wireshark指导书.docVIP

Wireshark 使用指导书 1.首先，先了解一下什么是wireshark，它的主要应用有哪些，包含了哪些特性 2.其次，了解一下想要安装运行Wireshark需要具备的软硬件条件.包含了软件包的获得，不同的操作系统下的安装，以及在安装过程中的一些注意事项。 3.然后，是对软件的熟悉，主要是对用户界面上的各个功能的介绍，以达到了解wireshark的用户界面如何使用、如何捕捉包、如何查看包、如何过滤包、以及一些其他的操作 4.再次，亲自动手去实时的捕捉数据包，它包括准备、开始、捕捉过滤、捕捉的文件格式、模式设置、停止捕捉、重新启动捕捉等操作 5.最后，是包的保存以及打开已保存的文件。 以上的五步可以通过阅读下面的文档来进行学习，主要是达到对wireshark软件的一个初步认识。 通过对上篇文档的学习，我们已经对wireshark的基本操作有了一个大致的了解，下面来看看在我们平常的测试中具体使用方法。下面的这个抓包教程比较实用，可以先看看 启动远程转包（说明此功能只支持1.6版本的wireshark）：由于我们平常使用的EBG设备都是服务器不会去配置一个显示器所以当我们需要去获取与EBG交互的数据包时就需要进行远程转包的操作，即通过任意一台与EBG同网段的PC上启动wireshark来进行实时的捕捉包。具体操作如下： 首先，获取一个附件文件 rpcapd（这个文件可以在库上取\\8\tool\远程转包用的rpcapd文件） ②把附件文件rpcapd用 winscp或windows共享 放到ebg所在linux机器的/usr/bin目录下。 ③用chmod 777 /usr/bin/rpcapd 修改权限 ④启动rpcap服务器 用：rpcapd -n 命令 ⑤在要抓包的PC上打开wireshark，点击工具栏的capture→option 设置网卡，类型为local，后面输入rpcap://3/eth0 （此处的IP填写EBG IP），如下图： 设置完成后点击start，启动抓包，这时就会看到标题栏的名称为 表示我们的转包操作已经成功完成。 举例说明： 1.在平时的测试时，我们主要进行的是语音、短信、PS、SIP等业务的测试，同时还要观察SCTP链路状态、上下行的heartbeat、AP的注册等数据包，以及对特定的某个ip或者IE中的特定参数的过滤，下面就一一举例： 当AP上电后，我们可以在filter 中输入SCTP去观察AP的启动是否正常，同时当AP启动后我们仍然可以观察AP与EBG之间的通信状态（heartbeat），当出现链路通信问题时，可以首先通过此种过滤方法判断是那方出现了问题。 同样我们可以通过输入hnbap来观察AP以及UE是否发起了注册及去注册请求， 同时EBG是否进行了响应 当我们进行位置区更新、路由区更新、语音通话、视频通话、短信、attach、PDP激活等业务测试是使用ranap进行过滤（太多就不一一抓图了，可以自己试试） 当我们需要抓SIP的包的时候可以输入SIP来进行过滤 当我们需要抓某个特定的IP的包时，输入ip.addr==3(特定的IP)，当然你如果已经知道了源端或者目的端的IP地址，可以在加上ip.src==25(特定的IP)以及ip.dst==25(也是特定的IP) 当我们需要抓单独的PS域相关的包时，输入rua.CN_DomainIndicator==1。 当然我们也可以进行同时过滤，去抓几种包，例如ip.addr==3 ranap 我们还有一个常用的过滤是通过在IE中特定参数进行标记，例如对contextID、imsi、tmsi、p-tims等等进行过滤 当然我们在进行抓包时，有些包可能不关注，这时可以直接在capture→option中的capture filter 中直接进行过滤 这时标题栏中会出现 表示过滤成功 抓DHCP过程可以过滤bootp，抓与AP网管之间的某些交互upload可以用http等 ⑾当我们选中某个特定的IE，然后右键点击它，在弹出的级联菜单中选中 apply as filter 再选中 selected 这时会发现 工具栏中的filter中变成了ranap，使用同样的方法，可以将你选中的IE的过滤规则保存进filter中，通过点击filter的下拉箭头，我们看见之前点击的过滤规则都被保存了下来，最多可以保存10条最近的规则。 当然在工具栏filter后有个expression按键，其中有wireshark写好的过滤规则，可以自己进行组合使用。 2.当我们需要保存一个wireshar的log时，我们需要先将目前的抓包停止 在工具栏中点击，或者在任务栏的中的capture→stop 进行停止。然后我们可以点击或者点击file中选择sav