H3C Wireshark抓包工具使用簡介.ppt

1、H3C Wireshark工具,日期：2010.3.10,密級：內(nèi)部公開,杭州華三通信技術(shù)有限公司,顧盼杰 02417,H3C Wireshark的功能簡介 H3C Wireshark的使用方法,內(nèi)容提綱,wireshark簡介,Wireshark就是以前鼎鼎大名的開源軟件Ethreal，它支持大部分的協(xié)議解析，擁有良好的擴展架構(gòu)，非常適合作一個協(xié)議分析平臺。 Wireshark支持GTK2風(fēng)格的界面，可以使用大量widget部件來加快界面的生成。 Wireshark支持基于表達(dá)式的報文過濾，能對所有能解析的協(xié)議頭字段進(jìn)行過濾操作。 Wireshark支持對語音協(xié)議報文交互進(jìn)行流程分析，能區(qū)分

2、不同會話過程。 Wireshark支持第三方的語音播放庫“portaudio”。,H3C wireshark對wireshark的增強,H3C 對Wireshark的功能進(jìn)行了增加，包括： H3C 插件（新版本）：解析H3C路由器端口鏡像格式的包。目前，能解析AR路由器、MSR路由器的鏡像報文（語音和數(shù)據(jù)）。 語音增強功能： 1）解析我司語音命令，包括上層和驅(qū)動的之間的消息交互、驅(qū)動和DSP的之間的消息交互等。 2）可以解析AR和MSR的PCM包（ PCM抓包已經(jīng)不再受一分鐘限制）； 3）能直接播放以太網(wǎng)上的RTP流 4）能播放我司端口鏡像的RTP流 5）能分析、顯示把RTP流，并能按流方向轉(zhuǎn)

3、換成PCM和WAVE文件等 6） 形成了我司自己的體系，方便以后集成。,H3C路由器 為什么需要報文鏡像?,問題 串口、E1、ATM、CPOS、以太等接口的物理報文如何抓下來并有工具可以解析？ 如何抓取上層模塊與DSP的交互、語音端口的RTP報文、長時間的PCM報文？ 對抓到的語音報文如何直觀的進(jìn)行解碼、信令交互分析、RTP報文分析？ 對協(xié)議報文的分析是定位問題的一個主要途徑，然而由于以下原因使我們獲取協(xié)議報文存在障礙。 路由器通常不提供報文鏡像的硬件支持（如交換機的端口鏡像） 通常的抓包軟件只支持以太口接入方式，對于類型豐富的路由器接口存在明顯的局限 要獲取某個故障接口的交互協(xié)議報文，通常會

4、中斷正常業(yè)務(wù)(使用協(xié)議分析儀),H3C Wireshark是路由器的鏡像報文的利器,鏡像后的報文，加入了一層私有的報文頭，需要工具輔助進(jìn)行報文頭和負(fù)載的解析，否則報文分析工作將會異常困難。 需要一個工具對鏡像的報文進(jìn)行過濾操作。 需要一個工具對鏡像的語音報文進(jìn)行解碼、信令交互分析、RTP報文分析。,好的工具可以提高生產(chǎn)力，提高我們的生活品質(zhì)！,H3C Wireshark是解決語音問題的強大工具,H3C Wireshark能分析、播放、H3C路由器的語音信令、PCM、以及RTP。 H3C Wireshark還對普通的語音協(xié)議（SIP和H323）的解析、可視化界面做了擴展。 H3C Wiresha

5、rk還對普通RTP報文（其它廠家、普通以太網(wǎng)上抓包所得）分析、播放功能進(jìn)行了擴展。,好的工具可以提高生產(chǎn)力，提高我們的生活品質(zhì)！,H3C Wireshark的功能簡介 H3C Wireshark的使用方法,內(nèi)容提綱,H3C Wireshark的安裝,1. 首先安裝標(biāo)準(zhǔn)版的wireshark（0.99.6版本） 2.如果僅需要解析鏡像報文，不需要其它分析功能，只需要在標(biāo)準(zhǔn)版的基礎(chǔ)上安裝解析插件 -對外發(fā)布版本。 方法: 把目錄plugins下是新增的鏡像報文解析插件（h3ccapture.dll），直接拷貝到對應(yīng)目錄。 3. 如果還需要其它分析增強功能（-內(nèi)部分析使用版本），把分析工具安裝目錄下

6、的文件：wireshark.exe、libwireshark.dll覆蓋wireshark安裝目錄下的文件。,解析：鏡像的普通報文,本分析工具可以直接解析被鏡像的報文，輔助對所鏡像的報文進(jìn)行分析。,解析語音端口PCM數(shù)據(jù)鏡像,注意：Comware V3和V5的報文格式（H3C私有報頭、H3C語音報頭格式稍有區(qū)別，見H3C Voice Protocol里面version字段）。,聚合語音端口PCM數(shù)據(jù)鏡像,新增把抓取到的pcm數(shù)據(jù)聚合成pcm文件的功能.突破了原有AR設(shè)備上PCM抓包只支持一分鐘的限制。,解析語音信令（1）,V3格式語音信令報文能顯示DSP與上層軟件（VPP）的信令交互。,解析語

7、音信令（2）,V5格式語音信令報文能顯示DSP與上層軟件（VPP）的信令交互。,解析RTP報文、以及H3C鏡像的RTP報文,擴展原有的RTP報文分析功能，使之不僅能解析普通的RTP報文，還能解析H3C私有的RTP鏡像報文,分析RTP報文（1）,擴展原有的RTP報文分析功能，使之增加對H3C私有的RTP鏡像報文的支持,分析RTP報文（2）,顯示RTP流,擴展原有的RTP流顯示功能，使之增加對H3C私有的RTP鏡像報文的支持,擴展原有的VOIP呼叫分析功能,擴展原有的VOIP呼叫分析功能： 1）使之增加對H3C私有的RTP鏡像報文的支持 2）支持G.729和G.723解碼播放,RTP報文的播放-方法A,方法：Statistics(Menu)-VoIP Calls-Player(Button)-Decode,選擇一條語音流（單方向）播放。,RTP報文的播放-方法A,新增RTP報文格式轉(zhuǎn)化功能：能按流方向分別生成對應(yīng)的PCM和WAVE文件,RTP報文的播放-方法A,RTP報文的播放-方法B,方法：Statistics(Menu)-RTP-Play Streams-Player(Button)-Decode,選擇一條語音流播放。 注意：目前方法B 不支持混合RTP流(普通RTP流和鏡像RTP流混在一個抓包文件里）的掃描。,RTP報文的播