wireshark使用方法 - 360文档中心

合集下载

相关主题

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

1. 目的

在ADSL、AG及其他产品的日常排障过程中经常需要现场进行抓包配合，本文档提供了Wireshark的常用操作指南。

2. 范围

AG、ADSL现场工程师。

3. Wireshark安装

作为Ethereal的替代产品，Wireshark（）是一款优秀且免费的抓包分析软件，可到Internet自行下载安装。

Wireshark的安装软件包由Wireshark-setup和WinPcap等2个安装文件组成。

4. Wireshark使用

4.1 抓包

点击菜单Capture -> Option s…，打开Capture Options窗口。

在Interface中选择网络接口；在Capture Filter中输入需要过滤的协议（如过滤megaco协议，输入udp port 2944）；在Capture File(s)的File中输入要保存的抓包文件名，如要将抓包分文件保存，则在Use multiple files中选择保存文件的分割机制，如下图每5M 就保存一个文件；如需要实时显示抓包结果并让抓包结果自动滚屏，则在Display Options中选中Update list of packets in real time和Automatic scrolling in live capture。

Interface：这项用于指定截包的网卡。

Link-layer header type：指定链路层包的类型，一般使用默认值。

Buffer size（n megabyte（s））：用于定义Ethereal用于截包的缓冲，当缓冲写满后，就将截的数据写道磁盘上。如果遇到ethereal丢包现象，将该缓冲尽量增大。

Capture packets in promiscuous mode：截包时，Ethereal将网口置于混杂模式。如果没有配置这项，Ethereal只能截取该PC发送和接收的包（而不是同一LAN上的所有包）。

Limit each packet to n bytes：定义Ethereal截取包的最大数据数，大于这个值的数据包将被丢掉。默认为65535。

点击Start启动抓包。

如果开启了自动保存文件机制，请确认自动存盘的前3个文件，确保机制生效。并定期检查磁盘空间，以防磁盘空间溢出。如果用Dell笔记本抓包时发现无法抓到带VLAN Tag的包，请修改注册表，修改方法参见附录。

4.1.1 常用抓包过滤命令

为防止抓包文件过大而影响分析效果，可在抓包阶段就设置抓包过滤（在Capture Filter中输入需要过滤的协议或命令）。现将常用抓包过滤命令总结如下：

Ethereal 截包过滤条件，通过and 和or，将一系列的primitive 表达式连接在一起，有时可在primitive表达式前用not。

[not ]primitive [and|or [not] primitive…]

例一：tcp port 23 and host 10.0.0.5。

这个例子表示只截取发给主机10.0.0.5的telnet数据包或主机10.0.0.5发出的telnet数据包。

例二：tcp port 23 and not host 10.0.0.5。

这个例子表示截取所有的telnet数据包，除了主机10.0.0.5收发的telnet数据包。

Primitive表达式如下：

●[src|dst] host 通过主机IP地址/名称过滤截取的数据包。也可以在前面加关键字[src|dst]来限制是目的或源地

址。

●ether [src|dst] host 同上，只是通过MAC地址来过滤。

●gateway host 截取将该主机作为网关的包，即MAC地址是主机的地址，而包的源和目的IP都不是该主机的IP

●[src|dst] net [{mask}|{len}]

●[tcp|udp] [src|dst] port 通过TCP/UDP的端口过滤

●less|greater 截取数据保小于、等于指定的大小；或大于、等于指定的大小。

●ip|ether proto IP/Ethernet层的指定协议。

●ether|ip broadcast|multicast 截取ether/ip的广播包。

● relop 允许建立一个更复杂的表达式，可以通过它来选取数据包的字节或字节范围来过滤。

4.2 分析

为便于分析，可在查看抓包文件时设置过滤。

4.2.1 ADSL

如检查PC（MAC地址为00:06:5b:e1:96:e9）的PPPoE拨号过程，可在Filter中输入eth.addr == 00:06:5b:e1:96:e9 and (pppoed or ppp)。

一旦截取数据包后，或打开以前截取的数据包文件，显示如错误!未找到引用源。。显示有三个视图分区：“Packet List”、“Packet Details”、“Packet bytes”。

“Packet List”用于显示所数据包，如果这是有显示过滤条件，显示的是满足该条件的所有包。

“Packet Details”用于显示在“Packet List”视图中选定的数据包的详细信息。

“Packet Bytes”以十六进制方式显示“Packet List”视图中选定的数据包的信息。

4.2.2 AG

如检查AG中2个端口（如tdm/1与tdm/2）之间的通话消息，则可在Filter输入megaco先进行H.248信令过滤。重点查看AG对软交换choose one add消息的reply，以明确AG为这2个端口分配的context号和local rtp端口号。