hoe SNMP trace verwerken/leesbaar maken?

woensdag 12 juli 2017 14:39

Acties:

Topicstarter

Hallo,

Ik heb een wifi trace van een SIGCOMM conferentie uit 2001 gedownload (downloadpagina) om een eerder onderzoek te herhalen en uit te bereiden. Hierbij zit een SNMP trace van 4 accesspoints gedurende 3 dagen.

Alleen zie ik niet hoe ik iets leesbaars uit deze bestanden krijg. Het gaat om een 12-tal ".out" bestanden.
Ik kan ze openen in notepad++ waarna ik allerlei MIB-subtrees krijg met dit soort entries (een kleine selectie):
[code]
Fri 08/31/2001
0:00:32.77
Variable = .iso.org.dod.internet.private.enterprises.762.2.5.1.0
Value = Integer32 0

Variable = .iso.org.dod.internet.private.enterprises.762.2.5.3.1
Value = Integer32 1

Variable = .iso.org.dod.internet.private.enterprises.762.2.5.3.2
Value = Integer32 1

Variable = .iso.org.dod.internet.private.enterprises.762.2.5.3.3
Value = Integer32 1

...

Variable = .iso.org.dod.internet.private.enterprises.762.2.9.1.1.2.1
Value = String <0x00><0xe0><0x63><0x50><0x6c><0xd4>

Variable = .iso.org.dod.internet.private.enterprises.762.2.9.1.1.2.2
Value = String <0x00><0x60><0x1d><0xf1><0x40><0x18>

Variable = .iso.org.dod.internet.private.enterprises.762.2.9.1.1.2.3
Value = String <0x00><0x30><0x65><0x09><0x80><0xb9>

[/quote]

Volgens de beschrijving bevat de trace de MAC addressen, SNR, aantal bytes en pakketten voor alle verbonden apparaten, met een polling interval van 1 minuut. Maar ik heb nog geen methode gevonden om er iets leesbaars van te maken.

Geprobeerd:
Wireshark
Wireshark wordt als default programma aangegeven (door windows), maar wireshark denkt daar anders over:

The file "Stations_NE_Fri.out" isn't a capture file in a format Wireshark understands.

Opmanager
Was onder de indruk dat het een viewer was voor dit soort bestanden, maar het lijkt niks te doen. Kan het bestand inladen, maar er gebeurd verder niets.

SNMPutil
Commandline tool die bij de trace zat, maar ik kan er geen chocola van maken.

Er zitten ook nog een aantal PERL scripts bij, maar die doen volgens mij niet wat ik zoek.

Wat kan ik nou met dit soort bestand?
Ik wil eigenlijk gewoon een bestand met een lijst waarin per minuut staat aangegeven welk apparaat (MAC), met welk SNR en dergelijk aanwezig is. Om uiteindelijk in matlab in te kunnen laden voor verdere verwerking.

Wie heeft er een goede tip?

alvast bedankt
Timberleek

woensdag 12 juli 2017 17:35

RiDo78

Misschien weet je dit al, maar just 2 be sure...

De nummers die je ziet in de variabele velden zijn mapbaar naar 'leesbare' strings.
Bijvoorbeeld:

code:

1	.iso.org.dod.internet.private.enterprises.762.2.5.1.0

is eigenlijk:

code:

1	1.3.6.1.4.1.762.2.5.1.0

De 762 is een enterprise nummer en behoort toe tot "Klarinet Corp" zoals jvanhambelgium al aangaf.
Zie: http://oid-info.com/cgi-b....1.4.1.762&action=display
Voor alle cijfers daarachter heb je de juiste MIB nodig. Daarmee kun je de vertaalslag van nummer naar naam maken. Daarnaast specificeert de MIB welke values je kunt verwachten.

Voor het voorbeeld heb je de KBRIDGE-MIB nodig waarmee je het voorbeeld kunt aanpassen naar:

code:

1	.iso.org.dod.internet.private.enterprises.762.kbridge-mib.kbWireless.kbWirelessStationNumber.0

Verder dan dit gaat de MIB niet. Voor meer details moet je (weer) op zoek gaan naar de juiste MIB.

En wat betreft de MAC-adressen die je noemt, ja die staan er inderdaad ook in:

code:

1	.iso.org.dod.internet.private.enterprises.762.2.9.1.1.2

is eigenlijk:

code:

1	.iso.org.dod.internet.private.enterprises.762.kbdidge-mib.kbClientInfo.kbClientInfoByNumberTable.kbClientInfoByNumberEntry.kbClbyNumberMACAdddress

En het macadres is waarschijnlijk:
00e063506cd4 - dus een chip van Cabletron Yago Systems Inc.
Al hou ik hier wel een slag om de arm, ik weet namelijk niet hoe die hexcode geformatteerd is.

woensdag 12 juli 2017 16:58

Acties:

jvanhambelgium

Je had mischien eerder met een util zoals hieronder de SNMP-table ineens uitgelezen van de AP en dat netjes naar een ASCII-file weggeschreven.

http://www.net-snmp.org/docs/man/snmptable.html

Nu acteraf een replay doen aan de hand van je bestanden gaat mischien wat lastiger zijn vrees ik.
Als zo bekijk betreft het hier een "Karlnet" product, vandaar de enterprise-id 762

http://www.oidview.com/mibs/762/KBRIDGE-MIB.html

Het betreft idd een wireless iets dat je kan uitlezen. Je zou dus moeten weten welke table je wil uitlezen en vervolgens een tool als de snmptable erop los laten, echter dit is OP HET DEVICE zelf en niet op een capture...dat gaat niet voor zover ik weet.

woensdag 12 juli 2017 17:08

Acties:

timberleek

Topicstarter

Hmm, dan ga ik de paper van het andere onderzoek nog maar eens uitpluizen.

Deze dataset is namelijk publiek gemaakt na afloop van de conferentie en voor meerdere onderzoeken gebruikt (voornamelijk over Wi-Fi tracking). Daarbij hadden ze informatie als MAC addressen, SNR waardes en dergelijke.

woensdag 12 juli 2017 17:35

Acties:

Beste antwoord ✓

RiDo78

Misschien weet je dit al, maar just 2 be sure...

De nummers die je ziet in de variabele velden zijn mapbaar naar 'leesbare' strings.
Bijvoorbeeld:

code:

1	.iso.org.dod.internet.private.enterprises.762.2.5.1.0

is eigenlijk:

code:

1	1.3.6.1.4.1.762.2.5.1.0

De 762 is een enterprise nummer en behoort toe tot "Klarinet Corp" zoals jvanhambelgium al aangaf.
Zie: http://oid-info.com/cgi-b....1.4.1.762&action=display
Voor alle cijfers daarachter heb je de juiste MIB nodig. Daarmee kun je de vertaalslag van nummer naar naam maken. Daarnaast specificeert de MIB welke values je kunt verwachten.

Voor het voorbeeld heb je de KBRIDGE-MIB nodig waarmee je het voorbeeld kunt aanpassen naar:

code:

1	.iso.org.dod.internet.private.enterprises.762.kbridge-mib.kbWireless.kbWirelessStationNumber.0

Verder dan dit gaat de MIB niet. Voor meer details moet je (weer) op zoek gaan naar de juiste MIB.

En wat betreft de MAC-adressen die je noemt, ja die staan er inderdaad ook in:

code:

1	.iso.org.dod.internet.private.enterprises.762.2.9.1.1.2

is eigenlijk:

code:

1	.iso.org.dod.internet.private.enterprises.762.kbdidge-mib.kbClientInfo.kbClientInfoByNumberTable.kbClientInfoByNumberEntry.kbClbyNumberMACAdddress

En het macadres is waarschijnlijk:
00e063506cd4 - dus een chip van Cabletron Yago Systems Inc.
Al hou ik hier wel een slag om de arm, ik weet namelijk niet hoe die hexcode geformatteerd is.

woensdag 12 juli 2017 17:38

Acties:

jvanhambelgium

Je *kan* natuurlijk aan de hand van de OID's wel weten waar die waardes voor staan hé, en dan zo terug een tabel opbouwen maar da's zelf te scripten vrees ik ;-)

woensdag 12 juli 2017 17:46

Acties:

timberleek

Topicstarter

Ah kijk, ik heb hem door inderdaad.

Met die OID tree website kan ik inderdaad de gewenste entries eruit pikken. Dan ga ik maar eens een script knutselen. Op zich hoeven de MAC addressen niet te kloppen, als het maar unieke apparaten blijven.

Normaliter is die tree zeker (grotendeels) bedrijfsgeheim? Zie namelijk nergens programma's of websites die zo'n entry volledig uit elkaar trekken op het eerste deel na.

In ieder geval super bedankt

woensdag 12 juli 2017 22:55

Acties:

timberleek

Topicstarter

Awesome, ik heb inmiddels een mooie struct met de benodigde data over de 4 AP's en de 3 dagen.

Nogmaals super bedankt

Vraag

Beste antwoord (via timberleek op 12-07-2017 17:46)

Alle reacties