どのように私はPerlで生のSNMPトラップを解析することができますか?
質問
数週間前、私は、我々のOPSグループのためのSNMPの中継器を書きました。彼らは、単一のIPにトラップを送信することができ、いくつかのダムのデバイスを持っている、と我々は、可用性のために複数のIPアドレスをリッスンし、監視システムを持っています。基本的に、コードの死者シンプル、かつます:
while (recv($packet)) {
foreach $target (@targets) {
send($target, $packet);
}
}
これは、基本的には、働いていますが、今明らかに短いが来て、それは発信元が含まれていないとIPは、問題(VARBINDといくつかの新しいクラスにはないと明らかにデバイスの最初のクラスは、情報を含む)である。
私は何をしたいのは、このような何かに私のコードを変更されます:
while ($server->recv($packet)) {
my $obj = decompile($packet)
if (!$obj->{varbind}{snmpTrapAddress}) {
$obj->{varbind}{snmpTrapAddress} = inet_ntoa($server->peeraddr());
}
$packet = compile($obj);
foreach $target (@targets) {
send($target, $packet);
}
}
私の送信者がsnmpTrapAddressを含めていない場合は、言い換えれば、それを追加します。問題は、私はPerlのために見てきたすべてのSNMPパッケージがトラップを受信し、取得を行うのインフラに非常に重点を置いているようだということです。
だから:私はここに、SNMPトラップを表すデータのブロブだ」と言うことを可能にする簡単なPerlモジュールがあり、その後、私は、ネットワークを介して投げることができますバックBLOBにそれを再コンパイルし、私は簡単に操作できる何かにそれをデコードします。 「?
あなたが与える答えは、あなたがこのの例を提供することができ、「SNMPのダミーを使用」されている場合は?私は盲目かもしれないが、はperldoc SNMPはどのようにそれは私には明らかではありませんをこの方法でそれを使用します。
EDITます:
は、「SNMPのエンコーディングが」本当にASN.1 BER(基本符号化規則)であることを少し周りを見た後判明します。これに基づき、私は変換と行く:: BERを抱えています。私はまだ/編集/ SNMPのためのヒントを再構築する任意の簡単なブレークダウン歓迎ます。
解決
私はこれまでの完璧な解決策を見つけたことはありません。ネット:: SNMP ::メッセージ(ネットの一部:: SNMP )これを許可しないかもしれないが、公に定義されたインタフェースを持っていないようだ、とネットのいずれ:: SNMPインターフェースは、特に、関連するように見えました。 NSNMP の私が探していたものの精神に近いですが、それは脆くだと、箱から出して私のパケットのために動作しませんでしたし、私は脆いコードをサポートするつもりならば、私自身の脆性コード=)になるだろう。
月:: SNMP にも近いものになりました私が探していたが、それはあまりにも箱から出して壊れていました。私が一度にそれを実現していなかった2001年の最後のリリースと2002年に開発者の最後CPANのリリースで、断念しているように見えるが、私は今、それが原因で変換するために、インターフェイスの変更により壊れていると思い:: BERそれが使用するモジュールます。
月:: SNMPは、私は変換:: BER <に向けました/>。数千の変換の読み込み:: BER POD、月:: SNMPのソース、および RFC 1157 >(ESP。4.1.6、「トラップPDU」)後に、私は私が望んで行うにはコンセプトの証明として、このコードを思い付きました。これは(コードの後、私はよ詳細な理由のための)概念の単なる証拠であるので、それは完璧ではないかもしれないが、私はそれがこの分野で働いて将来のPerlの人々のための便利なリファレンスを提供するかもしれないと思ったので、ここでは、次のとおりです。
#!/usr/bin/perl
use Convert::BER;
use Convert::BER qw(/^(\$|BER_)/);
my $ber = Convert::BER->new();
# OID I want to add to the trap if not already present
my $snmpTrapAddress = '1.3.6.1.6.3.18.1.3';
# this would be from the incoming socket in production
my $source_ip = '10.137.54.253';
# convert the octets into chars to match SNMP standard for IPs
my $source_ip_str = join('', map { chr($_); } split(/\./, $source_ip));
# Read the binary trap data from STDIN or ARGV. Normally this would
# come from the UDP receiver
my $d = join('', <>);
# Stuff my trap data into $ber
$ber->buffer($d);
print STDERR "Original packet:\n";
$ber->dump();
# Just decode the first two fields so we can tell what version we're dealing with
$ber->decode(
SEQUENCE => [
INTEGER => \$version,
STRING => \$community,
BER => \$rest_of_trap,
],
) || die "Couldn't decode packet: ".$ber->error()."\n";
if ($version == 0) {
#print STDERR "This is a version 1 trap, proceeding\n";
# decode the PDU up to but not including the VARBINDS
$rest_of_trap->decode(
[ SEQUENCE => BER_CONTEXT | BER_CONSTRUCTOR | 0x04 ] =>
[
OBJECT_ID => \$enterprise_oid,
[ STRING => BER_APPLICATION | 0x00 ] => \$agentaddr,
INTEGER => \$generic,
INTEGER => \$specific,
[ INTEGER => BER_APPLICATION | 0x03 ] => \$timeticks,
SEQUENCE => [ BER => \$varbind_ber, ],
],
) || die "Couldn't decode packet: ".$extra->error()."\n";;
# now decode the actual VARBINDS (just the OIDs really, to decode the values
# We'd have to go to the MIBs, which I neither want nor need to do
my($r, $t_oid, $t_val, %varbinds);
while ($r = $varbind_ber->decode(
SEQUENCE => [
OBJECT_ID => \$t_oid,
ANY => \$t_val,
], ))
{
if (!$r) {
die "Couldn't decode SEQUENCE: ".$extra->error()."\n";
}
$varbinds{$t_oid} = $t_val;
}
if ($varbinds{$snmpTrapAddress} || $varbinds{"$snmpTrapAddress.0"}) {
# the original trap already had the data, just print it back out
print $d;
} else {
# snmpTrapAddress isn't present, create a new object and rebuild the packet
my $new_trap = new Convert::BER;
$new_trap->encode(
SEQUENCE => [
INTEGER => $version,
STRING => $community,
[ SEQUENCE => BER_CONTEXT | BER_CONSTRUCTOR | 0x04 ] =>
[
OBJECT_ID => $enterprise_oid,
[ STRING => BER_APPLICATION | 0x00 ] => $agentaddr,
INTEGER => $generic,
INTEGER => $specific,
[ INTEGER => BER_APPLICATION | 0x03 ] => $timeticks,
SEQUENCE => [
BER => $varbind_ber,
# this next oid/val is the only mod we should be making
SEQUENCE => [
OBJECT_ID => "$snmpTrapAddress.0",
[ STRING => BER_APPLICATION | 0x00 ] => $source_ip_str,
],
],
],
],
);
print STDERR "New packet:\n";
$new_trap->dump();
print $new_trap->buffer;
}
} else {
print STDERR "I don't know how to decode non-v1 packets yet\n";
# send back the original packet
print $d;
}
だから、それはそれです。ここではキッカーです。私は、彼らがトラップの元の送信者のIPを取得していなかったことを自分の言葉でOPSを取りました。この例を作業している間、私は彼らが私を与えた例では、少なくとも、元IPトラップのエージェント-addrフィールドにあった、ことがわかりました。ツールのAPIでそれらこれ、どこを示した後に、これは、彼らが最後に変更をしようとして消えたさらされている使用。私は、彼らは私が実際にするためのパケットでマックする必要が何かのために私に尋ねる時間に対する上記のコードをdavingんだけど、今のところ、上記のコンセプトコードの非厳密にテストされた証拠のままになります。それはいつか誰かがお役に立てば幸いです。
他のヒント
あなたがしようとしました NSNMP の?
間違いSNMP_Sessionをチェックしてください。
http://code.google.com/p/snmp-session/
いくつかの例があり、古い配信サイトへのリンクに従っていることを確認します。
私は基本的に月を通して同じパスを旅してきました:: SNMP、変換:: BER、TCP / IPイラストなどを... SNMP_Sessionは、私が仕事をすることができた唯一のものです。仕事で、私はUDPポート162上のSNMPトラップを受け入れ、いくつかの車輪の再発明せずにログインするための文字列と同等にそれをデコード意味します。私は受信のみのトラップ機能を使用していますが、私はそれはあなたがあまりにもやりたいことだと思います。
これは、しかしCPANない、Google Codeの上にあるので、それを見つけるのは少し難しいます。