H3CWireshark抓包工具使用简介.ppt

H3C Wireshark工具,日期：,密级：内部公开,杭州华三通信技术有限公司,顾盼杰 02417,H3C Wireshark的功能简介H3C Wireshark的使用方法,内容提纲,wireshark简介,Wireshark就是以前鼎鼎大名的开源软件Ethreal，它支持大部分的协议解析，拥有良好的扩展架构，非常适合作一个协议分析平台。Wireshark支持GTK2风格的界面，可以使用大量widget部件来加快界面的生成。Wireshark支持基于表达式的报文过滤，能对所有能解析的协议头字段进行过滤操作。Wireshark支持对语音协议报文交互进行流程分析，能区分不同会话过程。Wireshark支持第三方的语音播放库“portaudio”。,H3C wireshark对wireshark的增强,H3C 对Wireshark的功能进行了增加，包括：H3C 插件（新版本）：解析H3C路由器端口镜像格式的包。目前，能解析AR路由器、MSR路由器的镜像报文（语音和数据）。语音增强功能：1）解析我司语音命令，包括上层和驱动的之间的消息交互、驱动和DSP的之间的消息交互等。2）可以解析AR和MSR的PCM包（PCM抓包已经不再受一分钟限制）；3）能直接播放以太网上的RTP流 4）能播放我司端口镜像的RTP流 5）能分析、显示把RTP流，并能按流方向转换成PCM和WAVE文件等 6）形成了我司自己的体系，方便以后集成。,H3C路由器 为什么需要报文镜像?,问题串口、E1、ATM、CPOS、以太等接口的物理报文如何抓下来并有工具可以解析？如何抓取上层模块与DSP的交互、语音端口的RTP报文、长时间的PCM报文？对抓到的语音报文如何直观的进行解码、信令交互分析、RTP报文分析？对协议报文的分析是定位问题的一个主要途径，然而由于以下原因使我们获取协议报文存在障碍。路由器通常不提供报文镜像的硬件支持（如交换机的端口镜像）通常的抓包软件只支持以太口接入方式，对于类型丰富的路由器接口存在明显的局限要获取某个故障接口的交互协议报文，通常会中断正常业务(使用协议分析仪),H3C Wireshark是路由器的镜像报文的利器,镜像后的报文，加入了一层私有的报文头，需要工具辅助进行报文头和负载的解析，否则报文分析工作将会异常困难。需要一个工具对镜像的报文进行过滤操作。需要一个工具对镜像的语音报文进行解码、信令交互分析、RTP报文分析。,好的工具可以提高生产力，提高我们的生活品质！,H3C Wireshark是解决语音问题的强大工具,H3C Wireshark能分析、播放、H3C路由器的语音信令、PCM、以及RTP。H3C Wireshark还对普通的语音协议（SIP和H323）的解析、可视化界面做了扩展。H3C Wireshark还对普通RTP报文（其它厂家、普通以太网上抓包所得）分析、播放功能进行了扩展。,好的工具可以提高生产力，提高我们的生活品质！,H3C Wireshark的功能简介H3C Wireshark的使用方法,内容提纲,H3C Wireshark的安装,1.首先安装标准版的wireshark（版本）2.如果仅需要解析镜像报文，不需要其它分析功能，只需要在标准版的基础上安装解析插件-对外发布版本。方法:把目录plugins下是新增的镜像报文解析插件（h3ccapture.dll），直接拷贝到对应目录。3.如果还需要其它分析增强功能（-内部分析使用版本），把分析工具安装目录下的文件：wireshark.exe、libwireshark.dll覆盖wireshark安装目录下的文件。,解析：镜像的普通报文,本分析工具可以直接解析被镜像的报文，辅助对所镜像的报文进行分析。,解析语音端口PCM数据镜像,注意：Comware V3和V5的报文格式（H3C私有报头、H3C语音报头格式稍有区别，见H3C Voice Protocol里面version字段）。,聚合语音端口PCM数据镜像,新增把抓取到的pcm数据聚合成pcm文件的功能.突破了原有AR设备上PCM抓包只支持一分钟的限制。,解析语音信令（1）,V3格式语音信令报文能显示DSP与上层软件（VPP）的信令交互。,解析语音信令（2）,V5格式语音信令报文能显示DSP与上层软件（VPP）的信令交互。,解析RTP报文、以及H3C镜像的RTP报文,扩展原有的RTP报文分析功能，使之不仅能解析普通的RTP报文，还能解析H3C私有的RTP镜像报文,分析RTP报文（1）,扩展原有的RTP报文分析功能，使之增加对H3C私有的RTP镜像报文的支持,分析RTP报文（2）,显示RTP流,扩展原有的RTP流显示功能，使之增加对H3C私有的RTP镜像报文的支持,扩展原有的VOIP呼叫分析功能,扩展原有的VOIP呼叫分析功能：1）使之增加对H3C私有的RTP镜像报文的支持 2）支持G.729和G.723解码播放,RTP报文的播放-方法A,方法：Statistics(Menu)-VoIP Calls-Player(Button)-Decode,选择一条语音流（单方向）播放。,RTP报文的播放-方法A,新增RTP报文格式转化功能：能按流方向分别生成对应的PCM和WAVE文件,RTP报文的播放-方法A,RTP报文的播放-方法B,方法：Statistics(Menu)-RTP-Play Streams-Player(Button)-Decode,选择一条语音流播放。注意：目前方法B 不支持混合RTP流(普通RTP流和镜像RTP流混在一个抓包文件里）的扫描。,RTP报文的播放-方法B,方法B不仅能播放RTP流，还可以显示流的很多信息（对V5镜像格式的RTP流，可以显示channel号、方向等信息）。,工具路径：,H3cbjnt02-fs路由器80488048文档维护组文档网上问题g维护工具H3C-wireshark,