wireshark使用方法概述

目的在ADSL、AG及其他产品的日常排障过程中常常需要现场进展抓包协作，本文档供给了Wireshark的常用操作指南。范围、ADSL现场工程师。Wireshark安装的替代产品，Wireshark〔〕是一款优秀且免费的抓包分析软件，可到Internet自行下载安装。Wireshark的安装软件包由Wireshark-setup和WinPcap等2个安装文件组成。Wireshark抓包点击菜单Capture->Options…，翻开CaptureOptions窗口。在Interface中选择网络接口；在CaptureFilter中输入需要过滤的协议〔如过滤megaco协议，输入udpport2944〕；在CaptureFile(s)的File中输入要保存的抓包文件名，如要将抓包分文件保存，则在Usemultiplefiles中选择保存文件的分割机制，如以下图每5M就保存一个文件；如需要实时显示抓包结果并让抓包结果自动滚屏，则在DisplayOptions中选中Updatelistofpacketsinrealtime和Automaticscrollinginlivecapture。Interface：这项用于指定截包的网卡。Link-layerheadertype：指定链路层包的类型，一般使用默认值。EtherealetherealCapturepacketsinpromiscuousmode：截包时，EtherealEtherealPC〔LAN〕。LimiteachpackettonbytesEthereal65535。点击Start启动抓包。假设开启了自动保存文件机制，请确认自动存盘的前3个文件，确保机制生效。并定期检查磁盘空间，以防磁盘空间溢出。假设用Dell笔记本抓包时觉察无法抓到带VLANTag的包，请修改注册表，修改方法参见附录。常用抓包过滤命令为防止抓包文件过大而影响分析效果，可在抓包阶段就设置抓包过滤〔在CaptureFilter中输入需要过滤的协议或命令〕。现将常用抓包过滤命令总结如下：抓包过滤要求地址为00:18:8b:ba:86:d6的报文IP地址为的报文VLANid为100的报文ARP报文报文DHCP报文IGMP报文megaco信令报文〔通常端口为2944〕sip信令报文〔通常端口为5060〕SCTP报文〔通常端口为9900〕

etherhost00:18:8b:ba:86:d6hostvlan100arppppoedudpport67orudpport68ipmulticastandnotudpudpport2944udpport5060udpport9900条件，通过and和or，将一系列的primitive表达式连接在一起，有时可在primitive表达式前用not。[not]primitive [and|or[not]primitive…]例一：tcpport23andhosttelnet例二：tcpport23andnothosttelnetPrimitive[src|dst]host<host>通过主机IP地址/名称过滤截取的数据包。也可以在前面加关键字[src|dst]来限制是目的或源地址。ether[src|dst]host<ehost>MACMACIPIP[src|dst]net<net>[{mask<mask>}|{len<len>}][tcp|udp][src|dst]port<port>TCP/UDPless|greater<length>截取数据保小于、等于指定的大小；或大于、等于指定的大小。ip|etherproto<protocol> IP/Ethernet层的指定协议。ether|ipbroadcast|multicastether/ip<expr>relop<expr>允许建立一个更简单的表达式，可以通过它来选取数据包的字节或字节范围来过滤。分析为便于分析，可在查看抓包文件时设置过滤。ADSL如检查PC〔MAC地址为00:06:5b:e1:96:e9〕PPPoE拨号过程，可在Filter中输入==00:06:5b:e1:96:e9and(pppoedorppp)。一旦截取数据包后，或翻开以前截取的数据包文件，显示如图 List”、“PacketDetails”、“Packetbytes”。“PacketList”用于显示所数据包，假设这是有显示过滤条件，显示的是满足该条件的全部包。“PacketDetails”用于显示在“PacketList”视图中选定的数据包的具体信息。“PacketBytes”以十六进制方式显示“PacketList”视图中选定的数据包的信息。AG如检查AG中2个端口〔tdm/1与tdm/2〕之间的通话消息，则可在Filter输入megaco先进展信令过滤。重点查看AG对软交换chooseoneadd消息的reply，以明确AG为这2个端口安排的context号和localrtp端口号。如上图，tdm/1的context号为310，localrtp端口号为40034；tdm/2的context号为275，localrtp端口号为40036。如需过滤这两个端口的信令，则在Filter“tdm/1“or==“tdm/2“or==310or==275。除了过滤这2个端口的信令，如还需要过滤RTP，则在Filter中输入“tdm/1“or==“tdm/2“or==310or==275or==40034or==40036。点击菜单Statistics->RTP->ShowallstreamsRTPStreamsRTPStream。选中要查看的stream，再点击Analyze，翻开RTPStreamAnalysis窗口，进一步检查该streamjitter等。点击Savepayload…则可将该RTPStream保存为声音文件。〔WiresharkVersionRTP包导成声音文件时有bug，建议尝试用Ethereal完成此操作。〕显示过滤表达式将多个表达式合成一个更简单的表达式。接下来将具体介绍。显示过滤域〔Displayfilterfields〕在“Packetdetails”视图中的每一个域能够用作一个过滤字符串〔filterstring〕，这样，就只显示存在该域的数据包。例如：过滤字符串：tcptcp比较表达式我们可以创立一个比较值的显示过滤条件，通过使用不同的比较操作符。它们显示在表-1eq英语〔English〕==描述和举例〔DescriptionandExample〕等于==ne!=不等于!=gtltge><>=>10<10大于或等于ge0x100le<=小于或等于<=0x20全部的域〔Field〕都是有类型，见表-2类型Unsignedinteger(8-bit，16bit，24bit，32bit)，16-bit，24-bit，32-bit)BooleanEthernetaddress(6bytes)addressIpv6addressIPXnetworknumberString(text)Double-precisionfloatingpointnumber

举例是等同的。le1500le02734le0x436====ip不会显示ip地址为的全部包。其实不然。它说表达的意思为：“数据包有一个的域值不等于”〔thepacketcontainsafieldnamed withavaluedifferentfrom)组合表达式英语〔Englishi〕And英语〔Englishi〕AndC(C-like)&&XorNot[…]^^!描述和举例〔Descriptionandexample〕LogicalAND==andOR==or==LogicalXOR[0:3]==xor[0:3]==Tr(tokenringMAC)LogicalNOTNotllc(Logical-linkcontrolt)SubstringOperatoreth＝00::00:20:20[0:3]==00:00:83n:m，n，m个范围的长度。[1-2]==00:83n-m，n，m的位置。[:4]==00:00:83:000:m。[4:]==20:20ethm的子序列。[2]==83上面的例子用n的格式表示一个范围。这个例子表示在n位置的值。[0:3，1-2，:4，4:，2]==00:00:83:00:83:00:00:83:00:20:20:83Ethereal允许我们将各种独立的子集组合成另外一个独立的范围集，如上例。“FilterExpression”对话框ethereal这就比较困难。我们这时可以通过“FilterExpression”对话框来写过滤条件。如图-4“FilterExpression”对话框：树形域名〔Fieldname〕列表〔协议排序〕；关系运算符〔relation〕选择列表。FiledName：从协议域名树中选择一个协议域名。每一个协议位于最上部，并带有可设为过滤条件的域。通过点击协议名称后的“+”，我们可以看到一系列的可设为过滤条件的域。Relation：选择一个关系运算符。“ispresent〔unary〕关系运算符。假设被选的域名存在数据包中，就是true；其它的关系运算符是二元的〔binary〕，还需要一个数据来完毕这个表达式〔如，需要一个值〔Value〕来协作〕。Value：我们可以在“Value”文本框中输入适宜的值。留意数据类型应当与域名〔fieldname〕匹配。时间显示格式〔timestamped〕。当我们显示数据包时，我们可以设定时间戳的显示形式。如图-5。TimeofDayDateandTimeofDaySecondsSinceBeginningofCaptureSecondsSincePreviousPacket过滤成248协议保存文件假设只需要抓取H248信令，点击Capture选择Option消灭如下示图：图-6CaptureOption点击图-6CaptureOption选择“New”在下面Filtername里〔megaco的过滤条件〕 图-7CaptureFilter

megacoFilterstringudpport2944andport2944图-8设置megaco件点击OK就创立好了过滤 megaco图-8设置megaco件信令过滤与保存MG例如:==USER001||==RTP000

有多个用户在同时使用，为了显示我们关注的用户，可以在观察时进展条件过滤，由于在抓包软件中观察信令不大便利，还可以把信令导出为文本格式，如以下图；结合原始报文来看。丢包与网络抖动RTPShowAllStreams”即可看到丢包。对于较小的丢包，可以在两端配置冗余来躲避。但根本上应排查网络问题。图-9查看丢包类似的，RTP菜单 “StreamAnalysis”即可看到网络时延是否稳定；图-10查看网络时延这里所说的网络抖动在WireShark中可以通过Delta的值来衡量，Delta是相邻两个媒体包之间的间隔值。由于网关发送媒体包时的打包间隔是固定的，在没有网络抖动的状况下，接收侧网关收到的媒体流的 Delta也应当是一个定值。当有网络抖动时，Delta的值会随着网络抖动而变化。媒体流复原对捕获的报文除了分析协议运作外，还可以复原成音频流进展问题推断。假设翻开报文看到的媒体流类型是UDP，可以右击任UDPDecodeAs”—端口选“BothRTPRTPRTP(StatisticsTelephonyshowAllStreams”，在弹出的窗口中选中其中某次媒体流交〕，点”Analyze”分析，对分析的结果可以”SavePayload”保存为.auAdobeAuditiondtmf//modem图-11媒体流复原对于，点击菜单Statistics->VoIPCalls检查的消息流程。对于2833，点击菜单Edit->Preferences…，依据AG中2833配置的payloadtype修改Wireshark中的RTPEvent设置，然后再检查抓包中对应的2833包。对于RFC2198RTP冗余，点击菜单Edit->Preferences…，依据AG中RTP冗余配置的payloadtype修改Wireshark中的RTP设置，然后再检查抓包中对应的RTP包。〔Ethereal不支持该Feature。〕保存点击菜单File->Saveas…，保存抓包文件。可点击D