H3C Wireshark抓包工具使用简介.ppt

wireshark—简介 Wireshark就是以前鼎鼎大名的开源软件Ethreal，它支持大部分的协议解析，拥有良好的扩展架构，非常适合作一个协议分析平台。 Wireshark支持GTK2风格的界面，可以使用大量widget部件来加快界面的生成。 Wireshark支持基于表达式的报文过滤，能对所有能解析的协议头字段进行过滤操作。 Wireshark支持对语音协议报文交互进行流程分析，能区分不同会话过程。 Wireshark支持第三方的语音播放库“portaudio”。 H3C wireshark—对wireshark的增强 H3C 对Wireshark的功能进行了增加，包括： H3C 插件（新版本）：解析H3C路由器端口镜像格式的包。目前，能解析AR路由器、MSR路由器的镜像报文（语音和数据）。 语音增强功能：1）解析我司语音命令，包括上层和驱动的之间的消息交互、驱动和DSP的之间的消息交互等。2）可以解析AR和MSR的PCM包（ PCM抓包已经不再受一分钟限制）；3）能直接播放以太网上的RTP流4）能播放我司端口镜像的RTP流5）能分析、显示把RTP流，并能按流方向转换成PCM和WAVE文件等6） … 形成了我司自己的体系，方便以后集成。 H3C路由器 为什么需要报文镜像? 问题 串口、E1、ATM、CPOS、以太等接口的物理报文如何抓下来并有工具可以解析？ 如何抓取上层模块与DSP的交互、语音端口的RTP报文、长时间的PCM报文？ 对抓到的语音报文如何直观的进行解码、信令交互分析、RTP报文分析？ 对协议报文的分析是定位问题的一个主要途径，然而由于以下原因使我们获取协议报文存在障碍。 路由器通常不提供报文镜像的硬件支持（如交换机的端口镜像） 通常的抓包软件只支持以太口接入方式，对于类型丰富的路由器接口存在明显的局限 要获取某个故障接口的交互协议报文，通常会中断正常业务(使用协议分析仪) H3C Wireshark是路由器的镜像报文的利器 镜像后的报文，加入了一层私有的报文头，需要工具辅助进行报文头和负载的解析，否则报文分析工作将会异常困难。 需要一个工具对镜像的报文进行过滤操作。 需要一个工具对镜像的语音报文进行解码、信令交互分析、RTP报文分析。 H3C Wireshark是解决语音问题的强大工具 H3C Wireshark能分析、播放、H3C路由器的语音信令、PCM、以及RTP。 H3C Wireshark还对普通的语音协议（SIP和H323）的解析、可视化界面做了扩展。 H3C Wireshark还对普通RTP报文（其它厂家、普通以太网上抓包所得）分析、播放功能进行了扩展。 H3C Wireshark的安装 1. 首先安装标准版的wireshark（0.99.6版本） 2.如果仅需要解析镜像报文，不需要其它分析功能，只需要在标准版的基础上安装解析插件 ----对外发布版本。 方法: 把目录plugins下是新增的镜像报文解析插件（h3ccapture.dll），直接拷贝到对应目录。 3. 如果还需要其它分析增强功能（----内部分析使用版本），把分析工具安装目录下的文件：wireshark.exe、libwireshark.dll覆盖wireshark安装目录下的文件。 解析：镜像的普通报文 解析语音端口PCM数据镜像 聚合语音端口PCM数据镜像 解析语音信令（1） 解析语音信令（2） 解析RTP报文、以及H3C镜像的RTP报文 分析RTP报文（1） 分析RTP报文（2） 显示RTP流 扩展原有的VOIP呼叫分析功能 RTP报文的播放---方法A RTP报文的播放---方法A RTP报文的播放---方法A RTP报文的播放---方法B RTP报文的播放---方法B 工具路径： \\H3cbjnt02-fs\路由器\8048\8048文档\维护组文档\网上问题\g\维护工具\H3C-wireshark * 杭州华三通信技术有限公司 H3C Wireshark工具 日期：2010.3.10 密级：内部公开 杭州华三通信技术有限公司 顾盼杰 02417H3C Wireshark的功能简介 H3C Wireshark的使用方法 内容提纲 好的工具可以提高生产力，提高我们的生活品质！ 好的工具可以提高生产力，提高我们的生活品质！ H3C Wireshark的功能简介 H3C Wireshark的使用方法 内容提纲 本分析工具可以直接解析被镜像的报文，辅助对所镜像的报文进行分析。 注意：Comware V3和V5的报文格式（H3C私有报头、H3C语音报头格式稍有区别，见H3C Voice Protocol里面version字段）。 新增把抓取到的pcm数据聚合成pcm文件的功能.突破了原有AR设备上PCM抓