Wireshark使用指南(Ed40).doc

Wireshark使用指南(Ed4.0)编制Prepare:朱悫30/04/01审核 Review:批准 Approve:Document identificationVersionPage Alcatel Shanghai Bell ISE Central PM Alcatel CIT 2001TBAUAZZA1.12.114All rights reserved. Passing on and copying of this document, use and communication of its contents not permitted without written authorization更改历史Revision History版本Ed日期Date更改次第Change Times更改条号Change Item编制Prepare审核Review批准Approve1.02006/12/12朱悫1.12006/03/12修改抓包文件大小。朱悫2.02007/03/20罗毅2.12007/08/01增加附录。罗毅3.02008/09/14用Wireshark替换Ethereal，增补常用操作步骤。朱悫3.12009/01/21增加RFC2198包的查看方式。朱悫4.02010/01/25增加常用抓包过滤命令。朱悫目录Contents1. 目的42. 范围43. Wireshark安装44. Wireshark使用44.1 抓包44.1.1 常用抓包过滤命令54.2 分析64.2.1 ADSL64.2.2 AG64.3 保存11附录131. 目的在ADSL、AG及其他产品的日常排障过程中经常需要现场进行抓包配合，本文档提供了Wireshark的常用操作指南。2. 范围AG、ADSL现场工程师。3. Wireshark安装作为Ethereal的替代产品，Wireshark（）是一款优秀且免费的抓包分析软件，可到Internet自行下载安装。Wireshark的安装软件包由Wireshark-setup和WinPcap等2个安装文件组成。4. Wireshark使用4.1 抓包点击菜单Capture - Options，打开Capture Options窗口。在Interface中选择网络接口；在Capture Filter中输入需要过滤的协议（如过滤megaco协议，输入udp port 2944）；在Capture File(s)的File中输入要保存的抓包文件名，如要将抓包分文件保存，则在Use multiple files中选择保存文件的分割机制，如下图每5M就保存一个文件；如需要实时显示抓包结果并让抓包结果自动滚屏，则在Display Options中选中Update list of packets in real time和Automatic scrolling in live capture。点击Start启动抓包。如果开启了自动保存文件机制，请确认自动存盘的前3个文件，确保机制生效。并定期检查磁盘空间，以防磁盘空间溢出。如果用Dell笔记本抓包时发现无法抓到带VLAN Tag的包，请修改注册表，修改方法参见附录。4.1.1 常用抓包过滤命令为防止抓包文件过大而影响分析效果，可在抓包阶段就设置抓包过滤（在Capture Filter中输入需要过滤的协议或命令）。现将常用抓包过滤命令总结如下：抓包过滤要求抓包过滤命令MAC地址为00:18:8b:ba:86:d6的报文ether host 00:18:8b:ba:86:d6IP地址为0的报文host 0VLAN id为100的报文vlan 100ARP报文arpPPPoE报文pppoedDHCP报文udp port 67 or udp port 68IGMP报文ip multicast and not udpmegaco信令报文（通常端口为2944）udp port 2944sip信令报文（通常端口为5060）udp port 5060SCTP报文（通常端口为9900）udp port 99004.2 分析为便于分析，可在查看抓包文件时设置过滤。4.2.1 ADSL如检查PC（MAC地址为00:06:5b:e1:96:e9）的PPPoE拨号过程，可在Filter中输入eth.addr = 00:06:5b:e1:96:e9 and (pppoed or ppp)。4.2.2 AG如检查AG中2个端口（如tdm/1与tdm/2）之间的通话消息，则可在Filter输入megaco先进行H.248信令过滤。重点查看AG对软交换choose one add消息的reply，以明确AG为这2个端口分配的context号和local rtp端口号。如上图，tdm/1的context号为310，local rtp端口号为40034；tdm/2的context号为275，local rtp端口号为40036。如需过滤这两个端口的H.248信令，则在Filter中输入megaco.termid = tdm/1 or megaco.termid = tdm/2 or megaco.context = 310 or megaco.context = 275。除了过滤这2个端口的H.248信令，如还需要过滤RTP，则在Filter中输入megaco.termid = tdm/1 or megaco.termid = tdm/2 or megaco.context = 310 or megaco.context = 275 or udp.port = 40034 or udp.port = 40036。点击菜单Statistics - RTP - Show all streams，打开RTP Streams窗口。其中列出抓包文件中所有的RTP Stream。选中要查看的stream，再点击Analyze，打开RTP Stream Analysis窗口，进一步检查该stream的丢包率，jitter等。点击Save payload则可将该RTP Stream保存为声音文件。（Wireshark Version 1.0.3版本将RTP包导成声音文件时有bug，建议尝试用Ethereal完成此操作。）对于T.38传真，点击菜单Statistics - VoIP Calls检查T.38的消息流程。对于2833，点击菜单Edit - Preferences，根据AG中2833配置的payload type修改Wireshark中的RTP Event设置，然后再检查抓包中对应的2833包。对于RFC2198 RTP冗余，点击菜单Edit - Preferences，根据AG中RTP冗余配置的payload type修改Wireshark中的RTP设置，然后再检查抓包中对应的RTP包。（Ethereal不支持该Feature。）4.3 保存点击菜单File - Save as，保存抓包文件。可点击Displayed对只在Wireshark窗口中被过滤显示的包进行保存。附录如果Dell笔记本无法抓取带VLAN Tag的包，请按如下步骤修改注册表。1确保网卡版本在7.86以上。如果网卡版本低于7.86，需要先将网卡驱动升版，请到/drivers/downloaddrivers.php 下载更新的驱动程序。2运行注册表编辑程序regedit。3在HKEY_LOCAL