wireshark使用方法.doc

wireshark使用方法
D
一旦截取数据包后，或打开以前截取的数据包文件，显示如Error! Reference source not found.。显示有三个视图分区：“Packet List”、“Packet Details”、“Packet bytes”。
“Packet List”用于显示所数据包，如果这是有显示过滤条件，显示的是满足该条件的所有包。
“Packet Details”用于显示在“Packet List”视图中选定的数据包的详细信息。
“Packet Bytes”以十六进制方式显示“Packet List”视图中选定的数据包的信息。
AG
如检查AG中2个端口（如tdm/1与tdm/2）之间的通话消息，。重点查看AG对软交换choose one add消息的reply，以明确AG为这2个端口分配的context号和local rtp端口号。
如上图，tdm/1的context号为310，local rtp端口号为40034；tdm/2的context号为275，local rtp端口号为40036。
， == "tdm/1" or == "tdm/2" or == 310 or == 275。
，如还需要过滤RTP， == "tdm/1" or == "tdm/2" or == 310 or == 275 or == 40034 or == 40036。
点击菜单Statistics -> RTP -> Show all streams，打开RTP Streams窗口。其中列出抓包文件中所有的RTP Stream。选中要查看的stream，再点击Analyze，打开RTP Stream Analysis窗口，进一步检查该stream的丢包率，jitter等。点击Save payload…则可将该RTP Stream保存为声音文件。（Wireshark Version ，建议尝试用Ethereal完成此操作。）
显示过滤表达式
Ethereal提供了简单但是很强大的过滤语言，通过它我们可以建立复杂的显示过滤表达式。我们可以比较数据包的数据值，也可以将多个表达式合成一个更复杂的表达式。接下来将详细介绍。
显示过滤域（Display filter fields）
在“Packet details”视图中的每一个域能够用作一个过滤字符串（filter string），这样，就只显示存在该域的数据包。例如：过滤字符串：tcp，这就只显示所有tcp协议的包。
比较表达式
我们可以创建一个比较值的显示过滤条件，通过使用不同的比较操作符。它们显示在Error! Reference source not found.
英语（English）
类C（C-like）
描述和举例（Description and Example）
eq
= =
= =
ne
!=
!=
gt
>
>10
lt
<
<10
ge
>=
ge 0x100
le
<=
<=0x20
所有的域（Field）都是有类型，见Error! Reference source not found.
类型
举例
Unsigned integer(8-bit，16bit，24bit，32bit)
无符号整型可以表示为十进制、八进制、十六进制。下面的表达式是等同的。
le 1500
le 02734
le 0x436
Signed integer(8-bit，16-bit，24-bit，32-bit)
Boolean
Ethernet address(6 bytes)
= =
I