Capsa与Wireshark关于SNMP协议识别对比

canglang123

一.识别方法：新版Capsa使用多数据包联合特征识别SNMP协议，Wireshark仍然使用UDP/161端口识别SNMP协议。

在此以下列数据包类型作为我们对Capsa与Wireshark测试对比的基础数据包，数据包类型包括：⑴UDP/161端口SNMP包⑵UDP/161端口的非SNMP包⑶非UDP/161端口的SNMP包

二.针对各数据包做出全面和精确的比较

①UDP/161端口的SNMP包
Wireshark识别结果：

Capsa识别结果：

比较结果：
从图中可以看出Wireshark与Capsa均能正确识别UDP/161端口的SNMP包。

②UDP/161端口的非SNMP包
Wireshark识别结果：

Capsa识别结果：

比较结果：
从图中可以看出Wireshark与Capsa均能正确识别UDP/161端口的非SNMP包。

③非UDP/161端口的SNMP包
Wireshark识别结果：

Capsa识别结果：

比较结果：
从图中可以看出针对非161端口的SNMP包Capsa解析出解码字段，正确识别SNMP协议并解码该数据包。Wireshark错误的识别其为UDP协议，未实现解码。

④TCP/161端口的非SNMP包
Wireshark识别结果：

Capsa识别结果：

比较结果：
从图中可以看出Wireshark将TCP下161端口的HTTP协议错误识别成SNMP， 未实现解码。Capsa解析出解码字段，正确识别HTTP协议并解码该数据包。

三.结论

	UDP/161	非UDP/161	TCP/161
SNMP	Wireshark识别为SNMP Capsa识别为SNMP	Wireshark识别为UDP  Capsa识别为SNMP	暂缺样本
非SNMP	Wireshark识别为UDP  Capsa识别为UDP	暂缺样本	Wireshark识别为SNMP  Capsa识别为HTTP

通过以上比较可以看出：Capsa完全准确识别各类包。Wireshark能识别UDP/161端口的SNMP协议和UDP/161端口的非SNMP协议，将TCP/161端口非SNMP包的HTTP协议误报为SNMP协议，将非UDP/161端口的SNMP协议误报为UDP协议。由此我们可以判定Capsa比Wireshark对SNMP协议的识别更准确。