wireshark 抓包Trap上报告警内容

转载请注明出处：

　　SNMP Trap协议报文最大的特点是 “主动上报，来去匆匆” 。它打破了传统的“管理端问，设备端答”的模式，让网络设备在关键时刻能够主动、立即向管理端报告异常；

不同SNMP版本的Trap报文在格式和安全上有显著差异：

• SNMPv1 Trap：格式固定，包含企业、代理地址、通用/特定类型、时间戳和变量绑定等字段。

• SNMPv2c Trap：格式更灵活，使用一个单一的Trap OID来标识类型，不再区分“通用”和“特定”，并且引入了INFORM机制。

• SNMPv3 Trap：在v2c的基础上，增加了用户认证和加密功能，解决了前两个版本中团体名明文传输的安全风险，适用于对安全性要求较高的环境。

trap报文中的udp协议和snmp的关系

UDP 是“邮递员”,SNMP 是“信件内容”。

具体来说：

• UDP 协议负责“传输”：它规定了如何把报文从一台设备送到另一台设备，处理的是 IP 地址、端口号、数据长度这些网络层和传输层信息。

• SNMP 负责“内容”：它规定了报文里具体写了什么信息，比如 Trap 的类型、设备名称、时间戳、具体错误码等。

　　UDP 协议是 SNMP 报文的基础载体，而 SNMP 是封装在 UDP 数据部分的应用程序协议。要想对 Trap 报文进行完整的 SNMP 解码，必须先完成 UDP 协议的解码。

1. UDP 层：包裹本身

   • UDP 头部解码后，能看到两个关键信息：源端口（161 或 162） 和 目的端口（162）。

   • 关键点：Wireshark 这样的工具正是根据目的端口是 162，才判断出这个 UDP 包裹里装的是一封 SNMP Trap“信件”。这是 UDP 层对 SNMP 层最重要的意义。

2. SNMP 层：信件内容

   • 如果 UDP 层解析正确，工具就会尝试解析 UDP 负载（Payload）里的数据。

   • 此时，SNMP 解码器开始工作，读取内部的版本、团体名、PDU 类型等。如果成功，你才能在 Wireshark 里看到 Simple Network Management Protocol 下清晰的字段，比如 version: v2c, community: public, trap: linkDown 等。

抓包解析

抓包命令：

tcpdump -nl -i any src host 192.168.118.12 and udp port 60162 -w 12.pcap 

wireshark 设置和解析：

选中一个流，右键并解码为以下，将当前协议选为 SNMP ；然后就能看到解码之后的报文内容：

查看消息报文：