文档介绍:wireshark使用方法
D
一旦截取数据包后,或打开以前截取的数据包文件,显示如Error! Reference source not found.。显示有三个视图分区:“Packet List”、“Packet Details”、“Packet bytes”。
“Packet List”用于显示所数据包,如果这是有显示过滤条件,显示的是满足该条件的所有包。
“Packet Details”用于显示在“Packet List”视图中选定的数据包的详细信息。
“Packet Bytes”以十六进制方式显示“Packet List”视图中选定的数据包的信息。
AG
如检查AG中2个端口(如tdm/1与tdm/2)之间的通话消息,。重点查看AG对软交换choose one add消息的reply,以明确AG为这2个端口分配的context号和local rtp端口号。
如上图,tdm/1的context号为310,local rtp端口号为40034;tdm/2的context号为275,local rtp端口号为40036。
, == "tdm/1" or == "tdm/2" or == 310 or == 275。
,如还需要过滤RTP, == "tdm/1" or == "tdm/2" or == 310 or == 275 or == 40034 or == 40036。
点击菜单Statistics -> RTP -> Show all streams,打开RTP Streams窗口。其中列出抓包文件中所有的RTP Stream。选中要查看的stream,再点击Analyze,打开RTP Stream Analysis窗口,进一步检查该stream的丢包率,jitter等。点击Save payload…则可将该RTP Stream保存为声音文件。(Wireshark Version ,建议尝试用Ethereal完成此操作。)
显示过滤表达式
Ethereal提供了简单但是很强大的过滤语言,通过它我们可以建立复杂的显示过滤表达式。我们可以比较数据包的数据值,也可以将多个表达式合成一个更复杂的表达式。接下来将详细介绍。
显示过滤域(Display filter fields)
在“Packet details”视图中的每一个域能够用作一个过滤字符串(filter string),这样,就只显示存在该域的数据包。例如:过滤字符串:tcp,这就只显示所有tcp协议的包。
比较表达式
我们可以创建一个比较值的显示过滤条件,通过使用不同的比较操作符。它们显示在Error! Reference source not found.
英语(English)
类C(C-like)
描述和举例(Description and Example)
eq
= =
= =
ne
!=
!=
gt
>
>10
lt
<
<10
ge
>=
ge 0x100
le
<=
<=0x20
所有的域(Field)都是有类型,见Error! Reference source not found.
类型
举例
Unsigned integer(8-bit,16bit,24bit,32bit)
无符号整型可以表示为十进制、八进制、十六进制。下面的表达式是等同的。
le 1500
le 02734
le 0x436
Signed integer(8-bit,16-bit,24-bit,32-bit)
Boolean
Ethernet address(6 bytes)
= =
I