开心e点 » Wireshark

在 Wireshark 抓包中显示 snmp mib 名

dandan — Thu, 09 Dec 2010 01:42:50 +0000

Wireshark 是最富盛名的开源抓包工具了，在电信网管开发的日常工作中是不可或缺的，经常需要抓包分析。那有没有办法可以在抓到的包中直接显示 snmp mib 的名字，而不是 OID 呢？办法当然是有的，也很简单，在官方的文档里面就有说明了。这里讲下实际配置步骤：

1. 把 mib 文件放到 “C:\Program Files\Wireshark\snmp\mibs” 目录下。

2. 打开 “%APPDATA%\Wireshark\smi_modules” 文件，在里面按原有的格式，添加mib名字。

3. 修改 Wireshark 的配置，选中 “Enable OID resolution”，”Suppress SMI errors”（如下图）。修改之后关闭再重新打开 Wireshark 就生效了。

注意事项：

1. 如果看到的配置界面跟上面的不一样的话，是 Wireshark 版本太低了，升级到最新的版本即可。

2. 不是所有的 mib 文件都能被正确的解析，这是一个已知问题，因为其用的开源的 mib 解析模块 libsmi 有问题。如果发现加了某几个 mib 之后 Wireshark 就启动不了了，那就还是把改动回退吧。

参考阅读：1，2，3。

另外，因为要求 mib 文件的名字必须是 mib 模块的名字，但是存在文件名和模块名不一致的情况，写了个 groovy 脚本，对指定目录下的 mib 文件进行重命名：

import java.util.regex.*
def dir = new File('''C:\Program Files\Wireshark\snmp\mibs''')
def pattern = ~/(?ms).*^\s*([\w\-]+)\s*DEFINITIONS ::= BEGIN\s*$.*/
dir.eachFileRecurse{ f ->
	if ( f.file && f.name.endsWith(".mib") ) {
		Matcher m = pattern.matcher( f.getText() );
		if (m.matches()) {
			f.renameTo( f.parentFile.path + "\\" + m[0][1] )
			println '"' + m[0][1] + '"'
		}
	}
}

九月 28, 2009 -- 如何给 AdventNet Simulator 增加新的表以及数据 (0)
九月 7, 2009 -- [转] Wireshark的Pcap文件格式分析 (0)
九月 7, 2009 -- Wireshark hub 下抓不到包问题解决 (1)

[转] Wireshark的Pcap文件格式分析

baobao — Mon, 07 Sep 2009 04:08:41 +0000

转自：http://blog.chinaunix.net/u2/82392/showart_1870732.html

前段时间因工作要求，需要对各种数据包进行分析和操作，内容涉及网路协议分析，socket，文件操作等。在此分享下学习和实践的经验。

首先介绍下网络抓包、协议分析的必备软件Ethereal，新版（Wireshark）以下还以 Ethereal代之，目前最新版本已经支持在无线局域网抓包了。Linux和Windows均有对应安装包，它们分别是gcc和VC++编译的。不过 Windows下是基于Winpcap而Linux下则是Libcap。Ethereal作为网路协议分析、学习、开发的敲门软件，其使用技巧及其原理机制（BPF）网上都有比较详尽的介绍，当初我收集的相关资料随后也会上传，不再多说。下面主要介绍下Ethereal默认的*.pcap文件保存格式。

Pcap文件头24B各字段说明：

Magic：4B：0x1A 2B 3C 4D:用来标示文件的开始

Major：2B，0×02 00:当前文件主要的版本号

Minor：2B，0×04 00当前文件次要的版本号

ThisZone：4B当地的标准时间；全零

SigFigs：4B时间戳的精度；全零

SnapLen：4B最大的存储长度

LinkType：4B链路类型

常用类型：

0 BSD loopback devices, except for later OpenBSD
1            Ethernet, and Linux loopback devices
6            802.5 Token Ring
7            ARCnet
8            SLIP
9            PPP
10           FDDI
100         LLC/SNAP-encapsulated ATM
101         “raw IP”, with no link
102         BSD/OS SLIP
103         BSD/OS PPP
104         Cisco HDLC
105         802.11
108         later OpenBSD loopback devices (with the AF_value in network byte order)
113         special Linux “cooked” capture
114         LocalTalk

Packet 包头和Packet数据组成

字段说明：

Timestamp：时间戳高位，精确到seconds

Timestamp：时间戳低位，精确到microseconds

Caplen：当前数据区的长度，即抓取到的数据帧长度，由此可以得到下一个数据帧的位置。

Len：离线数据长度：网络中实际数据帧的长度，一般不大于caplen，多数情况下和Caplen数值相等。

Packet 数据：即 Packet（通常就是链路层的数据帧）具体内容，长度就是Caplen，这个长度的后面，就是当前PCAP文件中存放的下一个Packet数据包，也就是说：PCAP文件里面并没有规定捕获的Packet数据包之间有什么间隔字符串，下一组数据在文件中的起始位置。我们需要靠第一个Packet包确定。最后，Packet数据部分的格式其实就是标准的网路协议格式了可以任何网络教材上找得到。

========================================================

这里再把pcap文件头的结构定义添上：

typedef unsigned long  DWORD;
typedef unsigned short  WORD;
typedef unsigned char  BYTE;
 
typedef struct PCAP_FILE_HEADER
{
 DWORD magic;
 WORD versionMajor;
 WORD versionMinor;
 DWORD thisZone;
 DWORD sigfigs;
 DWORD snapLen;
 DWORD linkType;
}PcapFileHeader, *PPcapFileHeader;