wireshark 抓snmp包
trap包
Wireshark SNMP Trap
過濾關鍵字:snmp && udp.dstport == 162
https://blog.csdn.net/pondbay/article/details/9425157 連不上
wireshark過濾器分為兩種,顯示過濾器和捕獲過濾器。顯示過濾器指的是針對已經捕獲的報文,過濾出符合過濾規則的報文;捕獲過濾器指的是提前設置好過濾規則,只捕獲符合過濾規則的報文。往往初次接觸wireshark,可能會分不清這兩種過濾規則,本文就簡單說明一下。
為什么wireshark使用兩套過濾器規則呢?原因在於wireshark使用winpcap或者libpcap第三方的報文捕獲庫來對網卡的報文進行捕獲,因此捕獲過濾器就沿用了這些第三方庫提供的捕獲過濾出規則。但是對於已經捕獲報文的解析和處理,wireshark本身構建了一套新的過濾規則,顯示過濾器。顯示過濾器比之捕獲過濾器要強大許多,在報文分析的過程中經常使用到,因此有必要了解下
原文鏈接:https://blog.csdn.net/javajiawei/article/details/83903059
由於現在的工作是在網管產品上,時不時需要抓SNMP包來定位問題。原來我只知道‘snmp’這個過濾器,在數據量不多時,這個過濾器也夠用了,但是一到產品環境下,那顯示的條數還是太多了,每次要從那么多packet里找到你想要的包都要用search找一下,找完第一條,又找下一條,無聊啊...
今天沒啥事就google了一把,發現以前自己真的是土到家了,完全可以根據oid,或者value來進行過濾。
例子1: 根據request或者response 所綁定的oid來進行過濾
snmp.name contains 1.3.6.1.4.1.6387.9000.216.1.5.2.2.1.11
這是個非常有用的過濾器,因為SNMP里的get/set都是需要指定OID的。
如果只想輸出response里的,可以加上個條件:
snmp.get_response && (snmp.name contains 1.3.6.1.4.1.6387.9000.216.1.5.2.2.1.11)
例子2: 根據response里value字段來過濾,這種情況下需要先知道value的類型,因為Wireshark過濾器里的snmp.value后面得有個類型才行(注意:SNMP的response里是可以有多個value的)
snmp.value.oid == 1.3.6.1.4.1.6387.400.10.16 只要response里有一個value,它的類型是OID,並且值是1.3.6.1.4.1.6387.400.10.16就輸出到結果中
snmp.value.int == 123456 只要response里有一個value,它的類型是int,並且值是1234就輸出到結果中
snmp.value.octets contains "abc" 只要response里有一個value,它的類型是OctetString,並且值里包含了abc就輸出到結果中 (注意,大小寫在這里是一樣的)
這里需要指出的是Wireshark里顯示的OctetString類的值不是“abc"這樣的格式,而是abc對應的ascii碼得十六進制數值,比如 abc對應的就是616263
snmp.value.octets matches "^m" 只要response里有一個value,它的類型是OctetString,並且值是以m開頭的話,就輸出到結果中
snmp.value.octets matches "m$" 只要response里有一個value,它的類型是OctetString,並且值是以m結束的話,就輸出到結果中
這里matches后面其實就個正則表達式,你可以發揮自己的想象去寫。
這里是所有的SNMP過濾器的參考指南:
【轉】https://www.cnblogs.com/diyunpeng/p/8506373.html
解決wireshark檢測不到網卡的問題
第一步
1、打開windows設備管理器。
2、查看-顯示隱藏的設備
3、非即插即用驅動程序
4、NetGroup Packet Filter Driver 右鍵屬性---驅動程序---啟動類型,修改類型為“系統”
第二步:
在cmd下輸入net start npf,打開網絡抓包服務
第三步:
運行wireshark ,此時網卡已經可以正常檢測到了
錯誤的 沒找到 非即插即用驅動程序
管理員用戶權限 還是找不到設備