APP下载

寻找视频会议中花屏的原因
——wireshark使用教程

2018-09-25程金胜孙领兵

数码设计 2018年5期
关键词:字段端口菜单

程金胜*,孙领兵

(联通系统集成有限公司---系统集成部,北京,10033)

引言

Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况。就像一个超级细的过滤网,把所有经过这个端口的数据进行分析和归类,让你有据可依,有据可查。

1 wireshark特性

• 支持UNIX和Windows平台

• 在接口实时捕捉包

• 能详细显示包的详细协议信息

• 可以打开/保存捕捉的包

• 可以导入导出其他捕捉程序支持的包数据格式

• 可以通过多种方式过滤包

• 多种方式查找包

• 通过过滤以多种色彩显示包

• 创建多种统计分析

2 Wireshark实际案例

2.1 背景

2015年X月X日,某公司董事会议进行中,突然远端的图像出现了马赛克,视频终端(华为 9039S)上出现了丢包的提示图标,视频维护人员联系网络维护人员要求查找原因,但网络方面马上发了一张网络正常的截图作为证据,说明网络无问题,会后双方围绕是否网络有丢包问题进行了激烈的争论,为了验证双方的说法的真实性,视频维护人员用wireshark拿到了关键性的证据。

2.2 事件处理过程

针对网络方面提供的网络正常的截图(图1),视频维护人员没有盲目的相信,而是在会议结束后保持网络状态不变,迅速的搭建环境,进行网络抓包分析。

图1 网络正常皀截图

● 搭建环境

利用华为视频终端9039S有两个LAN端口的特性,笔记本连接LAN2端口,通过telnet登陆终端 ,用户名/密码debug/debug。执行命令bsp ipmonitor on启动端口镜像(将端口2设置为端口1的镜像)。

● 开始抓包

启动wireshark,点击菜单Capture->Interfaces(图2)。

图2 启动wireshark

在弹出的窗口中:点击Options,弹出新窗口“Wireshark:Capture Options”(图3)

图3 点击Options

在这个新窗口中:

A. 选择抓包网口

B. 设置抓包文件在抓包电脑的存储路径和文件名

C. 设置抓包文件大小(一般视频抓包文件比较大,推荐按照 100M 进行分割,便于文件的传送和分析)

其他参数保持默认,设置完成后,点击“Start”按钮启动抓包。

注:RTP层端口时在视频呼叫建立过程中协商的,如果不是在呼叫建立前就启动抓包,Wireshark抓不到端口协商的信令流程,就无法对RTP层进行自动解析,需要在Wireshark中手动配置RTP层对应的UDP层端口号

● 抓包有效性验证

抓包启动后,wireshark窗口中会出现大量如下图红框中的UDP消息报文(Source port和Destination port为10000以上的,为视频报文),说明抓包有效。

● 包分析视频协议为H.264,协议栈为

视频包序列号在RTP层,需要对RTP层进行解析。在UDP报文上点击鼠标右键,选择Decode As

在弹出的窗口中(图4),选择Transport页面,UDP选择Both(不同厂家设备的端口号可能跟图中不一样),右边选择RTP,点击OK

图4 弹出皀窗口

Wireshark会重新对抓包文件进行解析,之后Protocol字段中视频包会从UDP改为RTP,info字段中会呈现RTP层的序列号,可以用于丢包、乱序的统计

点击菜单 Telephony->RTP->Stream Analysis,启动RTP层统计(图5),耐心等待统计分析过程,

图5 启动RTP层统计

完成后,将显示下述窗口(图6),可以看到丢包率统计:

图6 丢包率统计

以上就完成了网络诊断的过程,可以肯定是网络出现了丢包。

继续分析H.264层,Info中的PT(Payload Type)定义了H.264对应的应用,需将PT值(本样例中为105和106)进行配置,用于解析H.264。

点击菜单 Edit->Preferences,在弹出的窗口中,展开Protocols,下拉,找到H264,在右边输入PT值,多个PT值间用逗号隔开,设置完成后点击OK(图7)

图7 将PT值进行配置

Wireshark会重新对抓包文件进行解析,之后Protocol字段中视频包会从RTP改为H264,info字段中会呈现H264层的包类型(可以通过这个找到I帧初始包)

● 常用过滤方法

Wireshark可以对抓包进行条件过滤(图8),过滤条件可以直接输入 :

图8 对抓包进行条件过滤

可以点击“Expression”按钮进行设置(图9)

图9 点击“Expression”按钮进行设置

● 常用过滤条件(视频会议)

源IP地址过滤 ip.src==132.33.40.158目的IP地址过滤 ip.dst==132.33.40.158 UDP目的端口号过滤 udp.dstport == 10004协议类型过滤 h264 H264 I帧过滤 h264.nal_unit_hdr == 7 H245请求I帧的MC(miscellaneousCommand)消息过滤 h245.command == 6包内容过滤 frame contains b5:f9:2d:3b:8c:dc:fc:d9包长度过滤 frame.len <80包序号过滤 frame.number>=18421组合过滤(终端信令发送与I帧接收)&&表示AND,||表示OR(h264.nal_unit_hdr ==7&&ip.src==132.33.40.148)||(tcp&&ip.src==132.33.40.234)

● 过滤后文件的保存

抓包文件一般都比较大,传送和分析耗时长,可在完成抓包后,进行相关过滤,只保存过滤后的报文。

点击菜单 File->Export Specified Packets,在弹出的窗口中,选择Displayed,进行保存(图10)。

图10 进行保存

3 结束语

wireshark是一款非常强大的网络抓包分析工具,可以帮助网络管理员用来解决网络问题,可以让网络安全工程师用来检测安全隐患,可以给开发人员用来测试协议执行情况,可以用来学习网络协议,在视频会议中也是确定问题原因的利器!不要轻信每一个表面现象,要通过真实的数据来寻找答案!

[1] Tanenbaum A S.计算机网络(修订版)[M].4版.北京:清华大学出版社,2005.

猜你喜欢

字段端口菜单
带钩或不带钩选择方框批量自动换
一种有源二端口网络参数计算方法
一种端口故障的解决方案
中国新年菜单
多按键情况下,单片机端口不足的解决方法
浅谈台湾原版中文图书的编目经验
现有网络架构及迁移方案
本月菜单
无正题名文献著录方法评述
无正题名文献著录方法评述