentFile.path + "\\" + m[0][1] ) println '"' + m[0][1] + '"' } } }