抓包工具和抓包分析 1概述 在处理IP网络的故障时，经常使用以太网抓包工具来查看和抓取IP网络上某些 端口或某些网段的数据包，并对这些数据包进行分析，定位问题。 在IMON项目里，使用抓包工具抓包进行分析的场景在EPG采集、引流模块和软终端 监看模块，一般情况下EPG采集和引流模块比较稳定，软终端监看还涉及SS5代理，这部 分出问题的几率比较大，这是就有可能要现场维护人员抓包进行分析、排查、定位问题，确 定是网络问题还是软件问题，如果是软件问题则要将抓回的包发给研发解决。 EPG抓包可分为对鉴权过程、采集过程抓包验证，主要是通过通过抓包分析与IPTV鉴 权服务器之间的TCP交互。 流媒体交互抓包可分为对组播、点播进行抓包，一般交互的协议分为IGMP、RTSP、 RTMP等，组播一般是基于UDP的IGMP流，点播是基于RTP的RTSP流或基于TCP的 RTMP流。 软终端抓包主要是抓取软终端与IPTV服务器交互、SS5与IPTV服务器交互的数据包， 一般跟流媒体交互的报文协议差不多，也是分为组播IGMP、点播RTSP等协议，不过经过 测试发现江苏的部分组播（可能是用户不同所致）发送的是RTSP的包。 2常用抓包工具 2.1WireShark Wireshark是一个非常好用的抓包工具，当我们遇到一些和网络相关的问题时，可以通 过这个工具进行分析，不过要说明的是，这只是一个工具，用法是非常灵活的。 过滤器的区别 捕捉过滤器（CaptureFilters）：用于决定将什么样的信息记录在捕捉结果中。需要在开始捕 捉前设置。 显示过滤器（DisplayFilters）：在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随 意修改。 捕捉过滤器 Protocol（协议）: 可能的值:ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcpandudp. 如果没有特别指明是什么协议，则默认使用所有支持的协议。 Direction（方向）: 可能的值:src,dst,srcanddst,srcordst 如果没有特别指明来源或目的地，则默认使用“srcordst”作为关键字。 例如，”host10.2.2.2″与”srcordsthost10.2.2.2″是一样的。 Host(s): 可能的值：net,port,host,portrange. 如果没有指定此值，则默认使用”host”关键字。 例如，”src10.1.1.1″与”srchost10.1.1.1″相同。 LogicalOperations（逻辑运算）: 可能的值：not,and,or. 否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级，运算时从左至 右进行。 例如， “nottcpport3128andtcpport23″与”(nottcpport3128)andtcpport23″相同。 “nottcpport3128andtcpport23″与”not(tcpport3128andtcpport23)”不同。 例子： tcpdstport3128//捕捉目的TCP端口为3128的封包。 ipsrchost10.1.1.1//捕捉来源IP地址为10.1.1.1的封包。 host10.1.2.3//捕捉目的或来源IP地址为10.1.2.3的封包。 etherhoste0-05-c5-44-b1-3c//捕捉目的或来源MAC地址为e0-05-c5-44-b1-3c的封包。如果 你想抓本机与所有外网通讯的数据包时，可以将这里的mac地址换成路由的mac地址即可。 srcportrange2000-2500//捕捉来源为UDP或TCP，并且端口号在2000至2500范围内的封 包。 notimcp//显示除了icmp以外的所有封包。（icmp通常被ping工具使用） srchost10.7.2.12andnotdstnet10.200.0.0/16//显示来源IP地址为10.7.2.12，但目的地不是 10.200.0.0/16的封包。 (srchost10.4.1.12orsrcnet10.6.0.0/16)andtcpdstportrange200-10000anddstnet 10.0.0.0/8//捕捉来源IP为10.4.1.12或者来源网络为10.6.0.0/16，目的地TCP端口号在200 至10000之间，并且目的位于网络10.0.0.0/8内的所有封包。 srcnet192.168.0.0/24 srcnet192.168.0.0mask255.255.255.0//捕捉源地址为192.168.0.0网络内的所有封包。 显示过滤器 例子： snmp