wireshark使用方法概述

目的在ADSL、AG及其他產(chǎn)品的日常排障過(guò)程中常常需要現(xiàn)場(chǎng)進(jìn)展抓包協(xié)作，本文檔供給了Wireshark的常用操作指南。范圍、ADSL現(xiàn)場(chǎng)工程師。Wireshark安裝的替代產(chǎn)品，Wireshark〔〕是一款優(yōu)秀且免費(fèi)的抓包分析軟件，可到Internet自行下載安裝。Wireshark的安裝軟件包由Wireshark-setup和WinPcap等2個(gè)安裝文件組成。Wireshark抓包點(diǎn)擊菜單Capture->Options…，翻開(kāi)CaptureOptions窗口。在Interface中選擇網(wǎng)絡(luò)接口；在CaptureFilter中輸入需要過(guò)濾的協(xié)議〔如過(guò)濾megaco協(xié)議，輸入udpport2944〕；在CaptureFile(s)的File中輸入要保存的抓包文件名，如要將抓包分文件保存，則在Usemultiplefiles中選擇保存文件的分割機(jī)制，如以下圖每5M就保存一個(gè)文件；如需要實(shí)時(shí)顯示抓包結(jié)果并讓抓包結(jié)果自動(dòng)滾屏，則在DisplayOptions中選中Updatelistofpacketsinrealtime和Automaticscrollinginlivecapture。Interface：這項(xiàng)用于指定截包的網(wǎng)卡。Link-layerheadertype：指定鏈路層包的類型，一般使用默認(rèn)值。EtherealetherealCapturepacketsinpromiscuousmode：截包時(shí)，EtherealEtherealPC〔LAN〕。LimiteachpackettonbytesEthereal65535。點(diǎn)擊Start啟動(dòng)抓包。假設(shè)開(kāi)啟了自動(dòng)保存文件機(jī)制，請(qǐng)確認(rèn)自動(dòng)存盤(pán)的前3個(gè)文件，確保機(jī)制生效。并定期檢查磁盤(pán)空間，以防磁盤(pán)空間溢出。假設(shè)用Dell筆記本抓包時(shí)覺(jué)察無(wú)法抓到帶VLANTag的包，請(qǐng)修改注冊(cè)表，修改方法參見(jiàn)附錄。常用抓包過(guò)濾命令為防止抓包文件過(guò)大而影響分析效果，可在抓包階段就設(shè)置抓包過(guò)濾〔在CaptureFilter中輸入需要過(guò)濾的協(xié)議或命令〕。現(xiàn)將常用抓包過(guò)濾命令總結(jié)如下：抓包過(guò)濾要求地址為00:18:8b:ba:86:d6的報(bào)文IP地址為的報(bào)文VLANid為100的報(bào)文ARP報(bào)文報(bào)文DHCP報(bào)文IGMP報(bào)文megaco信令報(bào)文〔通常端口為2944〕sip信令報(bào)文〔通常端口為5060〕SCTP報(bào)文〔通常端口為9900〕

etherhost00:18:8b:ba:86:d6hostvlan100arppppoedudpport67orudpport68ipmulticastandnotudpudpport2944udpport5060udpport9900條件，通過(guò)and和or，將一系列的primitive表達(dá)式連接在一起，有時(shí)可在primitive表達(dá)式前用not。[not]primitive [and|or[not]primitive…]例一：tcpport23andhosttelnet例二：tcpport23andnothosttelnetPrimitive[src|dst]host<host>通過(guò)主機(jī)IP地址/名稱過(guò)濾截取的數(shù)據(jù)包。也可以在前面加關(guān)鍵字[src|dst]來(lái)限制是目的或源地址。ether[src|dst]host<ehost>MACMACIPIP[src|dst]net<net>[{mask<mask>}|{len<len>}][tcp|udp][src|dst]port<port>TCP/UDPless|greater<length>截取數(shù)據(jù)保小于、等于指定的大?。换虼笥?、等于指定的大小。ip|etherproto<protocol> IP/Ethernet層的指定協(xié)議。ether|ipbroadcast|multicastether/ip<expr>relop<expr>允許建立一個(gè)更簡(jiǎn)單的表達(dá)式，可以通過(guò)它來(lái)選取數(shù)據(jù)包的字節(jié)或字節(jié)范圍來(lái)過(guò)濾。分析為便于分析，可在查看抓包文件時(shí)設(shè)置過(guò)濾。ADSL如檢查PC〔MAC地址為00:06:5b:e1:96:e9〕PPPoE撥號(hào)過(guò)程，可在Filter中輸入==00:06:5b:e1:96:e9and(pppoedorppp)。一旦截取數(shù)據(jù)包后，或翻開(kāi)以前截取的數(shù)據(jù)包文件，顯示如圖 List”、“PacketDetails”、“Packetbytes”?！癙acketList”用于顯示所數(shù)據(jù)包，假設(shè)這是有顯示過(guò)濾條件，顯示的是滿足該條件的全部包。“PacketDetails”用于顯示在“PacketList”視圖中選定的數(shù)據(jù)包的具體信息?！癙acketBytes”以十六進(jìn)制方式顯示“PacketList”視圖中選定的數(shù)據(jù)包的信息。AG如檢查AG中2個(gè)端口〔tdm/1與tdm/2〕之間的通話消息，則可在Filter輸入megaco先進(jìn)展信令過(guò)濾。重點(diǎn)查看AG對(duì)軟交換chooseoneadd消息的reply，以明確AG為這2個(gè)端口安排的context號(hào)和localrtp端口號(hào)。如上圖，tdm/1的context號(hào)為310，localrtp端口號(hào)為40034；tdm/2的context號(hào)為275，localrtp端口號(hào)為40036。如需過(guò)濾這兩個(gè)端口的信令，則在Filter“tdm/1“or==“tdm/2“or==310or==275。除了過(guò)濾這2個(gè)端口的信令，如還需要過(guò)濾RTP，則在Filter中輸入“tdm/1“or==“tdm/2“or==310or==275or==40034or==40036。點(diǎn)擊菜單Statistics->RTP->ShowallstreamsRTPStreamsRTPStream。選中要查看的stream，再點(diǎn)擊Analyze，翻開(kāi)RTPStreamAnalysis窗口，進(jìn)一步檢查該streamjitter等。點(diǎn)擊Savepayload…則可將該RTPStream保存為聲音文件?！瞁iresharkVersionRTP包導(dǎo)成聲音文件時(shí)有bug，建議嘗試用Ethereal完成此操作。〕顯示過(guò)濾表達(dá)式將多個(gè)表達(dá)式合成一個(gè)更簡(jiǎn)單的表達(dá)式。接下來(lái)將具體介紹。顯示過(guò)濾域〔Displayfilterfields〕在“Packetdetails”視圖中的每一個(gè)域能夠用作一個(gè)過(guò)濾字符串〔filterstring〕，這樣，就只顯示存在該域的數(shù)據(jù)包。例如：過(guò)濾字符串：tcptcp比較表達(dá)式我們可以創(chuàng)立一個(gè)比較值的顯示過(guò)濾條件，通過(guò)使用不同的比較操作符。它們顯示在表-1eq英語(yǔ)〔English〕==描述和舉例〔DescriptionandExample〕等于==ne!=不等于!=gtltge><>=>10<10大于或等于ge0x100le<=小于或等于<=0x20全部的域〔Field〕都是有類型，見(jiàn)表-2類型Unsignedinteger(8-bit，16bit，24bit，32bit)，16-bit，24-bit，32-bit)BooleanEthernetaddress(6bytes)addressIpv6addressIPXnetworknumberString(text)Double-precisionfloatingpointnumber

舉例是等同的。le1500le02734le0x436====ip不會(huì)顯示ip地址為的全部包。其實(shí)不然。它說(shuō)表達(dá)的意思為：“數(shù)據(jù)包有一個(gè)的域值不等于”〔thepacketcontainsafieldnamed withavaluedifferentfrom)組合表達(dá)式英語(yǔ)〔Englishi〕And英語(yǔ)〔Englishi〕AndC(C-like)&&XorNot[…]^^!描述和舉例〔Descriptionandexample〕LogicalAND==andOR==or==LogicalXOR[0:3]==xor[0:3]==Tr(tokenringMAC)LogicalNOTNotllc(Logical-linkcontrolt)SubstringOperatoreth＝00::00:20:20[0:3]==00:00:83n:m，n，m個(gè)范圍的長(zhǎng)度。[1-2]==00:83n-m，n，m的位置。[:4]==00:00:83:000:m。[4:]==20:20ethm的子序列。[2]==83上面的例子用n的格式表示一個(gè)范圍。這個(gè)例子表示在n位置的值。[0:3，1-2，:4，4:，2]==00:00:83:00:83:00:00:83:00:20:20:83Ethereal允許我們將各種獨(dú)立的子集組合成另外一個(gè)獨(dú)立的范圍集，如上例。“FilterExpression”對(duì)話框ethereal這就比較困難。我們這時(shí)可以通過(guò)“FilterExpression”對(duì)話框來(lái)寫(xiě)過(guò)濾條件。如圖-4“FilterExpression”對(duì)話框：樹(shù)形域名〔Fieldname〕列表〔協(xié)議排序〕；關(guān)系運(yùn)算符〔relation〕選擇列表。FiledName：從協(xié)議域名樹(shù)中選擇一個(gè)協(xié)議域名。每一個(gè)協(xié)議位于最上部，并帶有可設(shè)為過(guò)濾條件的域。通過(guò)點(diǎn)擊協(xié)議名稱后的“+”，我們可以看到一系列的可設(shè)為過(guò)濾條件的域。Relation：選擇一個(gè)關(guān)系運(yùn)算符?！癷spresent〔unary〕關(guān)系運(yùn)算符。假設(shè)被選的域名存在數(shù)據(jù)包中，就是true；其它的關(guān)系運(yùn)算符是二元的〔binary〕，還需要一個(gè)數(shù)據(jù)來(lái)完畢這個(gè)表達(dá)式〔如，需要一個(gè)值〔Value〕來(lái)協(xié)作〕。Value：我們可以在“Value”文本框中輸入適宜的值。留意數(shù)據(jù)類型應(yīng)當(dāng)與域名〔fieldname〕匹配。時(shí)間顯示格式〔timestamped〕。當(dāng)我們顯示數(shù)據(jù)包時(shí)，我們可以設(shè)定時(shí)間戳的顯示形式。如圖-5。TimeofDayDateandTimeofDaySecondsSinceBeginningofCaptureSecondsSincePreviousPacket過(guò)濾成248協(xié)議保存文件假設(shè)只需要抓取H248信令，點(diǎn)擊Capture選擇Option消滅如下示圖：圖-6CaptureOption點(diǎn)擊圖-6CaptureOption選擇“New”在下面Filtername里〔megaco的過(guò)濾條件〕 圖-7CaptureFilter

megacoFilterstringudpport2944andport2944圖-8設(shè)置megaco件點(diǎn)擊OK就創(chuàng)立好了過(guò)濾 megaco圖-8設(shè)置megaco件信令過(guò)濾與保存MG例如:==USER001||==RTP000

有多個(gè)用戶在同時(shí)使用，為了顯示我們關(guān)注的用戶，可以在觀察時(shí)進(jìn)展條件過(guò)濾，由于在抓包軟件中觀察信令不大便利，還可以把信令導(dǎo)出為文本格式，如以下圖；結(jié)合原始報(bào)文來(lái)看。丟包與網(wǎng)絡(luò)抖動(dòng)RTPShowAllStreams”即可看到丟包。對(duì)于較小的丟包，可以在兩端配置冗余來(lái)躲避。但根本上應(yīng)排查網(wǎng)絡(luò)問(wèn)題。圖-9查看丟包類似的，RTP菜單 “StreamAnalysis”即可看到網(wǎng)絡(luò)時(shí)延是否穩(wěn)定；圖-10查看網(wǎng)絡(luò)時(shí)延這里所說(shuō)的網(wǎng)絡(luò)抖動(dòng)在WireShark中可以通過(guò)Delta的值來(lái)衡量，Delta是相鄰兩個(gè)媒體包之間的間隔值。由于網(wǎng)關(guān)發(fā)送媒體包時(shí)的打包間隔是固定的，在沒(méi)有網(wǎng)絡(luò)抖動(dòng)的狀況下，接收側(cè)網(wǎng)關(guān)收到的媒體流的 Delta也應(yīng)當(dāng)是一個(gè)定值。當(dāng)有網(wǎng)絡(luò)抖動(dòng)時(shí)，Delta的值會(huì)隨著網(wǎng)絡(luò)抖動(dòng)而變化。媒體流復(fù)原對(duì)捕獲的報(bào)文除了分析協(xié)議運(yùn)作外，還可以復(fù)原成音頻流進(jìn)展問(wèn)題推斷。假設(shè)翻開(kāi)報(bào)文看到的媒體流類型是UDP，可以右擊任UDPDecodeAs”—端口選“BothRTPRTPRTP(StatisticsTelephonyshowAllStreams”，在彈出的窗口中選中其中某次媒體流交〕，點(diǎn)”Analyze”分析，對(duì)分析的結(jié)果可以”SavePayload”保存為.auAdobeAuditiondtmf//modem圖-11媒體流復(fù)原對(duì)于，點(diǎn)擊菜單Statistics->VoIPCalls檢查的消息流程。對(duì)于2833，點(diǎn)擊菜單Edit->Preferences…，依據(jù)AG中2833配置的payloadtype修改Wireshark中的RTPEvent設(shè)置，然后再檢查抓包中對(duì)應(yīng)的2833包。對(duì)于RFC2198RTP冗余，點(diǎn)擊菜單Edit->Preferences…，依據(jù)AG中RTP冗余配置的payloadtype修改Wireshark中的RTP設(shè)置，然后再檢查抓包中對(duì)應(yīng)的RTP包?！睧thereal不支持該Feature?！潮４纥c(diǎn)擊菜單File->Saveas…，保存抓包文件。可點(diǎn)擊D