Wireshark使用指南.docx
《Wireshark使用指南.docx》由会员分享,可在线阅读,更多相关《Wireshark使用指南.docx(20页珍藏版)》请在冰点文库上搜索。
Wireshark使用指南
Wireshark使用指南
(Ed20100901)
目录Contents
1.目的4
2.范围4
3.Wireshark安装4
4.Wireshark使用4
4.1抓包4
4.2分析5
4.2.1ADSL5
4.2.2AG6
4.3保存10
附录13
1.目的
在ADSL、AG及其他产品的日常排障过程中经常需要现场进行抓包配合,本文档提供了Wireshark的常用操作指南。
2.范围
AG、ADSL现场工程师。
3.Wireshark安装
作为Ethereal的替代产品,Wireshark(http:
//www.wireshark.org)是一款优秀且免费的抓包分析软件,可到Internet自行下载安装。
下载路径:
http:
//www.wireshark.org/download.html
选择Stablereleasewindowsinstaller(32-bit)
Wireshark的安装
软件安装结束
4.Wireshark使用
4.1抓包
点击菜单Capture->Options…,打开CaptureOptions窗口。
在Interface中选择网络接口;在CaptureFilter中输入需要过滤的协议(如过滤megaco协议,输入udpport2944);在CaptureFile(s)的File中输入要保存的抓包文件名,如要将抓包分文件保存,则在Usemultiplefiles中选择保存文件的分割机制,如下图每5M就保存一个文件;如需要实时显示抓包结果并让抓包结果自动滚屏,则在DisplayOptions中选中Updatelistofpacketsinrealtime和Automaticscrollinginlivecapture。
点击Start启动抓包。
如果开启了自动保存文件机制,请确认自动存盘的前3个文件,确保机制生效。
并定期检查磁盘空间,以防磁盘空间溢出。
如果用Dell笔记本抓包时发现无法抓到带VLANTag的包,请修改注册表,修改方法参见附录。
4.2分析
为便于分析,可在查看抓包文件时设置过滤。
4.2.1ADSL
如检查PC(MAC地址为00:
06:
5b:
e1:
96:
e9)的PPPoE拨号过程,可在Filter中输入eth.addr==00:
06:
5b:
e1:
96:
e9and(pppoedorppp)。
4.2.2AG
如检查AG中2个端口(如tdm/1与tdm/2)之间的通话消息,则可在Filter输入megaco先进行H.248信令过滤。
重点查看AG对软交换chooseoneadd消息的reply,以明确AG为这2个端口分配的context号和localrtp端口号。
如上图,tdm/1的context号为310,localrtp端口号为40034;tdm/2的context号为275,localrtp端口号为40036。
如需过滤这两个端口的H.248信令,则在Filter中输入megaco.termid=="tdm/1"ormegaco.termid=="tdm/2"ormegaco.context==310ormegaco.context==275。
除了过滤这2个端口的H.248信令,如还需要过滤RTP,则在Filter中输入megaco.termid=="tdm/1"ormegaco.termid=="tdm/2"ormegaco.context==310ormegaco.context==275orudp.port==40034orudp.port==40036。
点击菜单Statistics->RTP->Showallstreams,打开RTPStreams窗口。
其中列出抓包文件中所有的RTPStream。
选中要查看的stream,再点击Analyze,打开RTPStreamAnalysis窗口,进一步检查该stream的丢包率,jitter等。
点击Savepayload…则可将该RTPStream保存为声音文件。
(WiresharkVersion1.0.3版本将RTP包导成声音文件时有bug,建议尝试用Ethereal完成此操作。
)
对于T.38传真,点击菜单Statistics->VoIPCalls检查T.38的消息流程。
对于2833,点击菜单Edit->Preferences…,根据AG中2833配置的payloadtype修改Wireshark中的RTPEvent设置,然后再检查抓包中对应的2833包。
对于RFC2198RTP冗余,点击菜单Edit->Preferences…,根据AG中RTP冗余配置的payloadtype修改Wireshark中的RTP设置,然后再检查抓包中对应的RTP包。
(Ethereal不支持该Feature。
)
4.3保存
点击菜单File->Saveas…,保存抓包文件。
可点击Displayed对只在Wireshark窗口中被过滤显示的包进行保存。
附录
如果Dell笔记本无法抓取带VLANTag的包,请按如下步骤修改注册表。
1.确保网卡版本在7.86以上。
如果网卡版本低于7.86,需要先将网卡驱动升版,请到下载更新的驱动程序。
2.运行注册表编辑程序regedit。
3.在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet下搜索TxCoalescingTicks,并确保该组为唯一的注册表项组。
4.在该注册表项组内右键创建类型为REG_SZ,名称为PreserveVlanInfoInRxPacket的注册表项,并将其值设置为1。
5.重启Windows确保设置生效。
文件结束
Endoffile