H3C Wireshark抓包工具使用简介

1、H3C WiresharkH3C Wireshark工具工具日期：2010.3.10密级：内部公开杭州华三通信技术有限公司顾盼杰顾盼杰 02417 1n H3C Wireshark的功能简介的功能简介n H3C Wireshark的使用方法的使用方法内容提纲内容提纲2wireshark简介简介WiresharkWireshark就是以前鼎鼎大名的开源软件就是以前鼎鼎大名的开源软件EthrealEthreal，它支持大部分的，它支持大部分的协议解析，拥有良好的扩展架构，非常适合作一个协议分析平台。协议解析，拥有良好的扩展架构，非常适合作一个协议分析平台。WiresharkWireshark支持支

2、持GTK2GTK2风格的界面，可以使用大量风格的界面，可以使用大量widgetwidget部件来加快部件来加快界面的生成。界面的生成。WiresharkWireshark支持基于表达式的报文过滤，能对所有能解析的协议头字支持基于表达式的报文过滤，能对所有能解析的协议头字段进行过滤操作。段进行过滤操作。WiresharkWireshark支持对语音协议报文交互进行流程分析，能区分不同会话支持对语音协议报文交互进行流程分析，能区分不同会话过程。过程。WiresharkWireshark支持第三方的语音播放库支持第三方的语音播放库“portaudio”portaudio”。3H3C wireshar

3、k对对wireshark的增强的增强H3C H3C 对对WiresharkWireshark的功能进行了增加，包括：的功能进行了增加，包括：H3C H3C 插件（新版本）：解析插件（新版本）：解析H3CH3C路由器端口镜像格式的包。目前，能解析路由器端口镜像格式的包。目前，能解析ARAR路由器、路由器、MSRMSR路由器的镜像报文（语音和数据）。路由器的镜像报文（语音和数据）。语音增强功能：语音增强功能： 1 1）解析我司语音命令，包括上层和驱动的之间的消息交互、驱动和）解析我司语音命令，包括上层和驱动的之间的消息交互、驱动和DSPDSP的之的之间的消息交互等。间的消息交互等。 2 2）可以解

4、析）可以解析ARAR和和MSRMSR的的PCMPCM包（包（ PCMPCM抓包已经不再受一分钟限制）；抓包已经不再受一分钟限制）； 3 3）能直接播放以太网上的）能直接播放以太网上的RTPRTP流流 4 4）能播放我司端口镜像的）能播放我司端口镜像的RTPRTP流流 5 5）能分析、显示把）能分析、显示把RTPRTP流，并能按流方向转换成流，并能按流方向转换成PCMPCM和和WAVEWAVE文件等文件等 6 6） 形成了我司自己的体系，方便以后集成。形成了我司自己的体系，方便以后集成。4H3C路由器路由器 为什么需要报文镜像为什么需要报文镜像?问题问题 串口、E1、ATM、CPOS、以太等接口

5、的物理报文如何抓下来并有工具可以解析？ 如何抓取上层模块与DSP的交互、语音端口的RTP报文、长时间的PCM报文？ 对抓到的语音报文如何直观的进行解码、信令交互分析、RTP报文分析？对协议报文的分析是定位问题的一个主要途径，然而由于以下原因使我们获取协议报文对协议报文的分析是定位问题的一个主要途径，然而由于以下原因使我们获取协议报文存在障碍。存在障碍。 路由器通常不提供报文镜像的硬件支持（如交换机的端口镜像） 通常的抓包软件只支持以太口接入方式，对于类型丰富的路由器接口存在明显的局限 要获取某个故障接口的交互协议报文，通常会中断正常业务(使用协议分析仪)5H3C Wireshark是路由器的镜

6、像报文的利器是路由器的镜像报文的利器镜像后的报文，加入了一层私有的报文头，需要工具辅助进行报文头镜像后的报文，加入了一层私有的报文头，需要工具辅助进行报文头和负载的解析，否则报文分析工作将会异常困难。和负载的解析，否则报文分析工作将会异常困难。需要一个工具对镜像的报文进行过滤操作。需要一个工具对镜像的报文进行过滤操作。需要一个工具对镜像的语音报文进行解码、信令交互分析、需要一个工具对镜像的语音报文进行解码、信令交互分析、RTPRTP报文报文分析。分析。好的工具可以提高生产力，提高我们的生活品质！好的工具可以提高生产力，提高我们的生活品质！6H3C Wireshark是解决语音问题的强大工具是解

7、决语音问题的强大工具H3C WiresharkH3C Wireshark能分析、播放、能分析、播放、H3CH3C路由器的语音信令、路由器的语音信令、PCMPCM、以、以及及RTPRTP。H3C WiresharkH3C Wireshark还对普通的语音协议（还对普通的语音协议（SIPSIP和和H323H323）的解析、可视）的解析、可视化界面做了扩展。化界面做了扩展。H3C WiresharkH3C Wireshark还对普通还对普通RTPRTP报文（其它厂家、普通以太网上抓包报文（其它厂家、普通以太网上抓包所得）分析、播放功能进行了扩展。所得）分析、播放功能进行了扩展。好的工具可以提高生产力

8、，提高我们的生活品质！好的工具可以提高生产力，提高我们的生活品质！7n H3C Wireshark的功能简介的功能简介n H3C Wireshark的使用方法的使用方法内容提纲内容提纲8H3C Wireshark的安装的安装1. 1. 首先安装标准版的首先安装标准版的wiresharkwireshark（0.99.60.99.6版本）版本）2.2.如果仅需要解析镜像报文，不需要其它如果仅需要解析镜像报文，不需要其它分析功能，只需要在标准版的基础上安装分析功能，只需要在标准版的基础上安装解析插件解析插件 -对外发布版本。对外发布版本。方法方法: : 把目录把目录pluginsplugins下是新

9、增的镜像报下是新增的镜像报文解析插件（文解析插件（h3ccapture.dllh3ccapture.dll），直接），直接拷贝到对应目录。拷贝到对应目录。3. 3. 如果还需要其它分析增强功能（如果还需要其它分析增强功能（-内内部分析使用版本），把分析工具安装目录部分析使用版本），把分析工具安装目录下的文件：下的文件：wireshark.exewireshark.exe、libwireshark.dlllibwireshark.dll覆盖覆盖wiresharkwireshark安装目安装目录下的文件。录下的文件。 9解析：镜像的普通报文解析：镜像的普通报文本分析工具可以直接解析被镜像的报文，辅

10、助对所镜像的报文进行分析。10解析语音端口解析语音端口PCM数据镜像数据镜像注意：Comware V3和V5的报文格式（H3C私有报头、H3C语音报头格式稍有区别，见H3C Voice Protocol里面version字段）。11聚合语音端口聚合语音端口PCM数据镜像数据镜像新增把抓取到的pcm数据聚合成pcm文件的功能.突破了原有AR设备上PCM抓包只支持一分钟的限制。12解析语音信令（解析语音信令（1）V3格式语音信令报文能显示DSP与上层软件（VPP）的信令交互。13解析语音信令（解析语音信令（2）V5格式语音信令报文能显示DSP与上层软件（VPP）的信令交互。14解析解析RTP报文、

11、以及报文、以及H3C镜像的镜像的RTP报文报文扩展原有的RTP报文分析功能，使之不仅能解析普通的RTP报文，还能解析H3C私有的RTP镜像报文15分析分析RTP报文（报文（1）扩展原有的RTP报文分析功能，使之增加对H3C私有的RTP镜像报文的支持16分析分析RTP报文（报文（2）17显示显示RTP流流扩展原有的RTP流显示功能，使之增加对H3C私有的RTP镜像报文的支持18扩展原有的扩展原有的VOIP呼叫分析功能呼叫分析功能扩展原有的VOIP呼叫分析功能： 1）使之增加对H3C私有的RTP镜像报文的支持 2）支持G.729和G.723解码播放19RTP报文的播放报文的播放-方法方法A方法：Statistics(Menu)-VoIP Calls-Player(Button)-Decode,选择一条语音流（单方向）播放。20RTP报文的播放报文的播放-方法方法A21新增RTP报文格式转化功能：能按流方向分别生成对应的PCM和WAVE文件 RTP报文的播放报文的播放-方法方法A22RTP报文的播放报文的播放-方法方法B方法：Statistics(Menu)-RTP-Play Streams-Player(Button)-Decode,选择一条语音流播放。注意：目前方法B 不支持混合RTP流(普通RTP流和镜像RTP流混在一个抓包文件里）的扫描。23RTP报文的播