如何用wireshark解决实际问题.docx

如何用wireshark解决实际问题目录1.Wireshark显示环境的设置11.1设置显示列的源和目的端口增加包显示的可读性11.2调整包的显示41.3设置时间显示格式51.4添加过滤表达式标签51.5添加协议的解析端口71.6强制解析数据包包为某种协议102.抓包的捕捉过滤132.1捕捉过滤的语法132.1.1过滤arp消息152.2过滤sip呼叫的信令和rtp流的包162.3！的用法173.显示过滤183.1过滤某一网段端203.2按照偏移量来过滤203.3过滤ip段213.4按照packet detail里的具体的字段进行过滤214.抓包分析举例244.1网管中某个基站不在线244.1.1用ctrl+f进行查找254.1.2用packet detail里的字段进行查找264.2分析基站网管的基站的数据不能同步284.3Sip通话软件单通29Wireshark显示环境的设置设置显示列的源和目的端口增加包显示的可读性我们可以设置wireshark的显示的列字段，增加包的可读性如我们增加数据包源端口和目的端口，这样可以一目了然，知道是从哪里发的包。方法菜单edit→preferences→user interface→columns→add对具体的字段field type进行选择，显示名称标题title进行修改点应用apply后，显示的内容增加，然后在显示界面调整显示的次序调整包的显示调整各个字段的显示方式，显示的靠边，居中，靠右，列的宽度等内容设置时间显示格式这样就添加了数据包显示时的源和目的端口，便于我们定位问题添加过滤表达式标签可以在过滤器旁边添加常用过滤表达式，便于分析操作这样可以方便我们过滤出自己想要的内容。添加协议的解析端口增加协议使用的非标准端口，这样可以使使用非标准端口的包解析为标准的协议如http使用默认是80端口，但用户有时定义的端口为8080，这样就可以直接解析出8080的内容为http协议。如图：我们自己的编写的tomcat的应用程序使用的是8080端口作为http服务器监听端口，但抓包中显示的协议确实tcp我们可以在edit→preferences→protocal里找到对应的http协议添加对应解析端口，实现对8080端口的解析强制解析数据包包为某种协议也可以把使用非标准端口的包解析为某协议如我们的网管程序使用了2121端口作为ftp服务器的监听端口，但ftp默认的端口是21，这样就无法解析成ftp协议，不便于分析信令。我们可以使用收到解析的方法，把某个包解析为某种协议。选中对应端口的行，右键一点，菜单中选择decode as解析后的包协议转换为ftp抓包的捕捉过滤捕捉过滤的语法抓包的数据量很大，很多与我们的需要无关，为了减少数据的捕捉量，我们使用预过滤功能，在开始抓包过滤掉与我们需要无关的内容。语法：?Protocol?Direction?Host(s)?Value?Logical Operations?Other expression例子：?tcp?dst??80?and?tcp dst 3128/tcpdump.php?Protocol（协议）:可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.如果没有特别指明是什么协议，则默认使用所有支持的协议。?Direction（方向）:可能的值: src, dst, src and dst, src or dst如果没有特别指明来源或目的地，则默认使用 src or dst 作为关键字。例如，host 与src or dst host 是一样的。?Host(s):可能的值： net, port, host, portrange.如果没有指定此值，则默认使用host关键字。例如，src 与src host 相同。?value 当字段为host时，host后面的值为ip地址，当为port 时为端口号，当为ether host时为对应的mac地址?Logical Operations（逻辑运算）:可能的值：not, and, or.否(not)具有最高的优先级。或(or)和与(and)具有相同的优先级，运算时从左至右进行。例如，not tcp port 3128 and tcp port 23与(not tcp port 3128) and tcp port 23相同。not tcp port 3128 and tcp port 23与not (tcp port 3128 and tcp port 23)不同过滤arp消息我们要过来和arp协议并且和相关的所有消息，就用这样的语句arp ether host 70:ba:ef:e3:5e:1