wireshark使用方法.doc

《wireshark使用方法.doc》由会员分享，可在线阅读，更多相关《wireshark使用方法.doc（16页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、1. 目的在ADSL、AG及其他产品的日常排障过程中经常需要现场进行抓包配合，本文档提供了Wireshark的常用操作指南。2. 范围AG、ADSL现场工程师。3. Wireshark安装作为Ethereal的替代产品，Wireshark（http:/www.wireshark.org）是一款优秀且免费的抓包分析软件，可到Internet自行下载安装。Wireshark的安装软件包由Wireshark-setup和WinPcap等2个安装文件组成。4. Wireshark使用4.1 抓包点击菜单Capture - Options，打开Capture Options窗口。在Interface中选

2、择网络接口；在Capture Filter中输入需要过滤的协议（如过滤megaco协议，输入udp port 2944）；在Capture File(s)的File中输入要保存的抓包文件名，如要将抓包分文件保存，则在Use multiple files中选择保存文件的分割机制，如下图每5M就保存一个文件；如需要实时显示抓包结果并让抓包结果自动滚屏，则在Display Options中选中Update list of packets in real time和Automatic scrolling in live capture。Interface：这项用于指定截包的网卡。Link-layer

3、header type：指定链路层包的类型，一般使用默认值。Buffer size（n megabyte（s）：用于定义Ethereal用于截包的缓冲，当缓冲写满后，就将截的数据写道磁盘上。如果遇到ethereal丢包现象，将该缓冲尽量增大。Capture packets in promiscuous mode：截包时，Ethereal将网口置于混杂模式。如果没有配置这项，Ethereal只能截取该PC发送和接收的包（而不是同一LAN上的所有包）。Limit each packet to n bytes：定义Ethereal截取包的最大数据数，大于这个值的数据包将被丢掉。默认为65535。点击

4、Start启动抓包。如果开启了自动保存文件机制，请确认自动存盘的前3个文件，确保机制生效。并定期检查磁盘空间，以防磁盘空间溢出。如果用Dell笔记本抓包时发现无法抓到带VLAN Tag的包，请修改注册表，修改方法参见附录。4.1.1 常用抓包过滤命令为防止抓包文件过大而影响分析效果，可在抓包阶段就设置抓包过滤（在Capture Filter中输入需要过滤的协议或命令）。现将常用抓包过滤命令总结如下：抓包过滤要求抓包过滤命令MAC地址为00:18:8b:ba:86:d6的报文ether host 00:18:8b:ba:86:d6IP地址为192.168.1.10的报文host 192.168.

5、1.10VLAN id为100的报文vlan 100ARP报文arpPPPoE报文pppoedDHCP报文udp port 67 or udp port 68IGMP报文ip multicast and not udpmegaco信令报文（通常端口为2944）udp port 2944sip信令报文（通常端口为5060）udp port 5060SCTP报文（通常端口为9900）udp port 9900Ethereal 截包过滤条件，通过and 和or，将一系列的primitive 表达式连接在一起，有时可在primitive表达式前用not。not primitive and|or not

6、 primitive例一：tcp port 23 and host 10.0.0.5。这个例子表示只截取发给主机10.0.0.5的telnet数据包或主机10.0.0.5发出的telnet数据包。例二：tcp port 23 and not host 10.0.0.5。这个例子表示截取所有的telnet数据包，除了主机10.0.0.5收发的telnet数据包。Primitive表达式如下：l src|dst host 通过主机IP地址/名称过滤截取的数据包。也可以在前面加关键字src|dst来限制是目的或源地址。l ether src|dst host 同上，只是通过MAC地址来过滤。l ga

7、teway host 截取将该主机作为网关的包，即MAC地址是主机的地址，而包的源和目的IP都不是该主机的IPl src|dst net mask|lenl tcp|udp src|dst port 通过TCP/UDP的端口过滤l less|greater 截取数据保小于、等于指定的大小；或大于、等于指定的大小。l ip|ether proto IP/Ethernet层的指定协议。l ether|ip broadcast|multicast 截取ether/ip的广播包。l relop 允许建立一个更复杂的表达式，可以通过它来选取数据包的字节或字节范围来过滤。4.2 分析为便于分析，可在查看抓

8、包文件时设置过滤。4.2.1 ADSL如检查PC（MAC地址为00:06:5b:e1:96:e9）的PPPoE拨号过程，可在Filter中输入eth.addr = 00:06:5b:e1:96:e9 and (pppoed or ppp)。一旦截取数据包后，或打开以前截取的数据包文件，显示如Error! Reference source not found.。显示有三个视图分区：“Packet List”、“Packet Details”、“Packet bytes”。“Packet List”用于显示所数据包，如果这是有显示过滤条件，显示的是满足该条件的所有包。“Packet Details

9、”用于显示在“Packet List”视图中选定的数据包的详细信息。“Packet Bytes”以十六进制方式显示“Packet List”视图中选定的数据包的信息。4.2.2 AG如检查AG中2个端口（如tdm/1与tdm/2）之间的通话消息，则可在Filter输入megaco先进行H.248信令过滤。重点查看AG对软交换choose one add消息的reply，以明确AG为这2个端口分配的context号和local rtp端口号。如上图，tdm/1的context号为310，local rtp端口号为40034；tdm/2的context号为275，local rtp端口号为4003

10、6。如需过滤这两个端口的H.248信令，则在Filter中输入megaco.termid = tdm/1 or megaco.termid = tdm/2 or megaco.context = 310 or megaco.context = 275。除了过滤这2个端口的H.248信令，如还需要过滤RTP，则在Filter中输入megaco.termid = tdm/1 or megaco.termid = tdm/2 or megaco.context = 310 or megaco.context = 275 or udp.port = 40034 or udp.port = 40036。

11、点击菜单Statistics - RTP - Show all streams，打开RTP Streams窗口。其中列出抓包文件中所有的RTP Stream。选中要查看的stream，再点击Analyze，打开RTP Stream Analysis窗口，进一步检查该stream的丢包率，jitter等。点击Save payload则可将该RTP Stream保存为声音文件。（Wireshark Version 1.0.3版本将RTP包导成声音文件时有bug，建议尝试用Ethereal完成此操作。）显示过滤表达式Ethereal提供了简单但是很强大的过滤语言，通过它我们可以建立复杂的显示过滤表达

12、式。我们可以比较数据包的数据值，也可以将多个表达式合成一个更复杂的表达式。接下来将详细介绍。显示过滤域（Display filter fields）在“Packet details”视图中的每一个域能够用作一个过滤字符串（filter string），这样，就只显示存在该域的数据包。例如：过滤字符串：tcp，这就只显示所有tcp协议的包。比较表达式我们可以创建一个比较值的显示过滤条件，通过使用不同的比较操作符。它们显示在Error! Reference source not found.英语（English）类C（C-like）描述和举例（Description and Example）eq=

13、 =等于ip.addr= =10.50.56.61ne!=不等于ip.addr!=10.50.56.61gt大于frame.pkt_len10lt小于frame.pkt_len=大于或等于frame.pkt_len ge 0x100le=小于或等于frame.pke_len VoIP Calls检查T.38的消息流程。对于2833，点击菜单Edit - Preferences，根据AG中2833配置的payload type修改Wireshark中的RTP Event设置，然后再检查抓包中对应的2833包。对于RFC2198 RTP冗余，点击菜单Edit - Preferences，根据AG中

14、RTP冗余配置的payload type修改Wireshark中的RTP设置，然后再检查抓包中对应的RTP包。（Ethereal不支持该Feature。）4.3 保存点击菜单File - Save as，保存抓包文件。可点击Displayed对只在Wireshark窗口中被过滤显示的包进行保存。附录如果Dell笔记本无法抓取带VLAN Tag的包，请按如下步骤修改注册表。1确保网卡版本在7.86以上。如果网卡版本低于7.86，需要先将网卡驱动升版，请到http:/ 下载更新的驱动程序。2运行注册表编辑程序regedit。3在HKEY_LOCAL_MACHINESYSTEMCurrentControlSet下搜索TxCoalescingTicks，并确保该组为唯一的注册表项组。4在该注册表项组内右键创建类型为REG_SZ，名称为PreserveVlanInfoInRxPacket的注册表项，并将其值设置为1。5重启Windows确保设置生效。文件结束End of file