第一步获取数据



环境 Windows

进入cmd
> adb shell => 进入adb shell 命令模式
> tcpdump -s 1500 -w /sdcard/cmx.pcap
一系列发包收包的操作
回到cmd命令行中
> adb pull  /sdcard/cmx.pcpa c:/test
局部解析

tcpdump -s 后面接的是大小, -w 接的是抓包写入的位置
上述操作6是将抓包文件取到Windows中
用WireShark解码数据

打开抓到的cmx.pacp文件



选中其中的一条数据,如目标端口47708的这条,将UDP转成RTP协议,因为该项目的RTP包承载在UDP上.





选择Decode As…选项,弹出一下窗口,再次选择RTP,选择OK.



通过加上udp.dstport==47708的过滤条件,如下显示



注意观察数据中PT=DynamicRTP-Type-98这个信息,因为这个项目中我们的H264是通过47708端口传输的,所以,我们把这个转成H264步骤如下

选择Edit->Preferences->弹出窗口->Protocols->H264->输入98既可完成配置如图



弹出窗口操作



填入类型映射



完成结果

     前几天，需要解码iphone吐出的LTE-RRC数据包，对于协议解码，自然第一想到的是wireshark工具。但是wireshark的解码默认都是需要从其支持的链路层开始解码，否则是不能直接打开LTE-RRC数据包的，即使这个数据包存为了pcap文件格式。这是因为从iphone拿到的lte数据包，是从L3 RRC层开始的，并不包含链路层MAC、RLC等层。而实际上，这种情况是很多的，例如你有时只获取了TCP之上HTTP的数据包，没有底层，又想利用wireshark进行内容的详细解析。
    那么，有办法不需要从代码上改造wireshark而能达到此功能吗？答案是肯定的。
    我们知道，当wireshark读取pcap格式文件时，需要知道数据包的最底层协议类型，于是就从最底层协议开始依次往上层协议进行解码。wireshark支持的链路层协议类型多达上百种（支持的定义在http://www.tcpdump.org/linktypes.html)。而具体数据是那种链路层协议，是在数据捕获生成时就给定了，例如捕获以太网卡，就是以太类型，捕获wlan无线空口数据，就是802.11类型，捕获ss7
 64k信令，就有MTP2等。但像LTE-RRC这种层3协议，想交给wireshark解码，保存为pcap文件时，链路层协议应该填多少呢？其实，pcap格式文件的链路层协议值，空出了几个给我们自己定义映射用的。他的范围是147~162（定义为：DLT_USER0 ~USER15)。
    例如，这有个LTE-RRC BCCH_DL_SCH的PDU文件lte_rrc.dat（怎么把附件文件贴上来呢？）。需要把它保存为pcap文件，在linux下运行：
od -Ax -tx1 -v lte_rrc.dat | text2pcap -l 147 - lte_rrc.pcap
od命令用来用16进制格式输出数据，导入给text2pcap命令，生成pcap文件。-l 147参数，表示这个pcap数据的链路层协议值为147 （USER0类型）。
但这时候，用wireshark打开lte_rrc.pcap文件，还是不认，因为你并没有告诉wireshark 这个147的数据应该交给lte-rrc去解码。所以，需要对wireshark作配置。


配置步骤如下：
打开wireshark界面的Edit--> preferences-->protocols--> DLT_USER,界面如下：


点击Edit，出现编辑链路层数字对应协议的表。点击New，增加147对应得协议：
     
确定后，就能看到LTE-RRC的解码了，如何这个RRC数据包，含有LTE的NAS层数据，相应也解码出来了。

对与LTE-RRC数据，在这里存在2个问题：
一就是在增加User DLTs Table时，Payload Protocol协议应该怎么填？具体参考我也没有找到（有知道的请告我），目前，我是从代码中查看到的。在epan/dissector/packet-lte-rrc.c文件中，注册了一些PDU类型的解码，类似于这样：

  new_register_dissector("lte-rrc.bcch.bch", dissect_BCCH_BCH_Message_PDU, proto_lte_rrc);
  new_register_dissector("lte-rrc.bcch.dl.sch", dissect_BCCH_DL_SCH_Message_PDU, proto_lte_rrc);
  new_register_dissector("lte-rrc.mcch", dissect_MCCH_Message_PDU, proto_lte_rrc);
  new_register_dissector("lte-rrc.pcch", dissect_PCCH_Message_PDU, proto_lte_rrc);
  new_register_dissector("lte-rrc.dl.ccch", dissect_DL_CCCH_Message_PDU, proto_lte_rrc);
  new_register_dissector("lte-rrc.dl.dcch", dissect_DL_DCCH_Message_PDU, proto_lte_rrc);
  new_register_dissector("lte-rrc.ul.ccch", dissect_UL_CCCH_Message_PDU, proto_lte_rrc);
  new_register_dissector("lte-rrc.ul.dcch", dissect_UL_DCCH_Message_PDU, proto_lte_rrc);
  new_register_dissector("lte-rrc.ue_cap_info", dissect_UECapabilityInformation_PDU, proto_lte_rrc);
  new_register_dissector("lte-rrc.ue_eutra_cap", dissect_lte_rrc_UE_EUTRA_Capability_PDU, proto_lte_rrc);
payload protocol里面就应该根据数据是哪种PDU而填这里面的对应某种。

二就是，从手机获取的数据包有很多种PDU，有BCCH_DL_SCH的，有BCCH _BCH的,有DL_CCCH、DL_DCCH 。。。。等等。肯定不能都设置为147，一个pcap文件也不能设置成多种。怎么办？这就需要使用wireshark的命令行程序tshark了，因为命令行程序很方便跟脚本、程序等对接，这个后续再写。


上面只是以LTE-RRC为例来如何配置让wireshark支持解任意层协议的数据。
好了，让wireshark接任意层协议的基本方法就是这样。

wireshark正确将tcp&sctp解析为diameter协议
在现网中经常使用到diameter协议，例如EPC的Gx，Gy，S6a接口，IMS网络中有更多的是diameter接口，一般与PCRF和HSS交互的接口使用的都是diameter协议。

但是有时候我们wireshark抓到的diameter数据包，打开时没能正确显示成diameter协议，所以我们就无法看到里面承载的信息，我们知道wireshark软件查看数据包就是识别网络并解析网络协议的功能。wireshark之所以没有解析出diameter协议，就是因为其没有识别到此协议，所以我们需要对diameter的协议端口（上层协议识别下层协议的端口）进行手动解码，就是让wireshark关联diameter协议解码。

例如如下分别是sctp和tcp承载的diameter协议无法协议的情况：



1、我们首先看下tcp协议承载diameter协议的解码问题

光标放在需要解码的数据包右键选择协议解码，在如下栏选择diameter即可，效果如下：





有没有发现有个问题，4个tcp的diameter包，只解码了前两个，后两个还是tcp协议，这是为啥呢，我们看#7，9号包的tcp层的序列号都是1，tcp自动做重传分析时因为tcp层序列号相同认为是重传，所以没有解码，下面我们处理一下，关闭tcp层的重传分析。



编码》首选项》protocol，找到tcp协议，将如下框里的勾去掉，就一切OK，如下，不过记得如果以后分析实际tcp协议数据包时候，需要wireshark帮助做重传分析时记得再勾选上，否则wireshark不会自动给做重传分析。





2、sctp承载diameter的解码

注意：有点不同吆

同样光标放到要解码包，右键选中协议解码，找到用diameter解析，不过有时候可能wireshark没有识别到sctp协议和端口，需要我们手动去指定，如下：



看下数据包里实际的sctp端口号



在当前处选择diameter解析即可。
总结延申：

实际这种方法在wireshark里可以广泛使用，不仅仅时diameter不能解析时使用，其他协议也适用，而且如果某个协议解析不如我们意，我们也可以去研究一下协议首选项，找到该协议，看看是不是某些项需要勾选，或者多勾选了。

--------如有问题需要讨论可以给我留言哦

Wireshark可以对抓到的报文进行解码并显示出来，如何把显示的文本内容保存下来以便进行报文内容比对？


1. 选择 "File" -> "Export" -> "File"， 输入文件名，需要自己加.txt后缀

2. 选择 "Save as Type" 为 "Plain Text"
3. 选中 "Packet Range" 的 "Displayed"
4.选择其他选择，一般我们要选择 "Packet Details" -> "All Expanded" 或者 "As displayed"


保存之后就可以使用文本比较工具方便的进行报文比较。