程金胜*，孙领兵

（联通系统集成有限公司---系统集成部，北京，10033）

引言

Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包， 并尝试显示包的尽可能详细的情况。就像一个超级细的过滤网，把所有经过这个端口的数据进行分析和归类，让你有据可依，有据可查。

1 wireshark特性

• 支持UNIX和Windows平台

• 在接口实时捕捉包

• 能详细显示包的详细协议信息

• 可以打开/保存捕捉的包

• 可以导入导出其他捕捉程序支持的包数据格式

• 可以通过多种方式过滤包

• 多种方式查找包

• 通过过滤以多种色彩显示包

• 创建多种统计分析

2 Wireshark实际案例

2.1 背景

2015年X月X日，某公司董事会议进行中，突然远端的图像出现了马赛克，视频终端（华为 9039S）上出现了丢包的提示图标，视频维护人员联系网络维护人员要求查找原因，但网络方面马上发了一张网络正常的截图作为证据，说明网络无问题，会后双方围绕是否网络有丢包问题进行了激烈的争论，为了验证双方的说法的真实性，视频维护人员用wireshark拿到了关键性的证据。

2.2 事件处理过程

针对网络方面提供的网络正常的截图（图1），视频维护人员没有盲目的相信，而是在会议结束后保持网络状态不变，迅速的搭建环境，进行网络抓包分析。

图1 网络正常皀截图

● 搭建环境

利用华为视频终端9039S有两个LAN端口的特性，笔记本连接LAN2端口，通过telnet登陆终端 ，用户名/密码debug/debug。执行命令bsp ipmonitor on启动端口镜像（将端口2设置为端口1的镜像）。

● 开始抓包

启动wireshark，点击菜单Capture－>Interfaces（图2）。

图2 启动wireshark

在弹出的窗口中：点击Options，弹出新窗口“Wireshark:Capture Options”（图3）

图3 点击Options

在这个新窗口中：

A. 选择抓包网口

B. 设置抓包文件在抓包电脑的存储路径和文件名

C. 设置抓包文件大小（一般视频抓包文件比较大，推荐按照 100M 进行分割，便于文件的传送和分析）

其他参数保持默认，设置完成后，点击“Start”按钮启动抓包。

注：RTP层端口时在视频呼叫建立过程中协商的，如果不是在呼叫建立前就启动抓包，Wireshark抓不到端口协商的信令流程，就无法对RTP层进行自动解析，需要在Wireshark中手动配置RTP层对应的UDP层端口号

● 抓包有效性验证

抓包启动后，wireshark窗口中会出现大量如下图红框中的UDP消息报文（Source port和Destination port为10000以上的，为视频报文），说明抓包有效。

● 包分析视频协议为H.264，协议栈为

视频包序列号在RTP层，需要对RTP层进行解析。在UDP报文上点击鼠标右键，选择Decode As

在弹出的窗口中（图4），选择Transport页面，UDP选择Both（不同厂家设备的端口号可能跟图中不一样），右边选择RTP，点击OK

图4 弹出皀窗口

Wireshark会重新对抓包文件进行解析，之后Protocol字段中视频包会从UDP改为RTP，info字段中会呈现RTP层的序列号，可以用于丢包、乱序的统计

点击菜单 Telephony－>RTP－>Stream Analysis，启动RTP层统计（图5），耐心等待统计分析过程，

图5 启动RTP层统计

完成后，将显示下述窗口（图6），可以看到丢包率统计：

图6 丢包率统计

以上就完成了网络诊断的过程，可以肯定是网络出现了丢包。

继续分析H.264层，Info中的PT（Payload Type）定义了H.264对应的应用，需将PT值（本样例中为105和106）进行配置，用于解析H.264。

点击菜单 Edit－>Preferences，在弹出的窗口中，展开Protocols，下拉，找到H264，在右边输入PT值，多个PT值间用逗号隔开，设置完成后点击OK（图7）

图7 将PT值进行配置

Wireshark会重新对抓包文件进行解析，之后Protocol字段中视频包会从RTP改为H264，info字段中会呈现H264层的包类型（可以通过这个找到I帧初始包）

● 常用过滤方法

Wireshark可以对抓包进行条件过滤（图8），过滤条件可以直接输入 ：

图8 对抓包进行条件过滤

可以点击“Expression”按钮进行设置（图9）

图9 点击“Expression”按钮进行设置

● 常用过滤条件（视频会议）

源IP地址过滤 ip.src==132.33.40.158目的IP地址过滤 ip.dst==132.33.40.158 UDP目的端口号过滤 udp.dstport == 10004协议类型过滤 h264 H264 I帧过滤 h264.nal_unit_hdr == 7 H245请求I帧的MC(miscellaneousCommand)消息过滤 h245.command == 6包内容过滤 frame contains b5:f9:2d:3b:8c:dc:fc:d9包长度过滤 frame.len <80包序号过滤 frame.number>=18421组合过滤（终端信令发送与I帧接收）&&表示AND，||表示OR(h264.nal_unit_hdr ==7&&ip.src==132.33.40.148)||(tcp&&ip.src==132.33.40.234)

● 过滤后文件的保存

抓包文件一般都比较大，传送和分析耗时长，可在完成抓包后，进行相关过滤，只保存过滤后的报文。

点击菜单 File－>Export Specified Packets，在弹出的窗口中，选择Displayed，进行保存（图10）。

图10 进行保存

3 结束语

wireshark是一款非常强大的网络抓包分析工具，可以帮助网络管理员用来解决网络问题，可以让网络安全工程师用来检测安全隐患，可以给开发人员用来测试协议执行情况，可以用来学习网络协议，在视频会议中也是确定问题原因的利器！不要轻信每一个表面现象，要通过真实的数据来寻找答案！

[1] Tanenbaum A S.计算机网络(修订版)[M].4版.北京:清华大学出版社,2005.