如何解析 Perl 中的原始 SNMP 陷阱？

Question

几周前，我为我们的操作组编写了一个 SNMP 中继器。他们有一些只能向单个 IP 发送陷阱的愚蠢设备，我们有一个监控系统，可以监听多个 IP 的可用性。代码非常简单，本质上是：

while (recv($packet)) {
  foreach $target (@targets) {
    send($target, $packet);
  }
}

它基本上是有效的，但现在它不包含发起者 IP 的明显缺点是一个问题（显然第一类设备包含信息作为 varbind，而一些新类不包含）。

我想做的是把我的代码改成这样：

while ($server->recv($packet)) {
  my $obj = decompile($packet)
  if (!$obj->{varbind}{snmpTrapAddress}) {
    $obj->{varbind}{snmpTrapAddress} = inet_ntoa($server->peeraddr());
  }
  $packet = compile($obj);
  foreach $target (@targets) {
    send($target, $packet);
  }
}

换句话说，如果我的发件人不包括 snmpTrapAddress，请添加它。问题是我为 Perl 查看的每个 SNMP 包似乎都非常关注接收陷阱和执行获取的基础设施。

那么：是否有一个简单的 Perl 模块可以让我说“这是一个代表 snmp 陷阱的数据块。将其解码为我可以轻松操作的东西，然后将其重新编译回我可以通过网络抛出的 blob “？

如果你给出的答案是“使用 SNMP dummy”，你能提供这方面的例子吗？我可能只是瞎了眼，但从perldoc SNMP 的输出来看，我不知道如何以这种方式使用它。

编辑：

环顾一番后发现“SNMP 编码”实际上是 ASN.1 BER（基本编码规则）。基于此，我正在尝试使用 Convert::BER。我仍然欢迎任何简单的 SNMP 分解/编辑/重建技巧。

Answer 1

我从来没有找到完美的解决方案。 Net::SNMP::Message（Net::SNMP 的一部分）可能允许这样做，但似乎没有公开定义的接口，而且 Net::SNMP 接口似乎都不是特别相关。 NSNMP 最接近我所寻找的精神，但它很脆弱，不适用于我的开箱即用数据包，如果我要支持脆弱代码，它将是我自己的脆弱代码 = )。

Mon::SNMP 也很接近我要找的东西，但它也是开箱即用的。它似乎被放弃了，2001 年的最后一个版本和 2002 年开发人员的最后一个 CPAN 版本。当时我没有意识到，但我现在认为它已经坏了，因为 Convert::BER 的接口发生了变化它使用的模块。

Mon::SNMP 让我指向Convert::BER。几千次读取 Convert::BER POD、Mon::SNMP 源和 RFC 1157（尤其是 4.1.6，“Trap-PDU”）之后，我想出了这个代码作为概念证明做我想做的事。这只是概念证明（原因我将在代码之后详细说明），因此它可能并不完美，但我认为它可能为未来从事该领域工作的 Perl 人员提供有用的参考，所以这里是：

#!/usr/bin/perl

use Convert::BER;
use Convert::BER qw(/^(\$|BER_)/);

my $ber = Convert::BER->new();

# OID I want to add to the trap if not already present
my $snmpTrapAddress = '1.3.6.1.6.3.18.1.3';

# this would be from the incoming socket in production
my $source_ip = '10.137.54.253';

# convert the octets into chars to match SNMP standard for IPs
my $source_ip_str = join('', map { chr($_); } split(/\./, $source_ip));

# Read the binary trap data from STDIN or ARGV.  Normally this would
# come from the UDP receiver
my $d = join('', <>);

# Stuff my trap data into $ber
$ber->buffer($d);

print STDERR "Original packet:\n";
$ber->dump();

# Just decode the first two fields so we can tell what version we're dealing with
$ber->decode(
                SEQUENCE => [
                    INTEGER => \$version,
                    STRING => \$community,
                    BER => \$rest_of_trap,
                ],
) || die "Couldn't decode packet: ".$ber->error()."\n";

if ($version == 0) {
  #print STDERR "This is a version 1 trap, proceeding\n";

  # decode the PDU up to but not including the VARBINDS
  $rest_of_trap->decode(
    [ SEQUENCE => BER_CONTEXT | BER_CONSTRUCTOR | 0x04 ] =>
      [
        OBJECT_ID => \$enterprise_oid,
        [ STRING => BER_APPLICATION | 0x00 ] => \$agentaddr,
        INTEGER => \$generic,
        INTEGER => \$specific,
        [ INTEGER => BER_APPLICATION | 0x03 ] => \$timeticks,
        SEQUENCE => [ BER => \$varbind_ber, ],
      ],
  ) || die "Couldn't decode packet: ".$extra->error()."\n";;

  # now decode the actual VARBINDS (just the OIDs really, to decode the values
  # We'd have to go to the MIBs, which I neither want nor need to do
  my($r, $t_oid, $t_val, %varbinds);
  while ($r = $varbind_ber->decode(
    SEQUENCE => [
      OBJECT_ID => \$t_oid,
      ANY       => \$t_val,
    ], ))
  {
    if (!$r) {
      die "Couldn't decode SEQUENCE: ".$extra->error()."\n";
    }
    $varbinds{$t_oid} = $t_val;
  }

  if ($varbinds{$snmpTrapAddress} || $varbinds{"$snmpTrapAddress.0"}) {
    # the original trap already had the data, just print it back out
    print $d;
  } else {
    # snmpTrapAddress isn't present, create a new object and rebuild the packet
    my $new_trap = new Convert::BER;
    $new_trap->encode(
      SEQUENCE => [
        INTEGER => $version,
        STRING => $community,
        [ SEQUENCE => BER_CONTEXT | BER_CONSTRUCTOR | 0x04 ] =>
          [
            OBJECT_ID => $enterprise_oid,
            [ STRING => BER_APPLICATION | 0x00 ] => $agentaddr,
            INTEGER => $generic,
            INTEGER => $specific,
            [ INTEGER => BER_APPLICATION | 0x03 ] => $timeticks,
            SEQUENCE => [
              BER => $varbind_ber,
              # this next oid/val is the only mod we should be making
              SEQUENCE => [
                OBJECT_ID => "$snmpTrapAddress.0",
                [ STRING => BER_APPLICATION | 0x00 ] => $source_ip_str,
              ],
            ],
          ],
      ],
    );
    print STDERR "New packet:\n";
    $new_trap->dump();
    print $new_trap->buffer;
  }
} else {
  print STDERR "I don't know how to decode non-v1 packets yet\n";
  # send back the original packet
  print $d;  
}

所以，就是这样。这是踢球者。我接受了他们的话，他们没有在陷阱中获得原始发件人的 IP。在处理这个示例时，我发现，至少在他们给我的示例中，原始 IP 位于陷阱中的 agent-addr 字段中。在向他们展示了这个以及他们在工具的 API 中使用它的位置之后，他们开始尝试最终做出改变。我正在对上面的代码进行测试，因为他们要求我提供一些我实际上需要在数据包中添加的东西，但是现在上面的代码仍然是未经严格测试的概念验证代码。希望有一天它对某人有所帮助。

Answer 2

你试过NSNMP吗？

Answer 3

一定要检查 SNMP_Session。

http://code.google.com/p/snmp-session/

请务必点击旧分发站点的链接，该站点有几个示例。

我基本上在 Mon::SNMP、Convert::BER、TCP/IP Illustrated 等方面走过了相同的道路。SNMP_Session 是我唯一能够工作的东西。通过工作，我的意思是接受 UDP 端口 162 上的 SNMP 陷阱并将其解码为字符串等价物以进行日志记录，而无需重新发明几个轮子。我只使用接收陷阱功能，但我认为它也可以做你想做的事。

它在 Google Code 上，而不是 CPAN，所以有点难找。