当前位置:文档之家 › Wireshark抓包分析PPT学习课件

Wireshark抓包分析PPT学习课件

  • 格式:ppt
  • 大小:2.23 MB
  • 文档页数:31

下载文档原格式

  / 31

合集下载

wiresharkTcpUdp抓包分析

wiresharkTcpUdp抓包分析

w i r e s h a r k T c p U d p抓包分析------------------------------------------作者xxxx------------------------------------------日期xxxxWireshark抓包分析CONTENTS5 TCP协议抓包分析5.1 TCP协议格式及特点5.2 实例分析6 UDP协议的抓包分析6.1 UDP报文格式及特点6.2 流媒体播放时传输层报文分析5 TCP协议抓包分析5.1 TCP协议的格式及特点图1 TCP协议报头格式源端口:数据发起者的端口号;目的端口:数据接收方的端口号;32bit序列号,标识当前数据段的唯一性;32bit的确认号,接收数据方返回给发送方的通知;TCP头部长度为20字节,若TCP头部的Options选项启用,则会增加首部长度,因此TCP是首部变长的传输层协议;Reserved、Reserved、Nonce、CWR、ECN-Echo:共6bit,保留待用。

URG:1bit紧急指针位,取值1代表这个数据是紧急数据需加速传递,取值0代表这是普通数据;ACK:1bit确认位,取值1代表这是一个确认的TCP包,取值0则不是确认包;PSH:1bit紧急位,取值1代表要求发送方马上发送该分段,而接收方尽快的将报文交给应用层,不做队列处理。

取值0阿迪表这是普通数据;RST:1bit重置位,当TCP收到一个不属于该主机的任何一个连接的数据,则向对方发一个复位包,此时该位取值为1,若取值为0代表这个数据包是传给自己的;SYN:1bit请求位,取值1代表这是一个TCP三次握手的建立连接的包,取值为0就代表是其他包;FIN:1bit完成位,取值1代表这是一个TCP断开连接的包,取值为0就代表是其他包;Window Size:16bit窗口大小,表示准备收到的每个TCP数据的大小;Checksum:16bit的TCP头部校验,计算TCP头部,从而证明数据的有效性;Urgent Pointer:16bit紧急数据点,当功能bit中的URG取值为1时有效;Options:TCP的头部最小20个字节。

wireshark怎么抓包、wireshark抓包详细图文教程

wireshark怎么抓包、wireshark抓包详细图文教程

wireshark怎么抓包、wireshark抓包详细图文教程wireshark是非常流行的网络封包分析软件,功能十分强大。

可以截取各种网络封包,显示网络封包的详细信息。

使用wireshark的人必须了解网络协议,否则就看不懂wireshark了.为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包.wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS 还是用Fiddler,其他协议比如TCP,UDP 就用wireshark.wireshark 开始抓包开始界面wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。

点击Caputre->Interfaces。

. 出现下面对话框,选择正确的网卡。

然后点击”Start"按钮, 开始抓包Wireshark 窗口介绍WireShark 主要分为这几个界面1。

Display Filter(显示过滤器),用于过滤2。

Packet List Pane(封包列表),显示捕获到的封包,有源地址和目标地址,端口号. 颜色不同,代表3。

Packet Details Pane(封包详细信息),显示封包中的字段4. Dissector Pane(16进制数据)5. Miscellanous(地址栏,杂项)使用过滤是非常重要的,初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。

搞得晕头转向。

过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

过滤器有两种,一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。

在Capture -〉 Capture Filters 中设置保存过滤在Filter栏上,填好Filter的表达式后,点击Save按钮,取个名字。

wiresharak抓包及分析

wiresharak抓包及分析

wireshark是一款抓包软件,比较易用,在平常可以利用它抓包,分析协议或者监控网络,是一个比较好的工具,因为最近在研究这个,所以就写一下教程,方便大家学习。

这里先说Wireshark的启动界面和抓包界面启动界面:抓包界面的启动是按file下的按钮之后会出现这个是网卡的显示,因为我有虚拟机所以会显示虚拟网卡,我们现在抓的是真实网卡上的包所以在以太网卡右边点击start 开始抓包这个就是抓包的界面了(也是主界面)Wireshark主窗口由如下部分组成:1.菜单——用于开始操作。

2.主工具栏——提供快速访问菜单中经常用到的项目的功能。

3.Fiter toolbar/过滤工具栏——提供处理当前显示过滤得方法。

4.Packet List面板——显示打开文件的每个包的摘要。

点击面板中的单独条目,包的其他情况将会显示在另外两个面板中。

5.Packet detail面板——显示您在Packet list面板中选择的包的更多详情。

6.Packet bytes面板——显示您在Packet list面板选择的包的数据,以及在Packet details面板高亮显示的字段。

7.状态栏——显示当前程序状态以及捕捉数据的更多详情。

1.菜单栏主菜单包括以下几个项目:File ——包括打开、合并捕捉文件,save/保存,Print/打印,Export/导出捕捉文件的全部或部分。

以及退出Wireshark项.Edit ——包括如下项目:查找包,时间参考,标记一个多个包,设置预设参数。

(剪切,拷贝,粘贴不能立即执行。

)View ——控制捕捉数据的显示方式,包括颜色,字体缩放,将包显示在分离的窗口,展开或收缩详情面版的地树状节点GO ——包含到指定包的功能。

Analyze ——包含处理显示过滤,允许或禁止分析协议,配置用户指定解码和追踪TCP 流等功能。

Statistics ——包括的菜单项用户显示多个统计窗口,包括关于捕捉包的摘要,协议层次统计等等。

网络抓包与分析培训.pptx

网络抓包与分析培训.pptx
常见的网络分析器产品有:Network Associates公司的Sniffer、NetXray公司的Sniffer Basic,科来协议分析、allot。 Sniffer公司目前主推硬件分析
还有免费的Ethereal、Wireshark(原Ethereal作者自行开发的)协议分析器等。
另外,Windows中自己带的网络监视器也可以抓取数据包进行协议分析。
抓包接入
交换式网络 - 交换机具备管理功能(端口镜像)
使用交换机(Switch)作为网络的中心交换设备的网络即为交换式网络。交换机(Switch) 工作在OSI模型的数据链接层,交换机各端口之间能有效地分隔冲突域,由交换机连接的网 络会将整个网络分隔成很多小的网域。 大多数三层或三层以上交换机以及一部分二层交换机都具备端口镜像功能,当您网络中的交 换机具备此功能时,可在交换机上配置好端口镜像(关于交换机镜像端口),再将科来网络 分析系统可安装在连接镜像端口的主机上方式
1、故障分析定位 2、网络质量评估 3、入侵
协议分层
从网络协议说起
协议分层
协议体系
TCP/IP模型各层的功能
协议分析器概述
协议分析器就是捕获网络数据包进行协议分析的工具。从广义上可以分为局域网分析 器和广域网分析器,也有的分析器既可以用于局域网又可以用于广域网。
广域网分析器用以捕获分析PPP、帧中继、ATM和其他链路上的数据,它采用特殊的接 口卡来读取从广域网上下载的数据帧。广域网分析器通常用一个“Y”形接头连接到广 域网以便于捕获流经的数据流。
常见的危害有:
捕获口令 ◦ 这大概是绝大多数非法使用嗅探器的理由,嗅探器可以记录明文传送的用户名和密码。
捕获专用的或者机密的信息,比如金融账号 ◦ 许多用户很放心在网上使用自己的信用卡或现金账号,然而嗅探器可以很轻松地截获在网上

WireShark教程详解PPT学习课件

WireShark教程详解PPT学习课件

Enabled Protocols…
已可以WE分AxPp析-aWn的SdPS协ub议tr列ee表s 无线应扩用展协开议数W据AP包和内WS封P装的数协据议的子树结构
Decode As… User Specified Decodes… Follow TCP Stream
Follow SSL stream
21
Protocol(协议): 可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没有特别指明是什么协议,则默认使用所有支持的协议。 Direction(方向): 可能的值: src, dst, src and dst, src or dst 如果没有特别指明来源或目的地,则默认使用 "src or dst" 作为关键字。 例如,"host 10.2.2.2"与"src or dst host 10.2.2.2"是一样的。 Host(s): 可能的值: net, port, host, portrange. 如果没有指定此值,则默认使用"host"关键字。 例如,"src 10.1.1.1"与"src host 10.1.1.1"相同。 Logical Operations(逻辑运算): 可能的值:not, and, or. 否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级,运算时从左 至右进行。 例如, "not tcp port 3128 and tcp port 23"与"(not tcp port 3128) and tcp port 23"相同。 "not tcp port 3128 and tcp port 23"与"not (tcp port 3128 and tcp port 23)"不同。

wireshark怎么抓包wireshark抓包详细图文教程

wireshark怎么抓包wireshark抓包详细图文教程

wireshark是非常流行的网络封包分析软件,功能十分强大;可以截取各种网络封包,显示网络封包的详细信息;使用wireshark的人必须了解网络协议,否则就看不懂wireshark了;为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包;wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS还是用Fiddler,其他协议比如TCP,UDP就用wireshark.wireshark开始抓包开始界面wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡;点击Caputre->Interfaces..出现下面对话框,选择正确的网卡;然后点击"Start"按钮,开始抓包Wireshark窗口介绍WireShark主要分为这几个界面1.DisplayFilter显示过滤器,用于过滤2.PacketListPane封包列表,显示捕获到的封包,有源地址和目标地址,端口号;颜色不同,代表3.PacketDetailsPane封包详细信息,显示封包中的字段4.DissectorPane16进制数据5.Miscellanous地址栏,杂项使用过滤是非常重要的,初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分;搞得晕头转向;过滤器会帮助我们在大量的数据中迅速找到我们需要的信息;过滤器有两种,一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录;在Capture->CaptureFilters中设置保存过滤在Filter栏上,填好Filter的表达式后,点击Save按钮,取个名字;比如"Filter102",Filter栏上就多了个"Filter102"的按钮;过滤表达式的规则表达式规则1.协议过滤比如TCP,只显示TCP协议;2.IP过滤3.端口过滤tcp.port==80,端口为80的tcp.srcport==80,只显示TCP协议的愿端口为80的;4.Http模式过滤5.逻辑运算符为AND/OR常用的过滤表达式HypertextTransferProtocol:应用层的信息,此处是HTTP协议TCP包的具体内容从下图可以看到wireshark捕获到的TCP包中的每个字段;看到这,基本上对wireshak有了初步了解,现在我们看一个TCP三次握手的实例三次握手过程为这图我都看过很多遍了,这次我们用wireshark实际分析下三次握手的过程;在wireshark中输入http过滤,然后选中GET/tankxiaoHTTP/1.1的那条记录,右键然后点击"FollowTCPStream",这样做的目的是为了得到与浏览器打开网站相关的数据包,将得到如下图图中可以看到wireshark截获到了三次握手的三个数据包;第四个包才是HTTP的,这说明HTTP的确是使用TCP建立连接的;第一次握手数据包客户端发送一个TCP,标志位为SYN,序列号为0,代表客户端请求建立连接;如下图第二次握手的数据包服务器发回确认包,标志位为SYN,ACK.将确认序号AcknowledgementNumber设置为客户的ISN加1以.即0+1=1,如下图第三次握手的数据包客户端再次发送确认包ACKSYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1,如下图: 就这样通过了TCP三次握手,建立了连接。

SIP呼叫流程分析和Wireshark抓包ppt课件

SIP呼叫流程分析和Wireshark抓包ppt课件
SIP呼叫流程介绍
SIP协议简介
SIP协议概念
基本SIP协议功能实体 SIP协议消息类型 Wireshark抓包 SIP消息基本结构
SIP协议概念
SIP(Session Initiation Protocol) 会话初始协议,“是一个 应用层的信令控制协议。用于创建、修改和释放一个或多个参与 者的会话。
SIP消息基本结构
SIP消息一般有起始行、消息头两部分组成。 起始行一般包含消息名称、URI、版本。 请求消息头至少包括From、To、CSeq、Call-ID、 Max-Forwards、Via 六个头字段,它们是构建SIP消息 基本单元 消息体一般采用SDP(Session Description Protocol) 协议,会话描述协议
什么是STUN服务,我是否需要使用STUN服务?
STUN代表UDP数据包简单地穿过NAT(Simple Traversal of UDP over NAT)。这是一个协议,当一个IP电 话机在NAT后面时,IP电话机可以使用这个协议检测到NAT的存在,并判断NAT的类型。一个IP电话机如果支 持STUN协议,它就可以发送一系列的STUN查询,到公共的因特网上的STUN服务器,这样就可以得到NAT 上映射到话机的公网IP地址和端口。IP电话机就可以智能地修改SIP/SDP消息中的私有IP地址。这样SIP信令 和RTP多媒体数据就可以成功地穿过NAT,而不需要修改NAT的任何配置。
SIP协议功能实体
定位服务(Location Service):SIP重定位服务器或代理服务器用来获得被叫位 置的一种服务,可由定位服务器提供,但SIP协议不规定SIP服务器如何请求定位 服务。 代理,代理服务器(Proxy、Proxy sever):用于代表其他用户发出请求的中间 程序。它既是客户机也是服务器。用户请求可以直接被代理服务器处理或被转发 给别的代理服务器。代理服务器在转发之前要对消息进行解析 ,必要时还会改写 请求。 重定向服务器(Redirect server):用来接收SIP请求,将其地址映射成零个或 多个新地址,并把结果返回给客户。与代理服务器(Proxy Server)不同,它不 发出自己的SIP请求;与用户助理服务器(User Agent Server)不同,它不接受 呼叫。 注册员(Registrar):用来接收 REGISTER 请求消息的服务器,常与代理或重定 向服务器在同一位置,可以提供定位服务。 用户助理客户(User Agent Client):用来发起SIP请求的客户程序。 用户助理服务器(User Agent Server): 收到SIP请求后负责与用户联系并代表 用户回送响应的服务程序。该响应可以表示接受、拒绝或重定向请求消息。

wireshark抓包分析

wireshark抓包分析

TCP:(TCP是面向连接的通信协议,通过三次握手建立连接,通讯完成时要拆除连接,由于TCP 是面向连接的所以只能用于点对点的通讯)源IP地址:发送包的IP地址;目的IP地址:接收包的IP地址;源端口:源系统上的连接的端口;目的端口:目的系统上的连接的端口。

TCP是因特网中的传输层协议,使用三次握手协议建立连接。

当主动方发出SYN连接请求后,等待对方回答SYN,ACK。

这种建立连接的方法可以防止产生错误的连接,TCP使用的流量控制协议是可变大小的滑动窗口协议。

第一次握手:建立连接时,客户端发送SYN包(SEQ=x)到服务器,并进入SYN_SEND状态,等待服务器确认。

第二次握手:服务器收到SYN包,必须确认客户的SYN(ACK=x+1),同时自己也送一个SYN包(SEQ=y),即SYN+ACK包,此时服务器进入SYN_RECV状态。

第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ACK=y+1),此包发送完毕,客户端和服务器进入Established状态,完成三次握手。

第一行:帧Frame1指的是要发送的数据块;其中,捕获字节等于传输的字节数第二行:以太网,是数据链路层;源MAC地址是:00:19:c6:00:06:3d,目的MAC地址是:00:1c:25:d4:91:9a;第三行:IPV4,源IP地址:172.24.3.5;目的IP是:172.24.7.26;第四行:协议类型:TCP;源端口bctp(8999),目的端口:2376;序列号:每发送一个RTP数据包,序列号就加1;ACK是TCP数据包首部中的确认标志,对已接收到的TCP报文进行确认,其为 1表示确认号有效;长度是1448字节;第五行:数据总有1448字节;其中,对应的TCP首部的数据信息:端口号:数据传输的16位源端口号和16位目的端口号(用于寻找发端和收端应用进程);该数据包相对序列号是1(此序列号用来确定传送数据的正确位置,且序列号,用来侦测丢失的包);下一个数据包的序列号是1449;Acknowledgement number是32位确认序号,其等于1表示数据包收到,确认其有效;收到的数据包的头字节长度是4位32比特;Flags含6个标志比特:URG紧急指针(urgentpointer)有效ACK确认序号有效。

wireshark怎么抓包、wireshark抓包详细图文教程

wireshark怎么抓包、wireshark抓包详细图文教程

wireshark怎么抓包、wireshark抓包详细图文教程wireshark是非常流行的网络封包分析软件,功能十分强大。

可以截取各种网络封包,显示网络封包的详细信息。

使用wireshark的人必须了解网络协议,否则就看不懂wireshark 了。

为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。

wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS 还是用Fiddler,其他协议比如TCP,UDP 就用wireshark.wireshark 开始抓包开始界面wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。

点击Caputre->Interfaces.. 出现下面对话框,选择正确的网卡。

然后点击"Start"按钮, 开始抓包Wireshark 窗口介绍WireShark 主要分为这几个界面1. Display Filter(显示过滤器),用于过滤2. Packet List Pane(封包列表),显示捕获到的封包,有源地址和目标地址,端口号。

颜色不同,代表3. Packet Details Pane(封包详细信息), 显示封包中的字段4. Dissector Pane(16进制数据)5. Miscellanous(地址栏,杂项)使用过滤是非常重要的,初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。

搞得晕头转向。

过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

过滤器有两种,一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。

在Capture -> Capture Filters 中设置保存过滤在Filter栏上,填好Filter的表达式后,点击Save按钮,取个名字。

wireshark 抓包分析

wireshark 抓包分析

Wireshark抓包实例分析(一).WireShark的使用: (1)启动WireShark。

(2)启动PC上的IE浏览器。

(3)开始分组捕获:选择“抓包”下拉菜单中的“抓包参数选择”命令,在“WireShark:抓包选项”窗口中可以设置分组捕获的选项。

(4)在这次实验中,使用窗口中显示的默认值。

选择“抓包”下拉菜单中的“网络接口”命令,显示计算机中所安装的网络接口(即网卡)。

我们需要选择电脑真实的网卡,点击后显示本机的IP地址。

(5)随后,点击“开始”则进行分组捕获,所有由选定网卡发送和接收的分组都将被捕获。

(6)待捕获一段时间,关闭浏览器,选择主窗口中有的“stop”按钮,可以停止分组的捕获。

(7)选择“文件”下拉菜单中的“另存为”,保存到我的文档中。

(二).结果分析:图1,Wireshark抓包窗口布局Wireshark的抓包结果整个窗口被分成三部分,最上面为数据包列表,用来显示截获的每个数据包的总结性信息;中间为协议树,用来显示选定的数据包所属的协议信息;最下面是以十六进制形式表示的数据包内容,用来显示数据包在物理层上传输时的最终形式。

图2,Wireshark数据包列表上图的数据包列表中,第一列是编号(如第20个包),第二列是截取时间(3.21713400),第三列Source是源地址(10.245.85.63),第四列Destination 是目的地址(211.138.180.3),第五列Protocol是这个包使用的协议DNS,第六列是数据包帧的长度,第七列Info是一些其他的信息,包括源端口号和目的端口号。

Wireshark中某些协议字段会以特殊方式显示:1, Generated fields/衍生字段 Wireshark会将自己生成附加协议字段加上括号。

衍生字段是通过该包的相关的其他包结合生成的。

例如Wireshark 在对TCP流应答序列进行分析时。

将会在TCP协议中添加[SEQ/ACK analysis]字段 2,Links/链接如果Wireshark检测到当前包与其它包的关系将会产生一个到其它包的链接。

WireShark使用说明PPT课件

WireShark使用说明PPT课件

Wireshark的使用
设置多文件连续存储 Use multiple files 如果指定条件达到临界值,Wireshark将会自动生成一个新文件。 Next n megabyte(s) 如果捕捉文件容量达到指定值,将会生成切换到新文件 Next n minutes(s) 如果捕捉文件持续时间达到指定值,将会切换到新文件。 Ring buffer with n files 仅生成制定数目的文件。 Stop caputure after n file(s) 当生成指定数目文件时,停止捕捉。
设置网卡是否为混杂捕获模式
设置缓存大小
限制捕获包大小
设置捕获过滤条件
设置捕获包存储文件
显示设置
设置多文件连续存储
设置停止捕获条件
Mac 对应设备制造商解析 IP 地址对应的域名解析
端口的对应服务名称解析
名称解析设置
Wireshark的使用
3、实时捕获数据包
设置捕获缓存大小(Buffer size)
Wireshark的使用
1、Wireshark的主窗口
菜单栏 工具栏 过滤器
包序号
捕获时间 源地址
目的地址
上层协议 包内容提要
包概况显 示窗体
协议树显 示窗体
数据显示 窗体
状态栏
包的16进制代码区
包的ASCII代码区
Wireshark的使用
2、网络数据流的监测接入点
在被监测计算机上直接捕获; 利用集线器将被检测端口的数据分为多路进行捕获;
设置写入数据到磁盘前保留在核心缓存中捕捉数据的大小。如果你发现丢包,可尝试增大该值。
设置网卡是否为混杂捕获模式(Capture packets in promiscuous mode)

Wireshark抓包分析PPT学习课件

Wireshark抓包分析PPT学习课件
Carol.Zhao@
© Polycom, Inc. All rights reserved.
云视频
© Polycom, Inc. All rights reserved.
How to capture? Wireshark的安装 Wireshark的使用 How to read H.323 message? 网络设备对我们的影响 断线问题案例 ALG故障案例
How to capture? Wireshark的安装 Wireshark的使用 How to read H.323 message? 网络设备对我们的影响 断线问题案例 ALG故障案例
17
• TCP layer issue • UDP layer issue • ALG
© Polycom, Inc. All rights reserved.
21
• 接到反馈,MCU(103.10.87.227)呼出沈阳终端(61.161.147.105),每2小时有断线故障。 • 13:41 MCU呼出沈阳终端。 • 15:53 沈阳终端发生断线。
© Polycom, Inc. All rights reserved.
22
• 沈阳:可以看到13:41有端口号为10035以及10036两个TCP握手。
24
云视频
© Polycom, Inc. All rights reserved.
How to capture? Wireshark的安装 Wireshark的使用 How to read H.323 message? 网络设备对我们的影响 断线问题案列 ALG故障案列
25
Outside Firewall Configuration • Implement a WAN (untrusted) and LAN (trusted) configuration • Configure 1:1 NAT • Set interface mode to NAT • Disable H.323 and SIP ALG (Application Layer Gateway) • Disable any H.323 helper services on the firewall (for example, Cisco® H.323 Fixup).

Wireshark抓包分析

Wireshark抓包分析

3. Wireshark的使用
单击“OK”按钮开始抓包,系统显示出接收的不同数据包 的统计信息,单击“Stop”按钮停止抓包后,所抓包的分析 结果显示在面板中,如下图所示:
例如,在抓包之前,开启了QQ的视 频聊天,因为QQ视频所使用的是 UDP协议,所以抓取的包大部分是采 用UDP协议的包。
数据包 列表
Wireshark
抓包分析
目录
1.初步认识Wireshark 2. Wireshark的安装 3. Wireshark的使用
4.结束语
1.初步认识Wireshark
Wireshark(前称Ethereal)是一个网络封包分析软 件。网络封包分析软件的功能是撷取网络封包,并 尽可能显示出最为详细的网络封包资料。Wireshark 使用WinPCAP作为接口,直接与网卡进行数据报文 交换。
Sender MAC address: FujianSt_f8:ec:eb (00:d0:f8:f8:ec:eb)
Sender IP address: 10.1.10.254 (10.1.10.254)
Target MAC address: 00:00:00_00:00:00 (00:00:00:00:00:00)
Internet Protocol(IP数据包), Src: 10.1.10.154 (10.1.10.154), Dst: 225.102.116.110(225.102.116.110)这个不用
说吧。 User Datagram Protocol(UDP数据包), Src Port: irisa (11000), Dst Port: irisa (11000)。
3. Wireshark的使用
ARP广 播分析
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

• H.245 OLC & OLC ACK
© Polycom, Inc. All rights reserved.
15
• H.460.18 (Signaling) • H.460.19 (Media)
© Polycom, Inc. All rights reserved.
16
云视频
© Polycom, Inc. All rights reserved.
• Captures which do not include call signaling will list RTP as UDP packets; H.245 as TCP packets only.
© Polycom, Inc. All rights reserved.
8
• 分析RTP Stream
9
• 分析TCP Stream
© Polycom, Inc. All rights reserved.
10Βιβλιοθήκη 云视频© Polycom, Inc. All rights reserved.
How to capture? Wireshark的安装 Wireshark的使用 How to read H.323 message? 网络设备对我们的影响 断线问题案例 ALG故障案例
7
• Important things first: Wireshark will not usually recognize any VoIP calls in a capture unless call signaling (H.225.0, H.245, SIP/SDP) is also included inthe capture.
2
• 交换机镜像(Mirror + Wireshark) • 设备本身抓包(下载后,使用Wireshark进行分析) • RPAD抓包的方法 • DMA抓包的方法
• RPD抓包的方法 • RMX抓包的方法
© Polycom, Inc. All rights reserved.
3
云视频
© Polycom, Inc. All rights reserved.
© Polycom, Inc. All rights reserved.
20
云视频
© Polycom, Inc. All rights reserved.
11
© Polycom, Inc. All rights reserved.
12
• H.225 Admission
© Polycom, Inc. All rights reserved.
13
• H.225 Connect
© Polycom, Inc. All rights reserved.
14
How to capture? Wireshark的安装 Wireshark的使用 How to read H.323 message? 网络设备对我们的影响 断线问题案例 ALG故障案例
4
• 注意以下界面,一定要安装WINCAP。
© Polycom, Inc. All rights reserved.
How to capture? Wireshark的安装 Wireshark的使用 How to read H.323 message? 网络设备对我们的影响 断线问题案例 ALG故障案例
17
• TCP layer issue • UDP layer issue • ALG
© Polycom, Inc. All rights reserved.
18
• TCP三次握手 • 发起断链
• 发起断链
© Polycom, Inc. All rights reserved.
19
• HDX systems transmit H.245 RoundTripDelayRequest every 30 seconds. • An H.323 system is not required to transmit H.245 RoundTripDelayRequest • It is mandatory that a system which received H.245 • RoundTripDelayRequest acknowledge the request with H.245 RoundTripDelayResponse • If HDX does not receive RoundTripDelayResponse, it will terminate the H.323 call
© Polycom, Inc. All rights reserved.
①Wireshark considers all out-of-order packets as being lost. ②Wireshark will NOT consider late-arriving packets as being lost if the packets are still captured in order, nomatter how late those packets arrive. ③Jitter calculations done by Wireshark should be ignored.
Carol.Zhao@
© Polycom, Inc. All rights reserved.
云视频
© Polycom, Inc. All rights reserved.
How to capture? Wireshark的安装 Wireshark的使用 How to read H.323 message? 网络设备对我们的影响 断线问题案例 ALG故障案例
5
云视频
© Polycom, Inc. All rights reserved.
How to capture? Wireshark的安装 Wireshark的使用 How to read H.323 message? 网络设备对我们的影响 断线问题案例 ALG故障案例
6
• Filter
© Polycom, Inc. All rights reserved.