中國(guó)海上衛(wèi)星測(cè)控部　靳建彬

?

WireShark在通信IP網(wǎng)中的應(yīng)用方法研究

中國(guó)海上衛(wèi)星測(cè)控部靳建彬

【摘要】Wireshark是一種網(wǎng)絡(luò)包分析工具，本文介紹了Wireshark軟件，并研究了Wireshark在通信IP網(wǎng)數(shù)據(jù)監(jiān)視中的應(yīng)用方法和功能擴(kuò)展，并針對(duì)應(yīng)用中的問題提出了解決辦法。

【關(guān)鍵詞】Wireshark；數(shù)據(jù)監(jiān)視

1　Wireshark簡(jiǎn)介

Wireshark 軟件是一種網(wǎng)絡(luò)包分析工具，其主要作用是捕獲網(wǎng)絡(luò)數(shù)據(jù)包并分析、顯示數(shù)據(jù)包的各種信息。Wireshark是當(dāng)前比較流行的開源網(wǎng)絡(luò)分析軟件，可進(jìn)行二次開發(fā)，常用于網(wǎng)絡(luò)數(shù)據(jù)的分析、網(wǎng)絡(luò)問題的排查和網(wǎng)絡(luò)性能的測(cè)試等。

2　通信IP網(wǎng)信息流監(jiān)視

通信IP網(wǎng)是數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)平臺(tái)，傳輸數(shù)據(jù)的種類多，數(shù)據(jù)的大小、協(xié)議、速率等各不相同。只有通過對(duì)數(shù)據(jù)流進(jìn)行有效的監(jiān)視，才能快速判斷通信IP網(wǎng)系統(tǒng)運(yùn)行是否正常、數(shù)據(jù)傳輸有無(wú)異常。

3　基于Wireshark的通信IP網(wǎng)信息流監(jiān)視方法

3.1實(shí)時(shí)捕捉通信IP網(wǎng)信息流

Wireshark軟件部署在信息流監(jiān)視終端服務(wù)器上，通過接入通信IP網(wǎng)雙平面路由器廣域網(wǎng)口的鏡像端口，可實(shí)時(shí)捕捉通信IP網(wǎng)出口的所有數(shù)據(jù)流。圖1所示為實(shí)時(shí)抓包顯示界面：

圖1　實(shí)時(shí)抓包顯示界面

通過軟件配置，可以選擇直接在主界面中顯示的數(shù)據(jù)信息，如源IP、目的IP、端口、協(xié)議類型、QoS優(yōu)先級(jí)等。如果要查看數(shù)據(jù)的詳細(xì)信息，通過雙擊數(shù)據(jù)包打開數(shù)據(jù)詳細(xì)信息界面(如圖2所示)，查看軟件解析的數(shù)據(jù)包所有信息。

圖2　數(shù)據(jù)包詳細(xì)信息

3.2IP會(huì)話統(tǒng)計(jì)

利用conversations功能，可以對(duì)所有網(wǎng)絡(luò)IP會(huì)話進(jìn)行統(tǒng)計(jì)，一個(gè)IP會(huì)話是兩個(gè)IP地址間的所有通信。通過conversations表，可以查看網(wǎng)內(nèi)所有交互數(shù)據(jù)的IP地址。

圖3　IP會(huì)話統(tǒng)計(jì)

3.3捕捉數(shù)據(jù)的匯總信息

利用統(tǒng)計(jì)菜單中的Summary功能，可以分析匯總當(dāng)前數(shù)據(jù)流的統(tǒng)計(jì)信息，包括數(shù)據(jù)總大小、數(shù)據(jù)流的時(shí)間長(zhǎng)度、數(shù)據(jù)平均速度等。

圖4　數(shù)據(jù)統(tǒng)計(jì)信息

3.4I/O圖形化顯示數(shù)據(jù)

通信中，需要對(duì)重要的實(shí)時(shí)數(shù)據(jù)流進(jìn)行監(jiān)視。借助軟件的“I/OGraphs”窗口，以圖形化方式實(shí)時(shí)、直觀的顯示數(shù)據(jù)流的通斷、速率及變化趨勢(shì)等信息，幫助崗位人員對(duì)數(shù)據(jù)流實(shí)時(shí)監(jiān)視。

圖5　I/O圖

通過配置軟件中的過濾條件，選擇需要監(jiān)視的特定數(shù)據(jù)流；通過選擇圖形顏色，可在同一窗口顯示多個(gè)數(shù)據(jù)流；通過選擇圖標(biāo)的顯示類型，包括Line/Impulse/Dot，以不同的標(biāo)示區(qū)別數(shù)據(jù)流。

3.5插件功能

通信IP網(wǎng)內(nèi)傳輸?shù)臄?shù)據(jù)協(xié)議有多種，包括PDXP協(xié)議、ESP協(xié)議等，這些私有專用協(xié)議不能直接被Wireshark解析，也就不能判斷其丟包、亂序等情況。經(jīng)過研究，使用Wireshark內(nèi)置Lua腳本引擎，基于Lua腳本語(yǔ)言開發(fā)了PDXP插件和ESP插件，實(shí)現(xiàn)了實(shí)時(shí)包數(shù)量統(tǒng)計(jì)、丟包和亂序自動(dòng)提示等功能。

圖6　插件的丟包、亂序監(jiān)顯示圖

4　應(yīng)用BUG分析與解決

Wireshark捕捉數(shù)據(jù)時(shí)，將來(lái)自網(wǎng)卡的包放在較小的核心緩存內(nèi)，Wireshark讀取并保存到用戶指定的捕捉文件中。如果抓包軟件運(yùn)行時(shí)間長(zhǎng)，捕捉數(shù)據(jù)多。過大的數(shù)據(jù)文件導(dǎo)致處理速度變慢，甚至出現(xiàn)軟件中斷、報(bào)錯(cuò)等問題。因此，在使用過程中，可以開啟"Multiple files/多文件"選項(xiàng)，將捕捉包分割為多個(gè)小文件進(jìn)行保存，以確保數(shù)據(jù)記盤的可靠性。

5　總結(jié)

本文簡(jiǎn)述了Wireshark軟件，重點(diǎn)分析研究了Wireshark在通信IP網(wǎng)中的應(yīng)用方法，并根據(jù)應(yīng)用的問題提出了解決方法。通過對(duì)Wireshark軟件的應(yīng)用和功能擴(kuò)展，能夠?qū)崿F(xiàn)對(duì)通信IP網(wǎng)數(shù)據(jù)的有效監(jiān)視。

參考文獻(xiàn)

[1]Kevin R.Fall,W.RichardStevens.TCP/IP詳解[J].Pearson Education,2012,05.

[2]Wireshark中文手冊(cè).

[3]高傳善等.數(shù)據(jù)通信與計(jì)算機(jī)網(wǎng)絡(luò)[M].高等教育出版社,2008.

[4]徐良賢等.Comer D E.計(jì)算機(jī)網(wǎng)絡(luò)與互聯(lián)網(wǎng)[M].北京:電子工業(yè)出版社,1998.