《wireshark使用方法》由会员分享,可在线阅读,更多相关《wireshark使用方法(15页珍藏版)》请在金锄头文库上搜索。
1、1. 目的在ADSL、A及其她产品的平常排障过程中常常需要现场进行抓包配合,本文档提供了ireark的常用操作指南。2. 范畴G、ADS现场工程师。3.Wirshark安装作为Ethera的替代产品,Wrha()是一款优秀且免费的抓包分析软件,可到ernet自行下载安装。irehak的安装软件包由Wihrksetup和WiPcap等2个安装文献构成。4.iresha使用4.1 抓包点击菜单Captue -ptis,打开aptr Optins窗口。在Interfae中选择网络接口;在Cature Filte中输入需要过滤的合同(如过滤maco合同,输入d pot294);在at i(s)的Fil
2、e中输入要保存的抓包文献名,如要将抓包分文献保存,则在Usemultifils中选择保存文献的分割机制,如下图每5就保存一种文献;如需要实时显示抓包成果并让抓包成果自动滚屏,则在Diplay Options中选中Update lis of packesin reltm和Autmatic si in lie capure。Iteac:这项用于指定截包的网卡。Link-layer headertpe:指定链路层包的类型,一般使用默认值。Bufersiz(n egabyte(s)):用于定义Eterel用于截包的缓冲,当缓冲写满后,就将截的数据写道磁盘上。如果遇到eherel丢包现象,将该缓冲尽量增
3、大。Cptue kets in roiscus mode:截包时,there将网口置于混杂模式。如果没有配备这项,Ethereal只能截取该C发送和接受的包(而不是同一LAN上的所有包)。imit achpacket tn btes:定义Ethereal截取包的最大数据数,不小于这个值的数据包将被丢掉。默觉得65535。点击Strt启动抓包。如果启动了自动保存文献机制,请确认自动存盘的前个文献,保证机制生效。并定期检查磁盘空间,以防磁盘空间溢出。如果用Dell笔记本抓包时发现无法抓到带VLAN Tag的包,请修改注册表,修改措施参见附录。4.1. 常用抓包过滤命令为避免抓包文献过大而影响分析效
4、果,可在抓包阶段就设立抓包过滤(在pture lte中输入需要过滤的合同或命令)。现将常用抓包过滤命令总结如下:抓包过滤规定抓包过滤命令MC地址为00:8:b:b:86:d的报文ether hos 0:1:8b:ba:8:d6IP地址为19.168.110的报文host 19168.1.10VLAN d为10的报文vla 10ARP报文apPPE报文poedDHCP报文up prt 67 o upor 68IGP报文ip multcast and not udmga信令报文(一般端口为294)udp pot94sip信令报文(一般端口为5060)uport 5060CTP报文(一般端口为900
5、)d port 9900Etheral截包过滤条件,通过an 和or,将一系列的riiiv 体现式连接在一起,有时可在pimitive体现式前用ot。no pimtiveand|or ot primitie例一: prt 23 ad ost 10.0。这个例子表达只截取发给主机1.0.的telnet数据包或主机10.0.5发出的telet数据包。例二:tcp po23and nohos 10.0.0.5。这个例子表达截取所有的telnet数据包,除了主机10.5收发的elnet数据包。Priit体现式如下:l sr|dst host 通过主机I地址/名称过滤截取的数据包。也可以在前面加核心字r
6、c|d来限制是目的或源地址。l ethrsd h 同上,只是通过AC地址来过滤。l teway hos 截取将该主机作为网关的包,即MC地址是主机的地址,而包的源和目的IP都不是该主机的IPl src|ds net massklnlenl cp|dp srcdst port 通过TC/D的端口过滤l les|greater 截取数据保不不小于、等于指定的大小;或不小于、等于指定的大小。l p|eter proto I/Ehent层的指定合同。l ether|ipbrocastmultiast 截取etheip的广播包。l reop 容许建立一种更复杂的体现式,可以通过它来选用数据包的字节或字节
7、范畴来过滤。.2 分析为便于分析,可在查看抓包文献时设立过滤。4.1 DSL如检查C(MAC地址为0:6:5b:e1:96:e9)的PPoE拨号过程,可在Filtr中输入th.adr= 0:6:5b:1:96:9 and (ppd orppp)。一旦截取数据包后,或打开此前截取的数据包文献,显示如图12。显示有三个视图分区:“Packet ist”、“Pke Dtis”、“acket bte”。“aket Lst”用于显示所数据包,如果这是有显示过滤条件,显示的是满足该条件的所有包。“PacketDetls”用于显示在“Paket List”视图中选定的数据包的具体信息。“ack yte”以十
8、六进制方式显示“Pace ist”视图中选定的数据包的信息。4.2 AG如检查G中2个端口(如tdm与td/2)之间的通话消息,则可在ier输入gco先进行H.248信令过滤。重点查看对软互换coe on a消息的rly,以明确AG为这个端口分派的cne号和lol rtp端标语。如上图,tdm/1的conext号为310,localrtp端标语为403;dm/2的cone号为75,oca rt端标语为40036。如需过滤这两个端口的H248信令,则在Filter中输入egaoterid = tdm1 rmgco.teri =tdm/2regaco.ontxt =3 or megco.cotxt
9、 =275。除了过滤这2个端口的H.248信令,如还需要过滤RT,则在Flte中输入megcoterid= d/1or megaco.e= tdm/2 omegccntext =31 xt= 275 orudp.por = 4003or udprt = 406。点击菜单Statisi -RTP - Show l streams,打开T Strs窗口。其中列出抓包文献中所有的RTP Stam。选中要查看的tream,再点击nlyz,打开RP StreaAnalys窗口,进一步检查该strem的丢包率,jitte等。点击Savaloa则可将该RPStrm保存为声音文献。(irerkVerio 1.
10、03版本将R包导成声音文献时有bug,建议尝试用Eterel完毕此操作。)显示过滤体现式hera提供了简朴但是很强大的过滤语言,通过它我们可以建立复杂的显示过滤体现式。我们可以比较数据包的数据值,也可以将多种体现式合成一种更复杂的体现式。接下来将具体简介。显示过滤域(Displa filtr field)在“Pake etals”视图中的每一种域可以用作一种过滤字符串(ie sring),这样,就只显示存在该域的数据包。例如:过滤字符串:tcp,这就只显示所有tcp合同的包。比较体现式我们可以创立一种比较值的显示过滤条件,通过使用不同的比较操作符。它们显示在表 .11英语(English)类C
11、(C-lik)描述和举例(Deiion nd pe)e=等于p.ar= .5.6ne!=不等于ip.add!=10.5056.61g不小于.t_len0lt不不小于me.pk_en不小于或等于frame.pk_enge 0x10l不不小于或等于framepe_20所有的域(Field)都是有类型,见表 2.12类型举例Unsiged ntegr(8-bit,16b,2bt,3bit)无符号整型可以表达为十进制、八进制、十六进制。下面的体现式是等同的。ip.len le 150i.lel 0734ip.len 0x436Signed inege(8t,6-it,4-bit,3bt)BolenEt
12、hrnet addess( bytes)Etaddr =f.ff.f.ff.fIpv4addressIp.add= =10.50.61pv6 aresIPnetok nmberStrng(t)Doub-cision foati pnt ne我们常常使用这样的一种过滤条件:i.dr=12.4,它将只显示涉及ip地址1.2.3.的所有包。我们理所固然的觉得p.adr!1.2.3.4的过滤条件将不会显示p地址为1.3.4的所有包。其实否则。它说体现的意思为:“数据包有一种ip.ddr的域值不等于12.4”(te packe contains ieldnamip.ad with a alue dfeent frm .2.3.) 如果我们想过滤所有涉及p地址为12.4的数据包,我们必须将体现式写为:!(p.adr=1.24)。组合体现式通过逻辑操作符,我们可以组合过滤条件体现式。逻辑操作符如表 2.13英语(Enls)类C(C-ike)描述和举例(Desrpton n eample)And&Logial AND Ip.adr= =1.0.0.5 andcp.fag.finOr|Logical ORIp.addr= =10.00.5 orp.addr=192.1.1Xor
