WireShark使用经典方法.docx
《WireShark使用经典方法.docx》由会员分享,可在线阅读,更多相关《WireShark使用经典方法.docx(21页珍藏版)》请在冰豆网上搜索。
WireShark使用经典方法
中国移动数据业务跟踪分析方法介绍V1.0
中国移动通信集团网络部
2010年8月
声明
本文件所有权和解释权归中国移动通信集团所有,未经中国移动通信集团书面许可,不得复制或向第三方公开。
修订历史记录
版本号
日期
修订者
说明
1.0
2010-8-20
陈莉华、李晨、李志锋、崔昆、许轶、郭志刚、李广博
建立文档
目录
第一节数据业务测试要求4
第二节跟踪方法6
第三节分析方法11
第四节案例分析17
附录一数据业务流程23
附录二数据业务流程参考25
第一节
数据业务测试要求
1、测试业务:
手机阅读、手机视频、手机地图、手机MM、无线音乐俱乐部、手机电视、飞信、彩信。
其中飞信和彩信业务使用CDS软件进行测试,使用SAGEMOT498终端测试,无线音乐、手机地图、手机视频、MM、手机阅读、手机电视使用商用终端测试。
北京测试采用的是三星8180和LGGW880(ophone)。
2、测试点的选择
对于测试点的选取采用如下原则:
首先,选取CQT中,无线信号较好的点。
尽可能减少无线环境对测试结果的影响;其次,在这些点中,选择数据业务热点区域。
每个点每个测试5-10次
3、测试指标和标准
业务名称
业务指标
北京测试结果值
参考指标
数据部大会战标准
手机视频
登录时延(2G)
9秒
15秒
8秒
手机视频
登录时延(3G)
10秒
15秒
7.5秒
手机视频
登录成功率
95%
95%
99%
手机视频
播放成功率
94.1%
95%
99%
手机视频
播放等待时长(2G)
13.4秒
15秒
7秒
手机视频
播放等待时长(3G)
9秒
15秒
5秒
手机视频
下载成功率
94.1%
95%
99%
手机视频
下载速率(2G)
135kbps
100kbps
120kbps
手机视频
下载速率(3G)
329kbps
300kbps
384kbps
手机地图
客户端登陆成功率
98%
95%
99%
手机地图
客户端定位成功率
92%
95%
99%
手机地图
客户端定位时延(2G)
9.7秒
15秒
8秒
手机地图
客户端定位时延(3G)
14.2秒
15秒
6秒
MM
登陆成功率
99%
95%
99%
MM
登录时延(2G)
7.3秒
15秒
7秒
MM
登录时延(3G)
8.1秒
15秒
7秒
MM
下载成功率
99%
95%
99%
MM
下载速率(2G)
106kbps
100kbps
120kbps
MM
下载速率(3G)
311kbps
300kbps
384kbps
无线音乐
在线听歌时长(2G)
14.5秒
15秒
10秒
无线音乐
在线听歌时长(3G)
8.7秒
15秒
7秒
无线音乐
下载成功率
95%
95%
99%
无线音乐
下载速率(2G)
146kpbs
100kbps
120kbps
无线音乐
下载速率(3G)
373kbps
300kbps
384kbps
飞信
登陆成功率
98.04%
98%
98%
飞信
登录时延
11.12秒
15秒
12秒
手机阅读
登录成功率
99%
95%
99%
手机阅读
访问时延2G
13.5
15
4
手机阅读
访问时延3G
13.6
15
4
手机阅读
下载成功率
99%
95%
99%
手机阅读
2G下载速率
132kbps
100kbps
手机阅读
3G下载速率
397kbps
300kbps
第二节
跟踪方法
一、跟踪点选择
在数据业务的流程中涉及多种设备和系统,如手机终端、GPRS核心网、WAP网关、业务平台等。
为了能够更精确的了解数据报文在网络中各个环节的传送情况,为数据业务跟踪分析提供更完整的数据支持,可以在数据传送的关键环节设置跟踪点,捕捉数据报文。
1.手机终端
该环节可以跟踪和捕捉终端侧的信令交互和数据报文,能够直接反映出用户感知,有利于发现手机终端在处理PDP上下文、数据报文的问题,分析出网络侧可能存在的问题。
方法:
将手机终端与电脑通过数据线连接,通过电脑安装的专用测试工程软件进行日志和数据报文的捕捉。
如LGGW880终端可使用miniTT软件进行信令、日志、数据报文的捕捉。
2.GPRS核心网
该环节可以跟踪和捕捉GPRS核心网内的信令交互和用户面数据报文,有利于发现GPRS核心网与终端信令交互过程中存在的问题,作为中间环节,有利于发现数据报文在传输过程中发生的变化。
方法:
利用GPRS网络的维护管理软件实现SGSN、GGSN相关信令的跟踪和数据报文的捕捉。
例如MOTOGPRS网络中可以使用LMT软件跟踪信令和捕捉报文。
3.WAP网关
该环节可以跟踪和捕捉用户数据在WAP网关系统内的流转处理过程和报文内容,有利于发现WAP网关在处理用户数据过程中的问题,也可以捕捉WAP网关到GPRS核心网和业务平台交互的数据报文,有利于发现WAP网关与GPRS核心网、WAP网关与业务平台之间数据传输的问题。
方法:
可在WAP网关节点服务器、内外网防火墙,通过指令、软件或者端口镜像的方法捕捉数据报文。
例如,在WAP网关节点服务器使用snoop或者tcpdump命令捕捉报文。
如果WAP网关节点服务器或者防火墙不具备捕捉数据报文的条件,可以在WAP网关内部网络交换机和WAP网关所连接CMNET网络交换机上对节点服务器、防火墙所连接端口进行端口镜像,通过数据报文捕捉分析仪器捕捉数据报文。
4.业务平台
该环节可以捕捉WAP网关和业务平台交互的数据报文,有利于发现WAP网关与业务平台数据传输过程中的问题,也有利于发现业务平台对业务请求的处理的问题。
方法:
联系业务平台维护人员,配合捕捉数据报文。
二、跟踪工具的使用
本次测试中使用的跟踪工具为中创信令仪表,使用步骤主要分为以下几步:
1.选择跟踪用的网卡,点击增加网卡按钮,可以把选中的网卡加到跟踪列表中。
可以增加多张网卡,仪表能同时跟踪这些端口的流量。
2.设置捕获保存模式。
可以选择捕获到文件,文件保存的目录,文件名以及每个文件的大小和文件个数。
有多个文件产生时,仪表会自动在文件名后增加序号1,2...。
3.使用捕捉过滤器。
选择一个过滤器,如WAP,右侧为该过滤器的概述。
点击“编辑Patter”进入过滤器的条件编辑,可以按各协议设置条件。
如图,按IP地址设置了特定SP地址和用户地址作为捕获条件,这样设置后仪表只捕获特定IP地址的数据包。
第三节
分析方法
一、业务成功率分析
总体分析思路:
采用自上向下从宏观到具体的分析思路。
由于业务流程比较复杂,可能涉及多个平台或系统(如手机地图业务涉及WAP网关、MSP、各省LSP、GIS系统等),任何接口的失败都可能造成端到端业务的失败。
同时业务失败也可能不会体现在所有接口上。
因此,仅仅分析特定接口的数据包很难准确判断业务使用情况。
在分析业务失败原因时,应以业务平台日志为主,通过日志不能明确定位的问题,再进一步分析相关接口的数据包。
使用Wireshark分析数据包时,灵活使用软件提供的分析统计工具可以快速有效的定位问题(如:
ExpertInfos、Conversations、FollowingTCPstreams等)。
通过ExpertInfos工具查看数据包中存在的异常的网络行为,如丢包、重传、乱序等问题。
如果业务使用TCP协议,“FollowingTCPstreams”工具可以查看TCP流中的应用层数据,对于分析终端和业务平台的交互内容很有帮助。
如下图所示,流的内容出现的顺序和网络顺序一致,两个方向的数据标识成不同的颜色,也可以选择显示单方向的数据内容。
Wireshark提供了丰富的网络统计功能,包括协议分布、会话统计等。
如Statistics->Conversations工具,可以显示每次会话的上下行流量、持续时间等,便于分析业务时延和下载速率等指标。
二、业务速率及时延分析
业务速率和延时主要使用Wireshark软件来分析。
Wireshark为免费软件,支持的协议比较全面,而且分析功能强大。
业务速率分析先用菜单中的“Conversations”,来显示数据文件中的会话清单,可以根据会话的端口号,包数量,字节数量等来找到相应业务过程。
找到相关业务对应的会话后,再使用“IOGraphs”功能来显示TCP流的速率。
如图所示,可以按不同条件用不同颜色画出各个流程的速率,显示单位可以选择“包”,或者比特。
可以清楚的看到相关业务的速率。
分析业务时延时,需要把Wireshark的时间显示改成“从文件头开始计时”,如图:
再筛选需要的TCP流,并过滤高层用到协议,如HTTP,过滤后能清楚的看到业务延时。
如图,HTTP业务请求从0.22秒发出,35.95秒返回HTTP200OK,所以业务时延为35.73秒。
三、WAP网关专题分析
图3-3-1WAP业务抓包点示意图
CMWAP业务分为浏览业务和Socket/流媒体类业务,两者的区别是浏览类业务是通过WAP网关业务节点集群后访问业务平台,而Socket/流媒体类业务是通过WAP网关防火墙处理后访问业务平台。
针对WAP网关的分析应考虑在上图中的1、5、6三个点抓包进行对比分析:
抓包点1是在手机端进行抓包,以便于对业务流程和手机行为有一个了解。
抓包点5是在WAP网关下行防火墙外口进行抓包,并与抓包点1的数据包进行比较,从中判断丢包、错序等异常行为是发生在WAP网关自身还是WAP网关与手机之间。
抓包点6是在WAP网关上行防火墙外口进行抓包,从中判断访问失败、访问内容异常等事件是WAP网关自身问题还是业务平台问题。
在对抓包点1、5、6的数据包进行分析、查找问题的过程中,分析人员应重点关注业务流中的错序、丢包、重传、停传等异常事件,并对这类事件进行分析,定位问题。
建议分析人员在分析时按以下顺序对WAP网关开展检查工作:
1.三次握手过程。
检查三次握手过程WAP网关的响应速度、响应顺序是否正常。
一般来说,WAP网关对三次握手请求的响应时间是10ms以内。
2.响应手机的GET/POST请求。
检查WAP网关收到手机端的GET/POST以后的响应是否及时、响应是否正常、下发给手机端的数据包是否有错序、丢包、重传、停传等异常行为、下发过程中缓存窗口设置是否正常等。
3.与业务平台的数据交互。
检查WAP网关收到用户请求后是否及时发起DNS查询(如有需要)、是否及时向业务平台获取数据、从业务平台收取数据完毕后是否及时发送给手机等。
4.会话结束操作。
检查WAP网关结束会话的方式是否规范(以FIN结束会话;响应对端的FIN请求)。
案例分析
一、业务成功率分析
手机地图业务8月2号建外SOHO定位成功率低,手机提示“您当前所在地区的基站数据暂时缺失,无法获取当前位置信息”。
分析客户端定位log,过滤出http协议,发现定位流程正常结束,服务器均返回http200OK。
通过FollowingTCPstreams进一步分析数据包内容,可以看出在定位成功的测试log中,服务器返回信息中包含位置信息。
联系业务平台查询相关业务访问记录。
定位失败记录CELLID均为28061或28062,错误代码为207,该错误在定位请求经纬度,但是只获得了LAC/CellID没有获得经纬度时出现。
基站经纬度数据采用自动上传的机制,对于新增基站可能存在短时不同步的情况。
经确认上述小区属于新增基站,经纬度数据已于8月3日自动上传。
二、业务速率分析
以手机阅读下载测试为例,如图所示,打开一个手机阅读下载测试的终端Log,用Conversations功能把文件中的所有TCP会话列出。
从图中可以看到有一个TCP会话的字节数有1.19M左右,和业务测试下载的文件大小相近,所以可以判断该会话为业务测试,用“FollowStream”筛选出本次会话的数据包。
选择“IOGraphs”菜单,并加入“tcp.streameq3”(本次业务测试在文件中的“tcp.stream”为3)。
如图,呈现本次图书下载的速率曲线。
三、业务时延分析
再以上面图书阅读下载为例,在原来过滤条件“tcp.streameq3”的基础上,再增加HTTP条件,即“tcp.streameq3&&http”就可以过滤出业务测试的请求和相应,业务时延为13.29秒
四、WAP专题分析
在某次数据业务分析中,发现WAP网关的分包机制不合理,分析过程如下(注:
本例在WAP网关内部交换机中抓包,10.147.67.5是10.0.0.172进行转换后的地址,对应到四层交换机上的虚拟地址):
1.检查手机终端与WAP网关的三次握手过程。
2.从手机终端的SYN请求包中,发现手机终端支持的最大报文为1360字节。
3.从WAP网关回复的SYNACK中,WAP网关支持的最大报文为1410字节。
4.比较手机和WAP网关的能力,单个数据包的最大报文应该是1360。
5.在后续的数据下发过程中,发现WAP网关按最大报文为1348的标准进行数据包的封装。
在本例中,分析人员观察业务流程中WAP网关和手机终端的各项参数,并与WAP网关行为进行比较。
通过对比发现WAP网关存在的问题。
附录一
数据业务流程
一、普通WAP浏览、下载业务示意图
在普通WAP浏览、下载业务过程中,手机终端完成PDP激活、取得IP地址后,向WAP网关发出获取数据的请求;WAP网关收到用户请求后,首先从业务平台获取全部数据,然后再把数据转发给手机终端。
二、Socket/流媒体业务示意图
在Socket/流媒体业务过程中,手机终端完成PDP激活、取得IP地址后,向业务平台发出获取数据的请求,请求到达WAP网关防火墙后,由WAP网关防火墙进行地址转换后发到业务平台;业务平台返回的信息首先到达WAP网关防火墙,再由WAP网关防火墙进行地址转换后返回到手机终端。
附录二
数据业务流程参考
(请补充彩信和飞信的数据包)
手机视频:
手机地图:
无线音乐:
MM业务:
飞信业务:
彩信业务:
手机阅读业务:
升级会员 