《wireshark指导书.docx》由会员分享,可在线阅读,更多相关《wireshark指导书.docx(4页珍藏版)》请在三一办公上搜索。
1、wireshark指导书Wireshark 使用指导书 1.首先,先了解一下什么是wireshark,它的主要应用有哪些,包含了哪些特性 2.其次,了解一下想要安装运行Wireshark需要具备的软硬件条件.包含了软件包的获得,不同的操作系统下的安装,以及在安装过程中的一些注意事项。 3.然后,是对软件的熟悉,主要是对用户界面上的各个功能的介绍,以达到了解wireshark的用户界面如何使用、如何捕捉包、如何查看包、如何过滤包、以及一些其他的操作 4.再次,亲自动手去实时的捕捉数据包,它包括准备、开始、捕捉过滤、捕捉的文件格式、模式设置、停止捕捉、重新启动捕捉等操作 5.最后,是包的保存以及打
2、开已保存的文件。 以上的五步可以通过阅读下面的文档来进行学习,主要是达到对wireshark软件的一个初步认识。 Wireshark使用教程.doc通过对上篇文档的学习,我们已经对wireshark的基本操作有了一个大致的了解,下面来看看在我们平常的测试中具体使用方法。下面的这个抓包教程比较实用,可以先看看 1. 启动远程转包:由于我们平常使用的EBG设备都是服务器不会去配置一个显示器所以当我们需要去获取与EBG交互的数据包时就需要进行远程转包的操作,即通过任意一台与EBG同网段的PC上启动wireshark来进行实时的捕捉包。具体操作如下: 首先,获取一个附件文件 rpcapd 把附件文件r
3、pcapd用 winscp或windows共享 放到ebg所在linux机器的/usr/bin目录下。 用chmod 777 /usr/bin/rpcapd 修改权限 启动rpcap服务器 用:rpcapd -n & 命令 在要抓包的PC上打开wireshark,点击工具栏的captureoption 设置网卡,类型为local,后面输入rpcap:/18.250.0.23/eth0 ,如下图: 设置完成后点击start,启动抓包,这时就会看到标题栏的名称为 表示我们的转包操作已经成功完成。 2. 举例说明: 1.在平时的测试时,我们主要进行的是语音、短信、PS、SIP等业务的测试,同时还要观
4、察SCTP链路状态、上下行的heartbeat、AP的注册等数据包,以及对特定的某个ip或者IE中的特定参数的过滤,下面就一一举例: 当AP上电后,我们可以在filter 中输入SCTP去观察AP的启动是否正常,同时当AP启动后我们仍然可以观察AP与EBG之间的通信状态,当出现链路通信问题时,可以首先通过此种过滤方法判断是那方出现了问题。 同样我们可以通过输入hnbap来观察AP以及UE是否发起了注册及去注册请求, 同时EBG是否进行了响应 当我们进行位置区更新、路由区更新、语音通话、视频通话、短信、attach、PDP激活等业务测试是使用ranap进行过滤 当我们需要抓SIP的包的时候可以输
5、入SIP来进行过滤 当我们需要抓某个特定的IP的包时,输入ip.addr=18.250.0.23(特定的IP),当然你如果已经知道了源端或者目的端的IP地址,可以在加上ip.src=18.250.0.225(特定的IP)以及ip.dst=18.250.0.225(也是特定的IP) 当我们需要抓单独的PS域相关的包时,输入rua.CN_DomainIndicator=1。 当然我们也可以进行同时过滤,去抓几种包,例如ip.addr=18.250.0.23 & ranap 我们还有一个常用的过滤是通过在IE中特定参数进行标记,例如对contextID、imsi、tmsi、p-tims等等进行过滤
6、当然我们在进行抓包时,有些包可能不关注,这时可以直接在captureoption中的capture filter 中直接进行过滤 这时标题栏中会出现 表示过滤成功 抓DHCP过程可以过滤bootp,抓与AP网管之间的某些交互upload可以用http等 当我们选中某个特定的IE,然后右键点击它,在弹出的级联菜单中选中 apply as filter 再选中 selected 这时会发现 工具栏中的filter中变成了ranap,使用同样的方法,可以将你选中的IE的过滤规则保存进filter中,通过点击filter的下拉箭头,我们看见之前点击的过滤规则都被保存了下来,最多可以保存10条最近的规则。 当然在工具栏filter后有个expression按键,其中有wireshark写好的过滤规则,可以自己进行组合使用。 2.当我们需要保存一个wireshar的log时,我们需要先将目前的抓包停止 在工具栏中点击,或者在任务栏的中的capturestop 进行停止。然后我们可以点击或者点击file中选择save as进行保存。保存好得log 应显示为文件名.pcap格式的文件 最后,当我们需要将已有的log进行回放时,可以直接双击你保存好的log,或者打开wireshark后点击fileopen 来回放log。
