Wireshark使用指南(Ed20100901).docVIP

Wireshark使用指南 (E 编制Prepare: 审核 Review: 批准 Approve:   更改历史 Revision History 版本Ed 日期Date 更改次第Change Times 更改条号Change Item 编制Prepare 审核Review 批准Approve 1.0 2010/9/01 杜发波  目录Contents 1. 目的 4 2. 范围 4 3. Wireshark安装 4 4. Wireshark使用 4 4.1 抓包 4 4.2 分析 5 4.2.1 ADSL 5 4.2.2 AG 6 4.3 保存 10 附录 13  1. 目的 在ADSL、AG及其他产品的日常排障过程中经常需要现场进行抓包配合，本文档提供了Wireshark的常用操作指南。 2. 范围 AG、ADSL现场工程师。 3. Wireshark安装 作为Ethereal的替代产品，Wireshark（）是一款优秀且免费的抓包分析软件，可到Internet自行下载安装。 下载路径： /download.html 选择Stable release(windows installer(32-bit) Wireshark的安装. Wireshark使用 4.1 抓包 点击菜单Capture - Options…，打开Capture Options窗口。 在nterface中选择网络接口在Capture Filter中输入需要过滤的协议megaco协议，输入udp port 2944）；在Capture File(s)的File中包如要将抓包分文件保存，在Use multiple files中选择保存文件的分割机制每5M就保存一个文件；实时显示抓包结果抓包结果自动滚屏，Display Options中选中Update list of packets in real time和Automatic scrolling in live capture。 点击Start启动抓包。 如果开启了自动保存文件机制，请确认自动存盘的前3个文件，确保机制生效。并定期检查磁盘空间，以防磁盘空间溢出。如果用Dell笔记本抓包时发现无法抓到带VLAN Tag的包，请修改注册表，修改方法参见附录。 .2 分析 为便于分析，可在查看抓包文件时设置过滤。 4.2.1 ADSL 如检查PC（MAC地址为00:06:5b:e1:96:e9）的PPPoE拨号过程，可在Filter中输入eth.addr == 00:06:5b:e1:96:e9 and (pppoed or ppp) 4.2.2 AG 如检查AG中2个端口（如tdm/1与tdm/2）之间的通话，可在Filter输入megaco进行H.248信令过滤查看AG对软交换choose one add消息的reply，以明确AG分配的context和local rtp端口图，tdm/1的context号为310，local rtp端口号为40034；tdm/2的context号为275，local rtp端口号为40036。 如需过滤这两个端口的H.248信令，则在Filter中输入megaco.termid == tdm/1 or megaco.termid == tdm/2 or megaco.context == 310 or megaco.context == 275。 除了过滤这2个端口的H.248信令，如还需要过滤RTP，则在Filter中输入megaco.termid == tdm/1 or megaco.termid == tdm/2 or megaco.context == 310 or megaco.context == 275 or udp.port == 40034 or udp.port == 40036。 点击菜单Statistics - RTP - Show all streams，打开RTP Streams窗口。其中列出抓包文件中所有的RTP Stream。选中要查看的stream，再点击Analyze，打开RTP Stream Analysis窗口，进一步检查该stream的丢包率，jitter等。点击Save payload…则可将该RTP Stream保存为声音文件。（Wireshark Version 1.0.3版本将RTP包导成声音文件时有bug，建议尝试用Ethereal完成此操作。） 对于T.38传真，点击菜单Statistics - VoIP Calls检查T.38的消息流程。 对于2833，点击菜单Edit - Preferences