Como posso analisar uma armadilha SNMP cru em Perl?

Question

Algumas semanas atrás eu escrevi um relayer SNMP para o nosso grupo ops. Eles têm alguns dispositivos mudos que só pode enviar traps para um único IP, e nós temos um sistema de monitoramento que escutas em vários IPs para verificar disponibilidade. simples mortos do código, e essencialmente:

while (recv($packet)) {
  foreach $target (@targets) {
    send($target, $packet);
  }
}

Tem funcionado, basicamente, mas agora a curto óbvia que vem que não inclui o originador IP é um problema (aparentemente, a primeira classe de dispositivo incluído a informação como um varbind e alguns nova classe não).

O que eu gostaria de fazer é alterar o código para algo como isto:

while ($server->recv($packet)) {
  my $obj = decompile($packet)
  if (!$obj->{varbind}{snmpTrapAddress}) {
    $obj->{varbind}{snmpTrapAddress} = inet_ntoa($server->peeraddr());
  }
  $packet = compile($obj);
  foreach $target (@targets) {
    send($target, $packet);
  }
}

Em outras palavras, se o meu remetente não está incluindo snmpTrapAddress, adicioná-lo. O problema é que cada SNMP empacotar Eu olhei para Perl parece muito fortemente focada na infra-estrutura de receber armadilhas e realizando recebe.

Assim: Existe um simples módulo Perl que permita-me a dizer "aqui está uma bolha de dados que representam um trap SNMP decodificá-lo em algo que eu possa manipular facilmente, então recompilar-lo de volta em um blob que pode jogar através da rede. "?

Se a resposta que você dá é o "uso SNMP fictício", você pode dar exemplos de isso? I pode apenas ser cego, mas a partir da saída perldoc SNMP não é óbvio para mim como usá-lo desta forma.

EDIT:

Acontece que depois de olhar em volta um pouco que "encoding SNMP" é realmente ASN.1 BER (Basic Encoding Rules). Com base nesta Estou tendo um ir com Convert :: BER. Eu ainda gostaria de receber qualquer quebra fácil para baixo / editar / reconstruir dicas para SNMP.

Answer 1

Eu nunca encontrou uma solução perfeita para isso. Net :: SNMP :: Mensagem (parte do Net :: SNMP ) pode permitir isso, mas não parece ter uma interface definida publicamente, e nenhum da interface Net :: SNMP parecia especialmente relevante. NSNMP está mais próximo do espírito do que eu estava procurando, mas -lo da frágil e não funcionou para o meu pacote para fora da caixa e se eu vou apoiar código frágil, que vai ser o meu próprio código frágil =).

Mon :: SNMP também ficou próximo ao que eu estava procurando, mas também foi quebrado fora da caixa. Parece ser abandonada, com o último lançamento em 2001 e último lançamento CPAN do colaborador em 2002. Eu não percebi isso na época, mas agora eu acho que ele está quebrado por causa de uma mudança na interface para o Convert :: BER módulo que utiliza.

Mon :: SNMP tem me apontou para Convert :: BER . Alguns milhares lê do Convert :: BER POD, a fonte Mon :: SNMP, e RFC 1157 (esp. 4.1.6, "The trap-PDU") mais tarde e eu vim com esse código como uma prova de conceito para fazer o que eu queria. Esta é apenas uma prova de conceito (por razões que eu vou detalhe após o código) por isso não pode ser perfeito, mas eu pensei que poderia fornecer uma referência útil para futuras Perl pessoas que trabalham nesta área, por isso aqui está:

#!/usr/bin/perl

use Convert::BER;
use Convert::BER qw(/^(\$|BER_)/);

my $ber = Convert::BER->new();

# OID I want to add to the trap if not already present
my $snmpTrapAddress = '1.3.6.1.6.3.18.1.3';

# this would be from the incoming socket in production
my $source_ip = '10.137.54.253';

# convert the octets into chars to match SNMP standard for IPs
my $source_ip_str = join('', map { chr($_); } split(/\./, $source_ip));

# Read the binary trap data from STDIN or ARGV.  Normally this would
# come from the UDP receiver
my $d = join('', <>);

# Stuff my trap data into $ber
$ber->buffer($d);

print STDERR "Original packet:\n";
$ber->dump();

# Just decode the first two fields so we can tell what version we're dealing with
$ber->decode(
                SEQUENCE => [
                    INTEGER => \$version,
                    STRING => \$community,
                    BER => \$rest_of_trap,
                ],
) || die "Couldn't decode packet: ".$ber->error()."\n";

if ($version == 0) {
  #print STDERR "This is a version 1 trap, proceeding\n";

  # decode the PDU up to but not including the VARBINDS
  $rest_of_trap->decode(
    [ SEQUENCE => BER_CONTEXT | BER_CONSTRUCTOR | 0x04 ] =>
      [
        OBJECT_ID => \$enterprise_oid,
        [ STRING => BER_APPLICATION | 0x00 ] => \$agentaddr,
        INTEGER => \$generic,
        INTEGER => \$specific,
        [ INTEGER => BER_APPLICATION | 0x03 ] => \$timeticks,
        SEQUENCE => [ BER => \$varbind_ber, ],
      ],
  ) || die "Couldn't decode packet: ".$extra->error()."\n";;

  # now decode the actual VARBINDS (just the OIDs really, to decode the values
  # We'd have to go to the MIBs, which I neither want nor need to do
  my($r, $t_oid, $t_val, %varbinds);
  while ($r = $varbind_ber->decode(
    SEQUENCE => [
      OBJECT_ID => \$t_oid,
      ANY       => \$t_val,
    ], ))
  {
    if (!$r) {
      die "Couldn't decode SEQUENCE: ".$extra->error()."\n";
    }
    $varbinds{$t_oid} = $t_val;
  }

  if ($varbinds{$snmpTrapAddress} || $varbinds{"$snmpTrapAddress.0"}) {
    # the original trap already had the data, just print it back out
    print $d;
  } else {
    # snmpTrapAddress isn't present, create a new object and rebuild the packet
    my $new_trap = new Convert::BER;
    $new_trap->encode(
      SEQUENCE => [
        INTEGER => $version,
        STRING => $community,
        [ SEQUENCE => BER_CONTEXT | BER_CONSTRUCTOR | 0x04 ] =>
          [
            OBJECT_ID => $enterprise_oid,
            [ STRING => BER_APPLICATION | 0x00 ] => $agentaddr,
            INTEGER => $generic,
            INTEGER => $specific,
            [ INTEGER => BER_APPLICATION | 0x03 ] => $timeticks,
            SEQUENCE => [
              BER => $varbind_ber,
              # this next oid/val is the only mod we should be making
              SEQUENCE => [
                OBJECT_ID => "$snmpTrapAddress.0",
                [ STRING => BER_APPLICATION | 0x00 ] => $source_ip_str,
              ],
            ],
          ],
      ],
    );
    print STDERR "New packet:\n";
    $new_trap->dump();
    print $new_trap->buffer;
  }
} else {
  print STDERR "I don't know how to decode non-v1 packets yet\n";
  # send back the original packet
  print $d;  
}

Então, é isso. Aqui está o kicker. Tomei ops em sua palavra de que eles não estavam recebendo o IP do remetente original na armadilha. Enquanto trabalhar com este exemplo, descobri que, pelo menos no exemplo que me deram, o IP original no campo agente-addr na armadilha. Depois de mostrar-lhes este e onde na API da ferramenta seu usando este é exposto eles saíram para tentar fazer a mudança em sua extremidade. Estou daving o código acima contra o tempo que eles me pedem algo que eu realmente preciso muck no pacote para, mas por enquanto o acima permanecerá prova não rigorosamente testada de código conceito. Espero que ajude alguém algum dia.

Answer 2

Você tentou NSNMP ?

Answer 3

Definitivamente confira SNMP_Session.

http://code.google.com/p/snmp-session/

Certifique-se de seguir os links para o site de distribuição de idade, que tem vários exemplos.

Eu basicamente viajou o mesmo caminho através Mon :: SNMP, Convert :: BER, TCP / IP Illustrated, etc .. SNMP_Session é a única coisa que eu tenho sido capaz de fazer o trabalho. Por trabalho, quer dizer aceitar uma armadilha SNMP na porta UDP 162 e descodificá-lo em equivalentes de cadeia para o registo sem reinventar várias rodas. Eu só estou usando a funcionalidade armadilha receber, mas eu acho que pode fazer o que quiser também.

É no Google Code, não CPAN embora, por isso é um pouco difícil de encontrar.