中国海上卫星测控部　靳建彬



WireShark在通信IP网中的应用方法研究

中国海上卫星测控部靳建彬

【摘要】Wireshark是一种网络包分析工具，本文介绍了Wireshark软件，并研究了Wireshark在通信IP网数据监视中的应用方法和功能扩展，并针对应用中的问题提出了解决办法。

【关键词】Wireshark；数据监视

1　Wireshark简介

Wireshark 软件是一种网络包分析工具，其主要作用是捕获网络数据包并分析、显示数据包的各种信息。Wireshark是当前比较流行的开源网络分析软件，可进行二次开发，常用于网络数据的分析、网络问题的排查和网络性能的测试等。

2　通信IP网信息流监视

通信IP网是数据传输的网络平台，传输数据的种类多，数据的大小、协议、速率等各不相同。只有通过对数据流进行有效的监视，才能快速判断通信IP网系统运行是否正常、数据传输有无异常。

3　基于Wireshark的通信IP网信息流监视方法

3.1实时捕捉通信IP网信息流

Wireshark软件部署在信息流监视终端服务器上，通过接入通信IP网双平面路由器广域网口的镜像端口，可实时捕捉通信IP网出口的所有数据流。图1所示为实时抓包显示界面：

图1　实时抓包显示界面

通过软件配置，可以选择直接在主界面中显示的数据信息，如源IP、目的IP、端口、协议类型、QoS优先级等。如果要查看数据的详细信息，通过双击数据包打开数据详细信息界面(如图2所示)，查看软件解析的数据包所有信息。

图2　数据包详细信息

3.2IP会话统计

利用conversations功能，可以对所有网络IP会话进行统计，一个IP会话是两个IP地址间的所有通信。通过conversations表，可以查看网内所有交互数据的IP地址。

图3　IP会话统计

3.3捕捉数据的汇总信息

利用统计菜单中的Summary功能，可以分析汇总当前数据流的统计信息，包括数据总大小、数据流的时间长度、数据平均速度等。

图4　数据统计信息

3.4I/O图形化显示数据

通信中，需要对重要的实时数据流进行监视。借助软件的“I/OGraphs”窗口，以图形化方式实时、直观的显示数据流的通断、速率及变化趋势等信息，帮助岗位人员对数据流实时监视。

图5　I/O图

通过配置软件中的过滤条件，选择需要监视的特定数据流；通过选择图形颜色，可在同一窗口显示多个数据流；通过选择图标的显示类型，包括Line/Impulse/Dot，以不同的标示区别数据流。

3.5插件功能

通信IP网内传输的数据协议有多种，包括PDXP协议、ESP协议等，这些私有专用协议不能直接被Wireshark解析，也就不能判断其丢包、乱序等情况。经过研究，使用Wireshark内置Lua脚本引擎，基于Lua脚本语言开发了PDXP插件和ESP插件，实现了实时包数量统计、丢包和乱序自动提示等功能。

图6　插件的丢包、乱序监显示图

4　应用BUG分析与解决

Wireshark捕捉数据时，将来自网卡的包放在较小的核心缓存内，Wireshark读取并保存到用户指定的捕捉文件中。如果抓包软件运行时间长，捕捉数据多。过大的数据文件导致处理速度变慢，甚至出现软件中断、报错等问题。因此，在使用过程中，可以开启"Multiple files/多文件"选项，将捕捉包分割为多个小文件进行保存，以确保数据记盘的可靠性。

5　总结

本文简述了Wireshark软件，重点分析研究了Wireshark在通信IP网中的应用方法，并根据应用的问题提出了解决方法。通过对Wireshark软件的应用和功能扩展，能够实现对通信IP网数据的有效监视。

参考文献

[1]Kevin R.Fall,W.RichardStevens.TCP/IP详解[J].Pearson Education,2012,05.

[2]Wireshark中文手册.

[3]高传善等.数据通信与计算机网络[M].高等教育出版社,2008.

[4]徐良贤等.Comer D E.计算机网络与互联网[M].北京:电子工业出版社,1998.