Wireshark使用指南(Ed20100901).doc

此文檔收集于網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系網(wǎng)站刪除Wireshark使用指南(Ed20100901)編制Prepare:杜發(fā)波30/04/01審核 Review:批準(zhǔn) Approve:此文檔僅供學(xué)習(xí)與交流更改歷史Revision History版本Ed日期Date更改次第Change Times更改條號(hào)Change Item編制Prepare審核Review批準(zhǔn)Approve1.02010/9/01杜發(fā)波目錄Contents1. 目的42. 范圍43. Wireshark安裝44. Wireshark使用44.1 抓包44.2 分析54.2.1 ADSL54.2.2 AG64.3 保存10附錄131. 目的在A(yíng)DSL、AG及其他產(chǎn)品的日常排障過(guò)程中經(jīng)常需要現(xiàn)場(chǎng)進(jìn)行抓包配合，本文檔提供了Wireshark的常用操作指南。2. 范圍AG、ADSL現(xiàn)場(chǎng)工程師。3. Wireshark安裝作為Ethereal的替代產(chǎn)品，Wireshark（）是一款優(yōu)秀且免費(fèi)的抓包分析軟件，可到Internet自行下載安裝。下載路徑：/download.html選擇Stable releasewindows installer(32-bit)Wireshark的安裝 軟件安裝結(jié)束4. Wireshark使用4.1 抓包點(diǎn)擊菜單Capture - Options，打開(kāi)Capture Options窗口。在Interface中選擇網(wǎng)絡(luò)接口；在Capture Filter中輸入需要過(guò)濾的協(xié)議（如過(guò)濾megaco協(xié)議，輸入udp port 2944）；在Capture File(s)的File中輸入要保存的抓包文件名，如要將抓包分文件保存，則在Use multiple files中選擇保存文件的分割機(jī)制，如下圖每5M就保存一個(gè)文件；如需要實(shí)時(shí)顯示抓包結(jié)果并讓抓包結(jié)果自動(dòng)滾屏，則在Display Options中選中Update list of packets in real time和Automatic scrolling in live capture。點(diǎn)擊Start啟動(dòng)抓包。如果開(kāi)啟了自動(dòng)保存文件機(jī)制，請(qǐng)確認(rèn)自動(dòng)存盤(pán)的前3個(gè)文件，確保機(jī)制生效。并定期檢查磁盤(pán)空間，以防磁盤(pán)空間溢出。如果用Dell筆記本抓包時(shí)發(fā)現(xiàn)無(wú)法抓到帶VLAN Tag的包，請(qǐng)修改注冊(cè)表，修改方法參見(jiàn)附錄。4.2 分析為便于分析，可在查看抓包文件時(shí)設(shè)置過(guò)濾。4.2.1 ADSL如檢查PC（MAC地址為00:06:5b:e1:96:e9）的PPPoE撥號(hào)過(guò)程，可在Filter中輸入eth.addr = 00:06:5b:e1:96:e9 and (pppoed or ppp)。4.2.2 AG如檢查AG中2個(gè)端口（如tdm/1與tdm/2）之間的通話(huà)消息，則可在Filter輸入megaco先進(jìn)行H.248信令過(guò)濾。重點(diǎn)查看AG對(duì)軟交換choose one add消息的reply，以明確AG為這2個(gè)端口分配的context號(hào)和local rtp端口號(hào)。如上圖，tdm/1的context號(hào)為310，local rtp端口號(hào)為40034；tdm/2的context號(hào)為275，local rtp端口號(hào)為40036。如需過(guò)濾這兩個(gè)端口的H.248信令，則在Filter中輸入megaco.termid = tdm/1 or megaco.termid = tdm/2 or megaco.context = 310 or megaco.context = 275。除了過(guò)濾這2個(gè)端口的H.248信令，如還需要過(guò)濾RTP，則在Filter中輸入megaco.termid = tdm/1 or megaco.termid = tdm/2 or megaco.context = 310 or megaco.context = 275 or udp.port = 40034 or udp.port = 40036。點(diǎn)擊菜單Statistics - RTP - Show all streams，打開(kāi)RTP Streams窗口。其中列出抓包文件中所有的RTP Stream。選中要查看的stream，再點(diǎn)擊Analyze，打開(kāi)RTP Stream Analysis窗口，進(jìn)一步檢查該stream的丟包率，jitter等。點(diǎn)擊Save payload則可將該RTP Stream保存為聲音文件。（Wireshark Version 1.0.3版本將RTP包導(dǎo)成聲音文件時(shí)有bug，建議嘗試用Ethereal完成此操作。）對(duì)于T.38傳真，點(diǎn)擊菜單Statistics - VoIP Calls檢查T(mén).38的消息流程。對(duì)于2833，點(diǎn)擊菜單Edit - Preferences，根據(jù)AG中2833配置的payload type修改Wireshark中的RTP Event設(shè)置，然后再檢查抓包中對(duì)應(yīng)的2833包。對(duì)于RFC2198 RTP冗余，點(diǎn)擊菜單Edit - Preferences，根據(jù)AG中RTP冗余配置的payload type修改Wireshark中的RTP設(shè)置，然后再檢查抓包中對(duì)應(yīng)的RTP包。（Ethereal不支持該Feature。）4.3 保存點(diǎn)擊菜單File - Save as，保存抓包文件?？牲c(diǎn)擊Displayed對(duì)只在Wireshark窗口中被過(guò)濾顯示的包進(jìn)行保存。附錄如果Dell筆記本無(wú)法抓取帶VLAN Tag的包，請(qǐng)按如下步驟修改注冊(cè)表。1確保網(wǎng)卡版本在7.86以上。如果網(wǎng)卡版本低于7.86，需要先將網(wǎng)卡驅(qū)動(dòng)升版，請(qǐng)到/drivers/downloaddrivers.php 下載更新的驅(qū)動(dòng)程序。2運(yùn)行注冊(cè)表編輯程序regedit。3在HKEY_LOCAL_MACHINESYSTEMCurrentControlSet下搜索Tx