Wireshark中的一些SNMP相关的过滤器  

转自

 

由于现在的工作是在网管产品上，时不时需要抓SNMP包来定位问题。原来我只知道‘snmp’这个过滤器，在数据量不多时，这个过滤器也够用了，但是一到产品环境下，那显示的条数还是太多了，每次要从那么多packet里找到你想要的包都要用search找一下，找完第一条，又找下一条，无聊啊... 

今天没啥事就google了一把，发现以前自己真的是土到家了，完全可以根据oid，或者value来进行过滤。

 

例子1： 根据request或者response 所绑定的oid来进行过滤

 

snmp.name contains 1.3.6.1.4.1.6387.9000.216.1.5.2.2.1.11

 

这是个非常有用的过滤器，因为SNMP里的get/set都是需要指定OID的。

 

如果只想输出response里的，可以加上个条件：

snmp.get_response && （snmp.name contains 1.3.6.1.4.1.6387.9000.216.1.5.2.2.1.11）

 

例子2： 根据response里value字段来过滤，这种情况下需要先知道value的类型，因为Wireshark过滤器里的snmp.value后面得有个类型才行（注意：SNMP的response里是可以有多个value的）

 

snmp.value.oid == 1.3.6.1.4.1.6387.400.10.16  只要response里有一个value,它的类型是OID，并且值是1.3.6.1.4.1.6387.400.10.16就输出到结果中 

 

snmp.value.int ==  123456 只要response里有一个value,它的类型是int，并且值是1234就输出到结果中 

 

snmp.value.octets contains "abc" 只要response里有一个value,它的类型是OctetString，并且值里包含了abc就输出到结果中 (注意，大小写在这里是一样的)

 

这里需要指出的是Wireshark里显示的OctetString类的值不是“abc"这样的格式，而是abc对应的ascii码得十六进制数值，比如 abc对应的就是616263

 

snmp.value.octets matches "^m" 只要response里有一个value,它的类型是OctetString，并且值是以m开头的话，就输出到结果中

snmp.value.octets matches "m$" 只要response里有一个value,它的类型是OctetString，并且值是以m结束的话，就输出到结果中

 

这里matches后面其实就个正则表达式，你可以发挥自己的想象去写。

 

这里是所有的SNMP过滤器的参考指南：