• 1. WireShark和TcpDump介绍二O一一年七月十五日
  • 2. 目 录WireShark和TcpDump介绍 什么是Wireshark WireShark用户界面 WireShark使用方法 TcpDump使用方法
  • 3. 什么是WireSharkWireshark 是开源的网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包, 并尝试显示 包的尽可能详细的情况。WireSharp作用: 网络管理员用来解决网络问题 网络安全工程师用来检测安全隐患 开发人员用来测试协议执行情况 用来学习网络协议 WireShark特性: 支持UNIX和Windows平台 在接口实时捕捉包 能详细显示包的详细协议信息 可以打开/保存捕捉的包 可以导入导出其他捕捉程序支持的包数据格式 可以通过多种方式过滤包 多种方式查找包 通过过滤以多种色彩显示包
  • 4. 目 录WireShark和TcpDump介绍 什么是Wireshark WireShark用户界面 WireShark使用方法 TcpDump使用方法
  • 5. WireShark用户界面
  • 6. WireShark用户界面用户界面简介 File 包括打开、合并捕捉文件,save/保存,Print/打印,Export/导出捕捉文件的全部或部分。以及退出Wireshark项. Edit 包括如下项目:查找包,时间参考,标记一个多个包,设置预设参数。(剪切,拷贝,粘贴不能立即执行。)。 View 控制捕捉数据的显示方式,包括颜色,字体缩放,将包显示在分离的窗口,展开或收缩详情面版的地树状节点,…… GO 包含到指定包的功能。 Capture 允许您开始或停止捕捉、编辑过滤器。 Analyze 包含处理显示过滤,允许或禁止分析协议,配置用户指定解码和追踪TCP流等功能。 Statistics 包括的菜单项用户显示多个统计窗口,包括关于捕捉包的摘要,协议层次统计等等。 Help 包含一些辅助用户的参考内容。如访问一些基本的帮助文件,支持的协议列表,用户手册。在线访问一些网站,“关于”等等。
  • 7. 目 录WireShark和TcpDump介绍 什么是Wireshark WireShark用户界面 WireShark使用方法 TcpDump使用方法
  • 8. WireShark用法---OCS使用OCS目前主要用WireShark来查看网络上的数据包, OCS跟网元交互的协议有: DCC ; SMPP+; SGIP+。 OCS主要在linux下用tcpdump抓网元的网络报文。下面我们将介绍: 如何查看包 如何过滤包 如何保存包 如何捕捉包
  • 9. WireShark用法---查看包查看DCC报文 设置DCC协议端口 在EditPreferencesprotocols中找到DIAMETER设置diameter TCP ports。TCP ports 可以设置多个。设置DCC协议字典??
  • 10. WireShark用法---查看包设置好这两项,我们就可以看到diameter报文的内容。如图所示:
  • 11. WireShark用法---查看包OCS跟网元交互的DCC包: CER/CEA CCR/CCA DWR/DWA RAR/RAA DPR/DPAOCS内部交互DCC包: ARQ/ARS AOQ/AOS PRQ/PRS TRQ/TRS DWR/DWA
  • 12. WireShark用法---查看包查看SMPP+报文:OCS跟网元交互SMPP+报文: ENQUIRE_LINK/ENQUIRE_LINK_RESP AUTH_ACC/AUTH_ACC_RESP SM_RESULT_NOTIFY/SM_RESULT_NOTIFY_RESP BIND_RECEIVER/BIND_RECEIVER_RESP BIND_TRANSMITTER/BIND_TRANSMITTER_RESP UNBIND/UNBIND_RESP
  • 13. WireShark用法---过滤包我们如何在数据包中查找到满足条件的报文呢? 在Expression中有各个层说明。当查找条件正确时,Filter栏变为绿色。 WireShark支持哪些查找条件组合呢?IP层查找 IP层包括: 源地址, 对端地址……。IP查找前缀:IP.XXX
  • 14. TCP层查找 包括: 源端口,对端端口……。TCP查找前缀:TCP.xxxDCC和SMPP+协议层查找 DCC: 会话ID,计费号码, 报文长度……. DCC查找前缀:diameter.XXX SMPP+: message_id, 计费号码……. SMPP查找前缀:SMPP.xxxWireShark用法---过滤包
  • 15. WireShark用法---过滤包
  • 16. WireShark用法---过滤包WireShark支持哪些查找条件组合:EnglishC-linke描述及范例eq==Equal ip.addr==10.0.0.5ne!=Not equal ip.addr!=10.0.0.5gt>Greate than frame.pkt_len>10lt=Greater than or equal to frame.pkt_len ge 0x100le<=Equal frame.pkt_len <= 0x20
  • 17. WireShark用法---保存包WireShark支持文本输出。 WireShark支持cap文件输出。文本输出:cap输出:
  • 18. 目 录WireShark和TcpDump介绍 什么是Wireshark WireShark用户界面 WireShark使用方法 TcpDump使用方法
  • 19. TcpDump使用方法1. tcpdump 说明 tcpdump [ -AdDeflLnNOpqRStuUvxX ] [ -c count ] [ -C file_size ] [ -F file ] [ -i interface ] [ -m module ] [ -M secret ] [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ] [ -W filecount ] [ -E spi@ipaddr algo:secret,... ] [ -y datalinktype ] [ -Z user ] [ expression ]    -a    将网络地址和广播地址转变成名字;    -d    将匹配信息包的代码以人们能够理解的汇编格式给出;    -dd    将匹配信息包的代码以c语言程序段的格式给出;    -ddd    将匹配信息包的代码以十进制的形式给出;    -e    在输出行打印出数据链路层的头部信息;    -f    将外部的Internet地址以数字的形式打印出来;    -l    使标准输出变为缓冲行形式;    -n    不把网络地址转换成名字;    -t    在输出的每一行不打印时间戳;    -v    输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;    -vv    输出详细的报文信息;    -c    在收到指定的包的数目后,tcpdump就会停止; -C 指定文件的大小。默认为M。    -F    从指定的文件中读取表达式,忽略其它的表达式; -s 指定每个报的长度, 一般设置成0.    -i    指定监听的网络接口;    -r    从指定的文件中读取包(这些包一般通过-w选项产生);    -w    直接将包写入文件中,并不分析和打印出来; -W 指定文件个数, 如果达到最大个数,则会覆盖前面的文件。    -T    将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程 调用)和snmp(简单       网络管理协议;)
  • 20. TcpDump使用方法 2. tcpdump的表达式介绍    表达式是一个正则表达式,tcpdump利用它作为过滤报文的条件,如果一个报文满足表 达式的条件,则这个报文将会被捕获。如果没有给出任何条件,则网络上所有的信息包将会 被截获。    在表达式中一般如下几种类型的关键字,一种是关于类型的关键字,主要包括host, net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是 host.    第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, dst and src , 这些关键字指明了传输的方向。举例说明,src 210.27.48.2 ,指明ip包中源地址是210.27. 48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字,则 缺省是src or dst关键字。    第三种是协议的关键字,主要包括fddi,ip ,arp,rarp,tcp,udp等类型。Fddi指明是在 FDDI(分布式光纤数据接口网络)上的特定的网络协议,实际上它是"ether"的别名,fddi和e ther具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。 其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump将会 监听所有协议的信息包。    除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less, greater,还有三种逻辑运算,取非运算是 'not ' '! ', 与运算是'and','&&';或运算 是'o r' ,'||';
  • 21. TcpDump使用方法现网转包命令 语音网元 /usr/sbin/tcpdump -i eth0 -s 0 -w lt_ocs_cs.cap -W 4000 -C 50 host 130.51.33.10 or 130.51.33.14 数据网元 /usr/sbin/tcpdump -i eth0 -s 0 -w lt_ocs_ggsn.cap -W 4000 -C 200 host 130.51.33.20 or 130.51.32.187 or 130.51.32.189 or 130.51.32.193 or 130.51.32.196 or 130.51.32.195 or 130.51.32.194 or 130.51.32.192 or 130.51.32.197 短信网元 /usr/sbin/tcpdump -i eth0 -s 0 -w lt_ocs_sms.cap -W 4000 -C 10 host 130.51.33.50 or 130.51.33.65 or 130.51.33.35 增值网元 /usr/sbin/tcpdump -i eth0 -s 0 -w lt_ocs_vac.cap -W 4000 -C 10 host 130.51.33.44 or 130.51.33.22 or 130.51.33.23 短信fep /usr/sbin/tcpdump -i eth0 -s 0 -w lt_ocs_sms_fep.cap -W 4000 -C 10 host 130.51.12.7 or 130.51.12.1 and port 5022 or 5002
  • 22. 完毕 谢谢!