程金勝*，孫領兵

（聯(lián)通系統(tǒng)集成有限公司---系統(tǒng)集成部，北京，10033）

引言

Wireshark 是網(wǎng)絡包分析工具。網(wǎng)絡包分析工具的主要作用是嘗試捕獲網(wǎng)絡包， 并嘗試顯示包的盡可能詳細的情況。就像一個超級細的過濾網(wǎng)，把所有經(jīng)過這個端口的數(shù)據(jù)進行分析和歸類，讓你有據(jù)可依，有據(jù)可查。

1 wireshark特性

? 支持UNIX和Windows平臺

? 在接口實時捕捉包

? 能詳細顯示包的詳細協(xié)議信息

? 可以打開/保存捕捉的包

? 可以導入導出其他捕捉程序支持的包數(shù)據(jù)格式

? 可以通過多種方式過濾包

? 多種方式查找包

? 通過過濾以多種色彩顯示包

? 創(chuàng)建多種統(tǒng)計分析

2 Wireshark實際案例

2.1 背景

2015年X月X日，某公司董事會議進行中，突然遠端的圖像出現(xiàn)了馬賽克，視頻終端（華為 9039S）上出現(xiàn)了丟包的提示圖標，視頻維護人員聯(lián)系網(wǎng)絡維護人員要求查找原因，但網(wǎng)絡方面馬上發(fā)了一張網(wǎng)絡正常的截圖作為證據(jù)，說明網(wǎng)絡無問題，會后雙方圍繞是否網(wǎng)絡有丟包問題進行了激烈的爭論，為了驗證雙方的說法的真實性，視頻維護人員用wireshark拿到了關鍵性的證據(jù)。

2.2 事件處理過程

針對網(wǎng)絡方面提供的網(wǎng)絡正常的截圖（圖1），視頻維護人員沒有盲目的相信，而是在會議結(jié)束后保持網(wǎng)絡狀態(tài)不變，迅速的搭建環(huán)境，進行網(wǎng)絡抓包分析。

圖1 網(wǎng)絡正常皀截圖

● 搭建環(huán)境

利用華為視頻終端9039S有兩個LAN端口的特性，筆記本連接LAN2端口，通過telnet登陸終端 ，用戶名/密碼debug/debug。執(zhí)行命令bsp ipmonitor on啟動端口鏡像（將端口2設置為端口1的鏡像）。

● 開始抓包

啟動wireshark，點擊菜單Capture－>Interfaces（圖2）。

圖2 啟動wireshark

在彈出的窗口中：點擊Options，彈出新窗口“Wireshark:Capture Options”（圖3）

圖3 點擊Options

在這個新窗口中：

A. 選擇抓包網(wǎng)口

B. 設置抓包文件在抓包電腦的存儲路徑和文件名

C. 設置抓包文件大小（一般視頻抓包文件比較大，推薦按照 100M 進行分割，便于文件的傳送和分析）

其他參數(shù)保持默認，設置完成后，點擊“Start”按鈕啟動抓包。

注：RTP層端口時在視頻呼叫建立過程中協(xié)商的，如果不是在呼叫建立前就啟動抓包，Wireshark抓不到端口協(xié)商的信令流程，就無法對RTP層進行自動解析，需要在Wireshark中手動配置RTP層對應的UDP層端口號

● 抓包有效性驗證

抓包啟動后，wireshark窗口中會出現(xiàn)大量如下圖紅框中的UDP消息報文（Source port和Destination port為10000以上的，為視頻報文），說明抓包有效。

● 包分析視頻協(xié)議為H.264，協(xié)議棧為

視頻包序列號在RTP層，需要對RTP層進行解析。在UDP報文上點擊鼠標右鍵，選擇Decode As

在彈出的窗口中（圖4），選擇Transport頁面，UDP選擇Both（不同廠家設備的端口號可能跟圖中不一樣），右邊選擇RTP，點擊OK

圖4 彈出皀窗口

Wireshark會重新對抓包文件進行解析，之后Protocol字段中視頻包會從UDP改為RTP，info字段中會呈現(xiàn)RTP層的序列號，可以用于丟包、亂序的統(tǒng)計

點擊菜單 Telephony－>RTP－>Stream Analysis，啟動RTP層統(tǒng)計（圖5），耐心等待統(tǒng)計分析過程，

圖5 啟動RTP層統(tǒng)計

完成后，將顯示下述窗口（圖6），可以看到丟包率統(tǒng)計：

圖6 丟包率統(tǒng)計

以上就完成了網(wǎng)絡診斷的過程，可以肯定是網(wǎng)絡出現(xiàn)了丟包。

繼續(xù)分析H.264層，Info中的PT（Payload Type）定義了H.264對應的應用，需將PT值（本樣例中為105和106）進行配置，用于解析H.264。

點擊菜單 Edit－>Preferences，在彈出的窗口中，展開Protocols，下拉，找到H264，在右邊輸入PT值，多個PT值間用逗號隔開，設置完成后點擊OK（圖7）

圖7 將PT值進行配置

Wireshark會重新對抓包文件進行解析，之后Protocol字段中視頻包會從RTP改為H264，info字段中會呈現(xiàn)H264層的包類型（可以通過這個找到I幀初始包）

● 常用過濾方法

Wireshark可以對抓包進行條件過濾（圖8），過濾條件可以直接輸入 ：

圖8 對抓包進行條件過濾

可以點擊“Expression”按鈕進行設置（圖9）

圖9 點擊“Expression”按鈕進行設置

● 常用過濾條件（視頻會議）

源IP地址過濾 ip.src==132.33.40.158目的IP地址過濾 ip.dst==132.33.40.158 UDP目的端口號過濾 udp.dstport == 10004協(xié)議類型過濾 h264 H264 I幀過濾 h264.nal_unit_hdr == 7 H245請求I幀的MC(miscellaneousCommand)消息過濾 h245.command == 6包內(nèi)容過濾 frame contains b5:f9:2d:3b:8c:dc:fc:d9包長度過濾 frame.len <80包序號過濾 frame.number>=18421組合過濾（終端信令發(fā)送與I幀接收）&&表示AND，||表示OR(h264.nal_unit_hdr ==7&&ip.src==132.33.40.148)||(tcp&&ip.src==132.33.40.234)

● 過濾后文件的保存

抓包文件一般都比較大，傳送和分析耗時長，可在完成抓包后，進行相關過濾，只保存過濾后的報文。

點擊菜單 File－>Export Specified Packets，在彈出的窗口中，選擇Displayed，進行保存（圖10）。

圖10 進行保存

3 結(jié)束語

wireshark是一款非常強大的網(wǎng)絡抓包分析工具，可以幫助網(wǎng)絡管理員用來解決網(wǎng)絡問題，可以讓網(wǎng)絡安全工程師用來檢測安全隱患，可以給開發(fā)人員用來測試協(xié)議執(zhí)行情況，可以用來學習網(wǎng)絡協(xié)議，在視頻會議中也是確定問題原因的利器！不要輕信每一個表面現(xiàn)象，要通過真實的數(shù)據(jù)來尋找答案！

[1] Tanenbaum A S.計算機網(wǎng)絡(修訂版)[M].4版.北京:清華大學出版社,2005.