文档介绍：、AG及其他产品的日常排障过程中经常需要现场进行抓包配合,本文档提供了Wireshark的常用操作指南。、ADSL现场工程师。,Wireshark(优秀且免费的抓包分析软件,自行下载安装。Wireshark的安装软件包由Wireshark-setup和WinPcap等2个安装文件组成。->Options…,打开CaptureOptions窗口。在Interface中选择网络接口;在CaptureFilter中输入需要过滤的协议(如过滤megaco协议,输入udpport2944);在CaptureFile(s)的File中输入要保存的抓包文件名,如要将抓包分文件保存,则在Usemultiplefiles中选择保存文件的分割机制,如下图每5M就保存一个文件;如需要实时显示抓包结果并让抓包结果自动滚屏,则在DisplayOptions中选中Updatelistofpacketsinrealtime和Automaticscrollinginlivecapture。Interface:这项用于指定截包的网卡。Link-layerheadertype:指定链路层包的类型,一般使用默认值。Buffersize(nmegabyte(s)):用于定义Ethereal用于截包的缓冲,当缓冲写满后,就将截的数据写道磁盘上。如果遇到ethereal丢包现象,将该缓冲尽量增大。Capturepacketsinpromiscuousmode:截包时,Ethereal将网口置于混杂模式。如果没有配置这项,Ethereal只能截取该PC发送和接收的包(而不是同一LAN上的所有包)。Limiteachpackettonbytes:定义Ethereal截取包的最大数据数,大于这个值的数据包将被丢掉。默认为65535。点击Start启动抓包。如果开启了自动保存文件机制,请确认自动存盘的前3个文件,确保机制生效。并定期检查磁盘空间,以防磁盘空间溢出。如果用Dell笔记本抓包时发现无法抓到带VLANTag的包,请修改注册表,修改方法参见附录。,可在抓包阶段就设置抓包过滤(在CaptureFilter中输入需要过滤的协议或命令)。现将常用抓包过滤命令总结如下:抓包过滤要求抓包过滤命令MAC地址为00:18:8b:ba:86:d6的报文etherhost00:18:8b:ba:86:(通常端口为2944)udpport2944sip信令报文(通常端口为5060)udpport5060SCTP报文(通常端口为9900)udpport9900Ethereal截包过滤条件,通过and和or,将一系列的primitive表达式连接在一起,有时可在primitive表达式前用not。[not]primitive[and|or[not]primitive…]例一:。。例二:。数据包,。Primitive表达式如下:[src|dst]host<host>通过主机IP地址/名称过滤截取的数据包。也可以在前面加关键字[src|dst]来限制是目的或源地址。ether[src|dst]host<ehost>同上,只是通过MAC地址来过滤。gatewayhost<host>截取将该主机作为网关的包,即MAC地址是主机的地址,而包的源和目的IP都不是该主机的IP[src|<net>[{mask<mask>}|{len<len>}][tcp|udp][src|dst]port<port>通过TCP/UDP的端口过滤less|greater<length>截取数据保小于、等于指定的大小;或大于、等于指定的大小。ip|etherproto<protocol>IP/层的指定协议。ether|ipbroadcast|multicast截取ether/ip的广播包。<expr>relop<expr>允许建立一个更复杂的表达式,可以通过它来选取数据包的字节或字节范围来过滤。,可在查看抓包文件时设置过滤。