si2000.ru
Обмен опытом пользователей системы SI2000
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   Регистрация и Политика конфиденциальностиРегистрация и Политика конфиденциальности 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 
ЗАО СТАРТЕЛЕКОМ ISKRATEL o.o.o.

Некоторые полезные фильтры Ethereal/Wireshark

 
Начать новую тему   Ответить на тему    Список форумов si2000.ru -> Продукты поколения NGN
Предыдущая тема :: Следующая тема  
Автор Сообщение
gil



Зарегистрирован: 14.10.2010
Сообщения: 20

СообщениеДобавлено: Пн Янв 24, 2011 1:33 pm    Заголовок сообщения: Некоторые полезные фильтры Ethereal/Wireshark Ответить с цитатой

Несколько полезных фильтров для ISUP:
  • isup.cic - фильтрация по CIC. например, фильтр isup.cic eq 86 выдаст все ISUP-пакеты, с CIC = 86
  • isup.called - фильтрация по номеру Б (Called Party Number). например, фильтр isup.called eq "4951231212F" выдаст все пакеты с Called Party Number равному строке "4951231212F".
    так же кроме четкого соответствия строке (eq) можно использовать поиск подстроки (contains), например, isup.called contains "1231212" выдаст все пакеты с Called Party Number, содержащим 1231212 (т.е., 4951231212F, 4951231212, 1231212)
  • isup.calling - так же, что и isup.called, но для стороны А (Calling Party Number).
  • isup.message_type - фильтарция по типу сообщения. например, фильтр isup.message_type eq 1 выдаст все сообщения IAM (Initial Address Message)
  • isup.cause_indicator - фильтрация по номеру Cause в RELease-сообщениях. например, фильтр isup.cause_indicator eq 16 выдаст все сообщения REL (Release) с Причиной (Cause) равной 16 (Normal Call Clearing)
Оставляю как памятку себе, но, быть может, кому-нибудь еще пригодится.
Если надо - могу расписать некоторые полезные фильтры и для других протоколов.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
dsv_nv
Большой Спец


Зарегистрирован: 02.11.2005
Сообщения: 845
Откуда: Нижневартовск

СообщениеДобавлено: Пт Фев 04, 2011 7:40 pm    Заголовок сообщения: Ответить с цитатой

Подскажите как Wireshark заставить отлавливать только нужные пакеты? На буке 2 гига памяти хватает около часа, потом закрывается, пробовал фильтр ставить, но он все равно все пакеты ловит, а атображает согласно фильтра, но все равно закрывается Wireshark .
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
gil



Зарегистрирован: 14.10.2010
Сообщения: 20

СообщениеДобавлено: Пн Фев 07, 2011 6:33 am    Заголовок сообщения: Ответить с цитатой

Там фильтры бывают двух типов - фильтр для отображения, и фильтр для захвата.
Фильтры для захвата не имеют той мощности, что фильтры отображения.

Можно попробовать разбивку на файлы (т.е., во время захвата он будет сохранять файл размером до 100 Мб, а после - новый).
Это на вкладке Capture->Options->Capture File(s) - можно поставить галочку у "Use multiple files" и "Next file after XXX Mb". Заместо XXX ввести, к примеру, 20. Тогда будет пересоздавать файлы, и не пытаться пихнуть все в оперативку.

Можно попробовать все же фильтры захвата. К примеру, ISUP'ы идут между 10.0.0.1 (ssw) и 10.0.0.2 (smg) по SCTP на 2904 порту (по умолчанию) - тогда правило можно сделать
(ip host eq 10.0.0.1 or ip host eq 10.0.0.2) and port 2904
Этим мы ограничимся трафиком от/к 10.0.0.1 и 10.0.0.2 по порту 2904 (на нем по SCTP идут ISUP'ы).
На порту 9900 - IUA. Ну и так далее.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Владимир



Зарегистрирован: 28.01.2003
Сообщения: 24
Откуда: Iskratel, Slovenia

СообщениеДобавлено: Ср Мар 23, 2011 8:03 pm    Заголовок сообщения: Rpcap demon Ответить с цитатой

Вообще можно на SSW запускать rpcap демона, который может передавать данные в онлайн на любой компьютер с Wireshark
_ttp://rpcap.sourceforge.net/
_ttp://wiki.wireshark.org/CaptureSetup/WinPcapRemote
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
Показать сообщения:   
Начать новую тему   Ответить на тему    Список форумов si2000.ru -> Продукты поколения NGN Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Powered by phpBB © 2001, 2005 phpBB Group