51学通信技术论坛

标题: wireshark使用手册 [打印本页]

作者: tobino1 时间: 2011-6-1 17:52:57 标题: wireshark使用手册

在采集Gn，Gi或者Gb_over_ip口时，经常用到wireshark抓包，因此，wireshark的使用就非常重要，由于本贴最大附件仅为1M，只能上传至gprshome.163.com网盘中，欢迎大家下载。
也希望版主修改下网站的设置。

作者: 爱卫生 时间: 2011-6-2 09:55:10

回复 tobino1 的帖子

非常感谢你的分享哦。说实话，我还很感动的。还帮我建了文件夹分了类，还截了图。而且我上去看了下，非常的实用。不光是基本的Wireshark的手册，还列出了很多和GPRS相关的常用过滤表达式，很实用。再次感谢。
关于附件大小，我说明一下。目前论坛的空间大小只有300M，已经用了接近15%。但因为论坛的空间是基于ASP/MYSQL的程序的，所以和普通的FTP站点空间相比价格要贵很多。例如300M的空间一个月要30元，但一个网易18G的网盘也只需要30元/月。因为网盘不需要任何应用，只提供存储的空间。所以我的想法是，将论坛的“控制”和“用户”平面分离。空间主要用于大家讨论、分享、技术交流。即控制平面。而网盘（或者以后如果附件较多我会选择购买专门的FTP空间）专门存放附件。即用户平面。从而达到资源利用的最优化。
当然不用担心，如果空间的300M空间超过了80%的使用门限，我就会立即升级的。所以大家要讨论什么，发什么附件。请千万不要有任何的顾虑。另外，关于抓包文件可能会有payload，上传时候请尽量过滤再上传，因为我们分析、讨论主要是看控制面的报文，而一个100M的抓包文件里可能只有1M是我们需要的，在另一篇帖子“上传附件说明”中描述了怎样将这些Payload过滤掉。（先用gsm_dtap或者gsm_map或者协议名字如bssgp等，将全部的控制面协议过滤出来，然后可以用"frame.number==x"来过滤。例如X=2的话，就过滤出来只剩第二个包了。如果是frame.number==2 or frame.number==3 则过滤出只剩2号和3号包。这样可能更简便，不需要去记什么表达式。)
另外，还有一点技术上无法实现，在DISCUZ X1.5（即论坛的软件平台）后台设置中最大只能设置2M附件上传，目前已经是2M的附件了）。可能需要后续的版本支持吧～
再次感谢啊！不便之处，敬请见谅！

作者: tobino1 时间: 2011-6-2 15:11:37

呵呵你这么容易感动我都有点不好意思了 lz不用这么客气的我粗人一个倒是佩服lz做事认真

作者: hendouse 时间: 2011-6-2 16:32:51

两位兄台都好样的！！！

作者: hendouse 时间: 2011-6-3 09:37:08

爱卫生你的字体实在太小了，建议换大点的字体

作者: 爱卫生 时间: 2011-6-3 09:49:22

回复 hendouse 的帖子

好的，我尝试用大一号看看大家的反应吧。谢谢！

作者: gprssanling 时间: 2011-6-3 12:04:13

我看起来效果好些了。

作者: 爱卫生 时间: 2011-6-3 13:44:04

回复 gprssanling 的帖子

谢谢！～那我就开始用这个字体了！不能太迂腐哈！

作者: z36306610 时间: 2011-6-3 22:49:27

怎么没有下载链接啊！

作者: z36306610 时间: 2011-6-3 22:50:55

怎么没有下载链接啊！

作者: 爱卫生 时间: 2011-6-3 23:06:56

回复 z36306610 的帖子

请参考“论坛公告区”。一些原创视频和文件都放在网易网盘。gprshome@mail.163.com。密码请在公告区获取。

作者: z36306610 时间: 2011-6-3 23:23:52

谢谢楼主！

作者: rubik 时间: 2011-6-17 11:09:12

我看了一下好像只有写wireshark如何分析基于IP承载的包，我Gb over FR的网络中用K\15信令仪表抓的E1接口的包，最后用wireshark打开有些无法解析，是否需要decode as

作者: 爱卫生 时间: 2011-6-17 11:15:10

回复 rubik 的帖子

是的，可以参考这篇帖子。SNDCP层数据包分段及重组功能实例详解。里面有提到Wireshark中如何设置参数才可以看K12抓的Gb Over FR的报文。
部分摘录如下：
分两步：
1 参照Wireshark关于K12抓包文件设置说明来设置好wireshark。具体是在“Edit”菜单中选择Preferences->Protocols->k12xx 。再点Edit，加入一个描述。matching 填gprs_gb，protocol填fr。
2 接第一步，不要关窗口。选择Preferences->Protocols->FR,在右边的Encapsulation中选择“GPRS Network Service”就可以解码了。默认的话，Wireshark将认为你这个包是数据网络中的FR数据包。不给予解析NS层及以上属于GPRS的协议栈。

作者: rubik 时间: 2011-6-17 11:16:35

回复爱卫生的帖子

你不用上班么。。。。。。

作者: rubik 时间: 2011-6-17 11:16:57

回复爱卫生的帖子

非常感谢~~

作者: 爱卫生 时间: 2011-6-17 11:20:53

回复 rubik 的帖子

{:soso_e127:}真是惭愧啊。呵呵。我只能保证说老板交给的任务我一定会保证按质按量完成，绝对对得起这份工资。
我们部门有一定的特殊性，忙得时候也很忙，闲得时候也比较闲。呵呵，跟旅游一样分淡季旺季。

作者: tobino1 时间: 2011-6-17 11:43:54

帧中继的，如果是泰克采集的.rf5文件，直接用recording viewer看就好了

作者: GP_RS_123 时间: 2012-2-23 17:21:33

感谢lz，学习学习！

作者: liuchaohappy 时间: 2012-9-18 22:45:43

请教版主，附件在CTDisk的什么位置啊？

作者: yuyeshun 时间: 2013-1-8 20:30:06

初来乍到，顶上先，谢谢分享。

作者: 花亊未了 时间: 2014-1-26 15:22:08

城通网盘在哪儿下啊

欢迎光临 51学通信技术论坛 (http://www.51xuetongxin.com/bbs/)