Wireshark使用指南(Ed20100901)

1、.Wireshark使用指南(Ed20100901)編制Prepare:杜發(fā)波30/04/01審核 Review:批準(zhǔn) Approve:*;Document identificationVersionPage© Alcatel Shanghai Bell ISE Central PM© Alcatel CIT 2001TBAUAZZA1.12.124All rights reserved. Passing on and copying of this document, use and communication of its contents not permitted

2、without written authorization更改歷史Revision History版本Ed日期Date更改次第Change Times更改條號Change Item編制Prepare審核Review批準(zhǔn)Approve1.02010/9/01杜發(fā)波目錄Contents1. 目的42. 范圍43. Wireshark安裝44. Wireshark使用44.1 抓包44.2 分析54.2.1 ADSL54.2.2 AG64.3 保存10附錄131. 目的在ADSL、AG及其他產(chǎn)品的日常排障過程中經(jīng)常需要現(xiàn)場進行抓包配合，本文檔提供了Wireshark的常用操作指南。2. 范圍AG、A

3、DSL現(xiàn)場工程師。3. Wireshark安裝作為Ethereal的替代產(chǎn)品，Wireshark（）是一款優(yōu)秀且免費的抓包分析軟件，可到Internet自行下載安裝。下載路徑：/download.html選擇Stable releaseàwindows installer(32-bit)Wireshark的安裝 軟件安裝結(jié)束4. Wireshark使用4.1 抓包點擊菜單Capture -> Options，打開Capture Options窗口。在Interface中選擇網(wǎng)絡(luò)接口；在C

4、apture Filter中輸入需要過濾的協(xié)議（如過濾megaco協(xié)議，輸入udp port 2944）；在Capture File(s)的File中輸入要保存的抓包文件名，如要將抓包分文件保存，則在Use multiple files中選擇保存文件的分割機制，如下圖每5M就保存一個文件；如需要實時顯示抓包結(jié)果并讓抓包結(jié)果自動滾屏，則在Display Options中選中Update list of packets in real time和Automatic scrolling in live capture。點擊Start啟動抓包。如果開啟了自動保存文件機制，請確認自動存盤的前3個文件，確

5、保機制生效。并定期檢查磁盤空間，以防磁盤空間溢出。如果用Dell筆記本抓包時發(fā)現(xiàn)無法抓到帶VLAN Tag的包，請修改注冊表，修改方法參見附錄。4.2 分析為便于分析，可在查看抓包文件時設(shè)置過濾。4.2.1 ADSL如檢查PC（MAC地址為00:06:5b:e1:96:e9）的PPPoE撥號過程，可在Filter中輸入eth.addr = 00:06:5b:e1:96:e9 and (pppoed or ppp)。4.2.2 AG如檢查AG中2個端口（如tdm/1與tdm/2）之間的通話消息，則可在Filter輸入megaco先進行H.248信令過濾。重點查看AG對軟交換choose one

6、add消息的reply，以明確AG為這2個端口分配的context號和local rtp端口號。如上圖，tdm/1的context號為310，local rtp端口號為40034；tdm/2的context號為275，local rtp端口號為40036。如需過濾這兩個端口的H.248信令，則在Filter中輸入megaco.termid = "tdm/1" or megaco.termid = "tdm/2" or megaco.context = 310 or megaco.context = 275。除了過濾這2個端口的H.248信令，如還需要過濾

7、RTP，則在Filter中輸入megaco.termid = "tdm/1" or megaco.termid = "tdm/2" or megaco.context = 310 or megaco.context = 275 or udp.port = 40034 or udp.port = 40036。點擊菜單Statistics -> RTP -> Show all streams，打開RTP Streams窗口。其中列出抓包文件中所有的RTP Stream。選中要查看的stream，再點擊Analyze，打開RTP Stream An

8、alysis窗口，進一步檢查該stream的丟包率，jitter等。點擊Save payload則可將該RTP Stream保存為聲音文件。（Wireshark Version 1.0.3版本將RTP包導(dǎo)成聲音文件時有bug，建議嘗試用Ethereal完成此操作。）對于T.38傳真，點擊菜單Statistics -> VoIP Calls檢查T.38的消息流程。對于2833，點擊菜單Edit -> Preferences，根據(jù)AG中2833配置的payload type修改Wireshark中的RTP Event設(shè)置，然后再檢查抓包中對應(yīng)的2833包。對于RFC2198 RTP冗余

9、，點擊菜單Edit -> Preferences，根據(jù)AG中RTP冗余配置的payload type修改Wireshark中的RTP設(shè)置，然后再檢查抓包中對應(yīng)的RTP包。（Ethereal不支持該Feature。）4.3 保存點擊菜單File -> Save as，保存抓包文件?？牲c擊Displayed對只在Wireshark窗口中被過濾顯示的包進行保存。附錄如果Dell筆記本無法抓取帶VLAN Tag的包，請按如下步驟修改注冊表。1確保網(wǎng)卡版本在7.86以上。如果網(wǎng)卡版本低于7.86，需要先將網(wǎng)卡驅(qū)動升版，請到 下載更新的驅(qū)動程序。2運行注冊表編輯程序regedit。3在HKEY_LOCAL_MACHINESYSTEMCurrentCo