2024年4月21日发(作者:)
技术论坛
计算机粤网络创新生活
利用Wireshark软件进行信令分析
李山松
(河北远东哈里斯通信有限公司河北石家庄050200)
【摘要】Wireshark软件是开源软件中应用最广的一种信令分析软件,支持众多的信令协议。PCAP文件格式是一种通用
的封包存储格式,这个格式的文件可以被Wireshark软件直接读取。在分析PCAP文件格式的基础上,通过构建数据文件,可以
利用Wireshark软件对已有的信令数据进行信令分析。分析结果可以用于科学研究和工程实践,避免了手工分解信令数据时的
低效率,提高了工作的时效性。
【关键词】PCAP格式Wireshark信令分析Q.931
中图分类号:TP311文献标识码:A文章编号:1OO8一l739(2O13)2O一64—3
Signaling Analysis by Using Wireshark Softwar
LI Shan——song
(Hebei Far East Harris Commtmications Co.,Ltd,Shijiazhuang Hebei 050200,China)
Abstract:Wireshark software is one of the most widely used signaling analy ̄s software in open source software,it supports
numerous signalingprotocols.PCAPfileformatis ageneralpackaged storageformat,andthefleswiiththisformat canbe read directly by
Wireshark software.Based on analysis ofPCAP leif orfmat and construction ofdata life,the signaling anal ̄s ofexisting sinalging atdum
Can be carried out by using Wireshark software.The analysis results can be used for scientiifc r ̄earch and engineering practice to avoid
he ineftficiency ofmanual decomposition ofsignaling atda and improve the timeliness ofwork.
Key words:PCAP format;Wire,hark;sig ̄g analysis;Q.931
1引言
通信设备之间的组网都是通过标准的信令协议达成的。
处理联网故障,可以通过分析2台设备之间收发的信令消息
Gerald Combs完成了最初版本的编写,并将其置于GNU GPL
通用许可证的保障范围之下,使用者可以免费获得软件和其
源代码,并拥有针对其源代码修改和完善的权利。・之后,众多
程序员参与了软件的编写和完善。2006年6月,因为商标的问
Ethereal更名为Wireshark。目前,Wireshark已经是全世界
找到故障点。但是这些信令数据的可读性比较差,要想了解信
题,
使用最广泛的信令分析软件之一。
令包含的具体内容,商业化的信令分析仪是一个很好的工具,
2如何用Wireshark读取信令数据
但是价格比较高,携带也不是很方便,不能在工程人员中进行
2.
大面积推广。这里就探讨一下如何使用开源软件Wireshark为
Wireshark软件相当优秀,但是他本身并不能直接读取通
其他问题皆
工程联网故障的排查提供服务,进而加快联网问题的排查速
信设备输出的信令消息。如果能够解决这个问题,
可迎刃而解。通过分析,发现Wireshark支持读取PCAP格式
度。
的封包捕获文件,接下来的问题就是如何能把通信设备输出
2 Wireshark软件介绍
2
的信令消息转换为PCAP封包格式。下面以交换机PRI中继
使用的Q.931协议为例子,详细介绍这—转换是如何完成的。
软
件
介
Wir
esh
ark
软件
,以前称为Et
以前称为
her
年底,由
3
…
PcAP文件格式圆
… 一”…
eal
软件。
软件。1997年底’由
,
定稿日期:2013—09—26 为了生成PCAP文件,首先需要了解PCAP文件的结构。
《计算机与网络》2013年第2o期
技术论坛
计算机粤网络创新生活
65
PCAP文件格式是一种在协议分析中用到的数据包存储格
式。但是,目前还没有现成的工具软件能把交 输出的信令
4 DLT
LINUX
__
LAPD帧
信息打包为PCAP格式的文件。因此,这—转换过程需要自己
编程解决。PCAP文件由—个文件头和若干个数据包构成。每
个数据包前面还有一个头部结构,记录数据包的捕获时间、长
度等内容,下面是用c语言描述的数据包头部结构:
structPKT
HDR
_
DLT_LINUX_LAPD是linux操作系统为了处理LAPD
帧而定义的—个数据结构,这里借用一下这个结构来封装交
换栅输出的信令消息。可以使用下面的C语言来描述这个帧
的头部结构四:
struct DL £INUXHDR
_
{
DWOI ̄D
DWOR.D
GMTtime;
{
WORD s11pkttype;
_
microTime;
WORD sll
hatype;
__
DWORD
DWORD
caplen;
WORD sllhalen;
_
len;
BYTE sll
addr[8];
__
);
WORD sll
protocol;
_
其中:
GMTfime和microTime是数据包的捕获时间。
);
sU_pkttype为数据包类型,如果数据包是对端设备发送给
caplen和1en是所捕获数据的长度。
下面是PCAP文件头的c语言结构定义:
stuDct PCAPHLEHDR
___
本机的,取值为0。如果数据包是发往其他设备的,取值为4。
sll
protocol为协议类型,取值0x0030
_
其他项目在程序中不使用,都置为0。
{
DWOR.D magic;
WORD
WORD
version major;
version_minor;
thiszone;
sigfigs;
snaplen;
5数据的封装层次
数据的封装分2步完成。
①首先在交换机跟踪到的信令消息前面加上一个4字节
的LAPD_HDK,构成标准的LAPD数据帧 。然后,在LAPD
帧前面加上 个DLT_LINUX_HDR,构成DL1’_LINUX_
LAPD数据帧。最后,在DLT_LINUX_LAPD数据帧的前面加
DWORD
DWOI ̄D
DWORD
DWORD linktypc;
}
其中:
m ̄gic为标识位:取值为0xD4C3B2A1
上PKT_HDR,构成PCAP文件的一个基本数据单元。其数据
单元结构,可以表示如下:
Packet=[PKT_HDR.][DLT_LINUX_HDR][LAPD HDR]
version_major为主版本号:默认值为0x02
version._minor为副版本号:默认值为0x04
thiszone是区域时间:可以设置为0
 ̄i#gs是精确时间戳:可以设置为0
snaplen是数据包最大长度:可以设置为0
始信令消息】
②将封装好的数据单元存入PCAP文件。这个过程比较
简单:先创建一个文件,然后在文件中写入文件头
PCAPFILE
__
HDI ̄。之后顺序写入第1步生成的数据包,最后
其结构可以表示如下:
linktype是链路层类型:将此值设置为0xB1,表示后面的
关闭文件。生成的PCAP文件,
LE=:[PCAP_FILE_HDIL][Packet_1]…[Packer_hi
数据包都是按照DLT_LINUX ̄LAPD的帧格式进行存储。之
FI
所以选择这种帧格式,主要是因为DLT_LINUX ̄LAPD在标
准LAPD帧格式的基础上,扩展出了一些额外的信息字节,通
6使用效果
根据上面的描述,制作了一个格式转换工具,用于将交换
机跟踪到的PR]信令消息封装成wiresllark软件可以读取的
PCAP格式,然后用wiresllark进行解码 。下面是解码前后的
数据对比:
过这些字节,可以标识出数据包的收发方向。到这里,又涉及
到了—个新的数据结构DLT_LINUX_LAPD帧,下面介绍一
下这个帧结构。
2013年第20期《 靴与网『络》 一
技术论坛
: _啊■lⅧ■l— — H瑚 ■I___ l羿 b 坩MU Wl I I口
/
解码之前的原始数据:
2F 00 36 00 AA从5E 02 01 00 00 00 00 00 00 00/.6.
E.164 Calling party number digits:43709440
从上面的例子可以直观看到,解码出的数据的可读性大大
【I I 1...… 提高。那么解码的结果是否正确呢?参照技术规范《Ⅵ)No34.
08 02 29 83 05 A1 04 03 80 90 A3 18 03 A1 83 81 lI) 2-1997 ISDN用户一网络接口规范第2部分:数据链路层技
}IJ l I l J…IJ I 术规范》对以上解析出的数据进行验证,以上关于消息类型,
1E 02 80 83 6C 0A 21 80 34 33 37 30 39 34 34 30 lI I Ill!主被叫号码I目等描述均正确。从以上的例子可以看到,通过构
[43709440
70 08 A1 32 34 39 34 34 30 32 P I I 2494402
建PCAP数据包的方式,可以很直观地对信令数据进行解码。
有了这个工具的帮助,可以极大地提升工作效率。
原始数据包含”信令标识”、”承载能力”、”电路标识”、”
示的叫 竺 : 7结束语
原始数据的可读性比较差,在工程实践中使用起来比较 一…一
。
困难,往往需要求助开发人员对信令数据进行人工解读。为了
提高工作效率,可以使用转换工具将跟踪到的信令源码打包
到一个PcAP文件,然后使用wire。hare对这个文件进行解码。
下面是解码后的主叫部分:
Prot。c0】discrj inat0r:Q.931
cal1 。fercnc。value length:2
Wiresllark软件可以解析的协议非常多,并且可以通过
Lua工具方便的添加对于新协议的支持。上面仅仅演示的是通
过构建数据包,让wiresllark帮助解析PRI中继的Q・93 协
议。同样,也可以通过构建数据包的形式,让wires}lark分析其
他的通信协议。在wire 比k的帮助下,工作肯定更有效率。特
别是在一些工程调试时,由于还要顾及到成本问题,昂贵的信
令分析仪很难普及。在这些领域,掌握自己构建PCAP文件的
Call referenceflag:Message semfrom。riginating side
call refere ce value:2983
Message type:SETUP(OxO5)
Sending complete
Calling party number:’43709440'
技术,进而利用Wireshark对信令数据进行解析,更能发挥这
一自由软阵的价值。
Informadon element:Calling party number 参考文献
Length:10
0001 Numbering plan:E.164 ISDN/telephony numbering
【1】CHRIS S.Wireshark数据包分析实战【M].北京:人民邮电出
版社。2013:39—40.
(o)(o )
010… Number type:National number(0x02)
【2】吕雪峰,彭文波,宋泽宇.网络分析技术揭秘【M】.北京:机械工
业出版社
.
2012:361—363.
u…… D 。“mdi 。的 : “幻m岫。“ 。“tlnu ̄thro gh [3】于跃
出。“。妣。 te
…...
朱程荣.基于Linux嵌入式嗅探器的设计与实现U1.计
算机应用与软件
,
,
00=Screening indicator:User-provided.not screened
。 一
2o07,24(6):162—164.
,nvnn、
【4]YDN034.2—1997ISDN.数据链路层技术规范【S].
00…一:Presentati。n dic抛r:Presentaft。n allowed(OxO0)
.
【5】白洁_用wiresl1ark抓包分析帧格式U】.电脑知识与技术,
2011,07(28):6831—6832. 1…….=Extemion indicacor:last octet
Calling party number id ̄ts:43709440 【6】YDN034.3ISDN.第三层基本呼叫控制技术规范【S】.
梭子鱼被IDC评为内容安全设备及虚拟设备领导厂商
安全与存储解决方案领导厂商梭子鱼网络公司近日宣
布,公司再次在IDC的《全球季度安全设备跟踪报告,第二季
度,2013年9月》中评为内容安全设备及虚拟设备领导厂商。
根据IDC跟踪报告显示,梭子鱼以14%的市场份额引领
进行研发投资的结果。”
作为硬件而提供的梭子鱼内容安全解决方案以及虚拟
设备解决方案包括:
梭子鱼病毒与垃圾邮件防火墙——其中包括同类最佳
内容安全设备及虚拟设备市场。这标志着梭子鱼已连续11个 的垃圾邮件和病毒拦截、数据保护、DoS防御、电子邮件连续
季度保持内容安全设备及 f设备市场的领导地位。 性、加密和策略管理。
梭子鱼安全业务总经理Stephen Pao表示:“梭子鱼致力于 梭子鱼Web安全网关——让互联企业能够得益于新技
提供业界领先的解决方案,防御互联网上传播最为迅速的威 术和在线工具,并且不会面I临恶意威胁、损失生产率、浪费带
胁。我们相信,IDC全球季度安全设备跟踪报告中显示的增长 宽和丢失数据的风险。
体现了我们不断地对安全保护和简化IT业务的技术和方案 (刘晴)
《计算机与风络》2013年第20期
发布评论