Как я могу разобрать необработанную SNMP-ловушку в Perl?

Question

Несколько недель назад я написал ретранслятор SNMP для нашей оперативной группы. У них есть некоторые тупые устройства, которые могут отправлять ловушки только на один IP, и у нас есть система мониторинга, которая прослушивает несколько IP для доступности. Код очень прост, и по существу:

while (recv($packet)) {
  foreach $target (@targets) {
    send($target, $packet);
  }
}

В принципе, это работает, но теперь очевидным недостатком является то, что он не включает IP-адрес отправителя (очевидно, первый класс устройств включал информацию как varbind, а некоторые новые классы - нет).

Я хотел бы изменить код на что-то вроде этого:

while ($server->recv($packet)) {
  my $obj = decompile($packet)
  if (!$obj->{varbind}{snmpTrapAddress}) {
    $obj->{varbind}{snmpTrapAddress} = inet_ntoa($server->peeraddr());
  }
  $packet = compile($obj);
  foreach $target (@targets) {
    send($target, $packet);
  }
}

Другими словами, если мой отправитель не включает snmpTrapAddress, добавьте его. Проблема в том, что каждый SNMP-пакет, который я просматривал для Perl, кажется, очень сильно сфокусирован на инфраструктуре получения ловушек и выполнения получений.

Итак: существует ли простой Perl-модуль, который позволит мне сказать: «Вот большой блок данных, представляющий ловушку snmp. Расшифруйте его во что-то, чем я могу легко манипулировать, затем перекомпилируйте его обратно в большой блок, который я могу выбросить по сети «

Если вы даете ответ «использовать пустышку SNMP», не могли бы вы привести примеры этого? Я могу просто быть слепым, но из вывода perldoc SNMP мне не очевидно, как использовать его таким образом.

EDIT:

Оказывается, немного посмотрев, что «SNMP-кодировка» действительно является ASN.1 BER (Основные правила кодирования). Исходя из этого, я собираюсь пойти с Convert :: BER. Я по-прежнему приветствую любые простые советы по редактированию / перестройке SNMP.

Answer 1

Я так и не нашел идеального решения для этого. Net :: SNMP :: Message (часть Net :: SNMP ) может позволить это, но, похоже, не имеет публично определенного интерфейса, и ни один из интерфейсов Net :: SNMP не выглядит особенно актуальным. NSNMP наиболее соответствует духу того, что я искал, но он хрупок и не работает для моего пакета из коробки, и если я собираюсь поддерживать хрупкий код, это будет моим собственный хрупкий код =).

Пн :: SNMP также приблизился к тому, что я искал, но он тоже был сломан из коробки. Похоже, он заброшен, с последним выпуском в 2001 году и последним выпуском CPAN разработчика в 2002 году. Я не осознавал этого в то время, но теперь я думаю, что он не работает из-за изменения интерфейса к Convert :: BER модуль, который он использует.

Mon :: SNMP указал мне на Convert :: BER . Несколько тысяч прочтений Convert :: BER POD, источника Mon :: SNMP и RFC 1157 (особенно 4.1.6, «Trap-PDU») позже, и я придумал этот код в качестве доказательства концепции сделать то, что я хотел. Это просто подтверждение концепции (по причинам, которые я подробно опишу после кода), поэтому он может быть не идеальным, но я подумал, что он может послужить полезной справкой для будущих пользователей Perl, работающих в этой области, поэтому вот оно:

#!/usr/bin/perl

use Convert::BER;
use Convert::BER qw(/^(\$|BER_)/);

my $ber = Convert::BER->new();

# OID I want to add to the trap if not already present
my $snmpTrapAddress = '1.3.6.1.6.3.18.1.3';

# this would be from the incoming socket in production
my $source_ip = '10.137.54.253';

# convert the octets into chars to match SNMP standard for IPs
my $source_ip_str = join('', map { chr($_); } split(/\./, $source_ip));

# Read the binary trap data from STDIN or ARGV.  Normally this would
# come from the UDP receiver
my $d = join('', <>);

# Stuff my trap data into $ber
$ber->buffer($d);

print STDERR "Original packet:\n";
$ber->dump();

# Just decode the first two fields so we can tell what version we're dealing with
$ber->decode(
                SEQUENCE => [
                    INTEGER => \$version,
                    STRING => \$community,
                    BER => \$rest_of_trap,
                ],
) || die "Couldn't decode packet: ".$ber->error()."\n";

if ($version == 0) {
  #print STDERR "This is a version 1 trap, proceeding\n";

  # decode the PDU up to but not including the VARBINDS
  $rest_of_trap->decode(
    [ SEQUENCE => BER_CONTEXT | BER_CONSTRUCTOR | 0x04 ] =>
      [
        OBJECT_ID => \$enterprise_oid,
        [ STRING => BER_APPLICATION | 0x00 ] => \$agentaddr,
        INTEGER => \$generic,
        INTEGER => \$specific,
        [ INTEGER => BER_APPLICATION | 0x03 ] => \$timeticks,
        SEQUENCE => [ BER => \$varbind_ber, ],
      ],
  ) || die "Couldn't decode packet: ".$extra->error()."\n";;

  # now decode the actual VARBINDS (just the OIDs really, to decode the values
  # We'd have to go to the MIBs, which I neither want nor need to do
  my($r, $t_oid, $t_val, %varbinds);
  while ($r = $varbind_ber->decode(
    SEQUENCE => [
      OBJECT_ID => \$t_oid,
      ANY       => \$t_val,
    ], ))
  {
    if (!$r) {
      die "Couldn't decode SEQUENCE: ".$extra->error()."\n";
    }
    $varbinds{$t_oid} = $t_val;
  }

  if ($varbinds{$snmpTrapAddress} || $varbinds{"$snmpTrapAddress.0"}) {
    # the original trap already had the data, just print it back out
    print $d;
  } else {
    # snmpTrapAddress isn't present, create a new object and rebuild the packet
    my $new_trap = new Convert::BER;
    $new_trap->encode(
      SEQUENCE => [
        INTEGER => $version,
        STRING => $community,
        [ SEQUENCE => BER_CONTEXT | BER_CONSTRUCTOR | 0x04 ] =>
          [
            OBJECT_ID => $enterprise_oid,
            [ STRING => BER_APPLICATION | 0x00 ] => $agentaddr,
            INTEGER => $generic,
            INTEGER => $specific,
            [ INTEGER => BER_APPLICATION | 0x03 ] => $timeticks,
            SEQUENCE => [
              BER => $varbind_ber,
              # this next oid/val is the only mod we should be making
              SEQUENCE => [
                OBJECT_ID => "$snmpTrapAddress.0",
                [ STRING => BER_APPLICATION | 0x00 ] => $source_ip_str,
              ],
            ],
          ],
      ],
    );
    print STDERR "New packet:\n";
    $new_trap->dump();
    print $new_trap->buffer;
  }
} else {
  print STDERR "I don't know how to decode non-v1 packets yet\n";
  # send back the original packet
  print $d;  
}

Так вот и все. Вот кикер. Я поверил их словам, что они не получают IP оригинального отправителя в ловушке. Работая с этим примером, я обнаружил, что, по крайней мере, в приведенном мной примере исходный IP-адрес находился в поле agent-addr ловушки. После того, как они показали им это и где в API этого инструмента раскрыто их использование, они ушли, чтобы попытаться внести изменения в их конец. Я сравниваю приведенный выше код с тем временем, когда меня просят что-то, для чего мне на самом деле нужно отбросить пакет, но на данный момент вышеприведенное останется не подвергнутым строгой проверке доказательства концепции кода. Надеюсь, это когда-нибудь кому-нибудь поможет.

Answer 2

Определенно проверьте SNMP_Session.

http://code.google.com/p/snmp-session/

Обязательно перейдите по ссылкам на старый дистрибутивный сайт, на котором есть несколько примеров.

В основном я прошел тот же путь через Mon :: SNMP, Convert :: BER, TCP / IP Illustrated и т. Д. SNMP_Session - единственное, что мне удалось заставить работать. Под работой я подразумеваю принять SNMP-ловушку на UDP-порту 162 и декодировать ее в строковые эквиваленты для регистрации, не изобретая несколько колес. Я использую только функцию получения ловушек, но думаю, что она может делать то, что вы хотите.

Это в Google Code, а не в CPAN, поэтому его немного сложно найти.

Answer 3

Вы пробовали NSNMP ?