文档介绍：.
实用文档.
1. 目的
在ADSL、AG及其他产品的日常排障过程中经常需要现场进行抓包配合，本文档提供了Wireshark的常用操作指南。
2. 范围
AG、ADSL现场工程师。
3. Wireshark安装
作为Ethereal的替代产品，Wireshark〔 :// 〕是一款优秀且免费的抓包分析软件，可到Internet自行下载安装。
Wireshark的安装软件包由Wireshark-setup和WinPcap等2个安装文件组成。
4. Wireshark使用
抓包
点击菜单Capture -> Options…，翻开Capture Options窗口。
在Interface中选择网络接口；在Capture Filter中输入需要过滤的协议〔如过滤megaco协议，输入udp port 2944〕；在Capture File(s)的File中输入要保存的抓包文件名，如要将抓包分文件保存，那么在Use multiple files中选择保存文件的分割机制，如下列图每5M就保存一个文件；如需要实时显示抓包结果并让抓包结果自动滚屏，那么在Display Options中选中Update list of packets in real time和Automatic scrolling in live capture。
Interface：这项用于指定截包的网卡。
Link-layer header type：指定链路层包的类型，一般使用默认值。
Buffer size〔n megabyte〔s〕〕：用于定义Ethereal用于截包的缓冲，当缓冲写满后，就将截的数据写道磁盘上。如果遇到ethereal丢包现象，将该缓冲尽量增大。
Capture packets in promiscuous mode：截包时，Ethereal将网口置于混杂模式。如果没有配置这项，Ethereal只能截取该PC发送和接收的包〔而不是同一LAN上的所有包〕。
Limit each packet to n bytes：定义Ethereal截取包的最大数据数，大于这个值的数据包将被丢掉。默认为65535。
.
实用文档.
点击Start启动抓包。
如果开启了自动保存文件机制，请确认自动存盘的前3个文件，确保机制生效。并定期检查磁盘空间，以防磁盘空间溢出。如果用Dell笔记本抓包时发现无法抓到带VLAN Tag的包，请修改注册表，修改方法参见附录。
常用抓包过滤命令
为防止抓包文件过大而影响分析效果，可在抓包阶段就设置抓包过滤〔在Capture Filter中输入需要过滤的协议或命令〕。现将常用抓包过滤命令总结如下：
抓包过滤要求
抓包过滤命令
MAC地址为00:18:8b:ba:86:d6的报文
ether host 00:18:8b:ba:86:d6
IP地址为192的报文
VLAN id为100的报文
vlan 100
ARP报文
arp
PPPoE报文
pppoed
DHCP报文
udp port 67 or udp port 68
IGMP报文
ip multicast and not udp
megaco信令报文〔通常端口为2944〕
udp port 2944
sip信令报文〔通常端口为5060〕
udp port 5060
SCTP报文〔通常端口为9900〕
udp port 9900
Ethereal 截包过滤条件，通过and 和or，将一系列的primitive 表达式连接在一起，有时可在primitive表达式前用not。
[not ]primitive [and|or [not] primitive…]
例一：tcp port 23 and host 。
。
例二：tcp port 23 and not host 。
这个例子表示截取所有的telnet数据包，。
Primitive表达式如下：
[src|dst] host <host> 通过主机IP地址/名称过滤截取的数据包。也可以在前面加关键字[src|dst]来限制是目的或源地址。
ether [src|dst] host <ehost> 同上，只是通过MAC地址来过滤。
gateway host <host> 截取将该主机作为网关的包，即MAC地址是主机的地址，而包的源和目的IP都不是