WireShark使用经典方法.docx

1、WireShark使用经典方法中国移动数据业务跟踪分析方法介绍V1.0中国移动通信集团网络部2010年8月声 明本文件所有权和解释权归中国移动通信集团所有，未经中国移动通信集团书面许可，不得复制或向第三方公开。修订历史记录版本号日期修订者说明102010-8-20陈莉华、李晨、李志锋、崔昆、许轶、郭志刚、李广博建立文档目录第一节 数据业务测试要求 4第二节 跟踪方法 6第三节 分析方法 11第四节 案例分析 17附录一 数据业务流程 23附录二 数据业务流程参考 25第一节 数据业务测试要求1、测试业务：手机阅读、手机视频、手机地图、手机MM、无线音乐俱乐部、手机电视、飞信、彩信。其中飞信和彩

2、信业务使用CDS软件进行测试，使用SAGEM OT498终端测试，无线音乐、手机地图、手机视频、MM、手机阅读、手机电视使用商用终端测试。北京测试采用的是三星8180和LG GW880（ophone）。2、测试点的选择对于测试点的选取采用如下原则：首先，选取CQT中，无线信号较好的点。尽可能减少无线环境对测试结果的影响；其次，在这些点中，选择数据业务热点区域。每个点每个测试5-10次3、测试指标和标准业务名称业务指标北京测试结果值参考指标数据部大会战标准手机视频登录时延（2G）9秒15秒8秒手机视频登录时延（3G）10秒15秒7.5秒手机视频登录成功率95%95%99%手机视频播放成功率94.

3、1%95%99%手机视频播放等待时长 （2G）13.4秒15秒7秒手机视频播放等待时长 （3G）9秒15秒5秒手机视频下载成功率94.1%95%99%手机视频下载速率（2G）135kbps100 kbps120kbps手机视频下载速率（3G）329kbps300 kbps384kbps手机地图客户端登陆成功率98%95%99%手机地图客户端定位成功率92%95%99%手机地图客户端定位时延（2G）9.7秒15秒8秒手机地图客户端定位时延（3G）14.2秒15秒6秒MM登陆成功率99%95%99%MM登录时延（2G）7.3秒15秒7秒MM登录时延（3G）8.1秒15秒7秒MM下载成功率99%95

4、%99%MM下载速率（2G）106kbps100 kbps120kbpsMM下载速率（3G）311kbps300 kbps384kbps无线音乐在线听歌时长（2G）14.5秒15秒10秒无线音乐在线听歌时长（3G）8.7秒15秒7秒无线音乐下载成功率95%95%99%无线音乐下载速率（2G）146kpbs100 kbps120kbps无线音乐下载速率（3G）373kbps300 kbps384kbps飞信登陆成功率98.04%98%98%飞信登录时延11.12秒15秒12秒手机阅读登录成功率99%95%99%手机阅读访问时延2G13.5154手机阅读访问时延3G13.6154手机阅读下载成功率

5、99%95%99%手机阅读2G下载速率132 kbps100 kbps手机阅读3G下载速率397 kbps300 kbps第二节 跟踪方法一、 跟踪点选择在数据业务的流程中涉及多种设备和系统，如手机终端、GPRS核心网、WAP网关、业务平台等。为了能够更精确的了解数据报文在网络中各个环节的传送情况，为数据业务跟踪分析提供更完整的数据支持，可以在数据传送的关键环节设置跟踪点，捕捉数据报文。1. 手机终端该环节可以跟踪和捕捉终端侧的信令交互和数据报文，能够直接反映出用户感知，有利于发现手机终端在处理PDP上下文、数据报文的问题，分析出网络侧可能存在的问题。方法：将手机终端与电脑通过数据线连接，通过

6、电脑安装的专用测试工程软件进行日志和数据报文的捕捉。如LG GW880终端可使用miniTT软件进行信令、日志、数据报文的捕捉。2. GPRS核心网该环节可以跟踪和捕捉GPRS核心网内的信令交互和用户面数据报文，有利于发现GPRS核心网与终端信令交互过程中存在的问题，作为中间环节，有利于发现数据报文在传输过程中发生的变化。方法：利用GPRS网络的维护管理软件实现SGSN、GGSN相关信令的跟踪和数据报文的捕捉。例如MOTO GPRS网络中可以使用LMT软件跟踪信令和捕捉报文。3. WAP网关该环节可以跟踪和捕捉用户数据在WAP网关系统内的流转处理过程和报文内容，有利于发现WAP网关在处理用户数

7、据过程中的问题，也可以捕捉WAP网关到GPRS核心网和业务平台交互的数据报文，有利于发现WAP网关与GPRS核心网、WAP网关与业务平台之间数据传输的问题。方法：可在WAP网关节点服务器、内外网防火墙，通过指令、软件或者端口镜像的方法捕捉数据报文。例如，在WAP网关节点服务器使用snoop或者tcpdump命令捕捉报文。如果WAP网关节点服务器或者防火墙不具备捕捉数据报文的条件，可以在WAP网关内部网络交换机和WAP网关所连接CMNET网络交换机上对节点服务器、防火墙所连接端口进行端口镜像，通过数据报文捕捉分析仪器捕捉数据报文。4. 业务平台该环节可以捕捉WAP网关和业务平台交互的数据报文，有

8、利于发现WAP网关与业务平台数据传输过程中的问题，也有利于发现业务平台对业务请求的处理的问题。方法：联系业务平台维护人员，配合捕捉数据报文。二、 跟踪工具的使用本次测试中使用的跟踪工具为中创信令仪表，使用步骤主要分为以下几步：1. 选择跟踪用的网卡，点击增加网卡按钮，可以把选中的网卡加到跟踪列表中。可以增加多张网卡，仪表能同时跟踪这些端口的流量。2. 设置捕获保存模式。可以选择捕获到文件，文件保存的目录，文件名以及每个文件的大小和文件个数。有多个文件产生时，仪表会自动在文件名后增加序号1,2.。3. 使用捕捉过滤器。选择一个过滤器，如WAP，右侧为该过滤器的概述。点击“编辑 Patter”进入

9、过滤器的条件编辑，可以按各协议设置条件。如图，按IP地址设置了特定SP地址和用户地址作为捕获条件，这样设置后仪表只捕获特定IP地址的数据包。第三节 分析方法一、业务成功率分析总体分析思路：采用自上向下从宏观到具体的分析思路。由于业务流程比较复杂，可能涉及多个平台或系统（如手机地图业务涉及WAP网关、MSP、各省LSP、GIS系统等），任何接口的失败都可能造成端到端业务的失败。同时业务失败也可能不会体现在所有接口上。因此，仅仅分析特定接口的数据包很难准确判断业务使用情况。在分析业务失败原因时，应以业务平台日志为主，通过日志不能明确定位的问题，再进一步分析相关接口的数据包。 使用Wireshark

10、分析数据包时，灵活使用软件提供的分析统计工具可以快速有效的定位问题（如：Expert Infos、Conversations、Following TCP streams等）。通过Expert Infos工具查看数据包中存在的异常的网络行为，如丢包、重传、乱序等问题。如果业务使用TCP协议，“Following TCP streams”工具可以查看TCP流中的应用层数据，对于分析终端和业务平台的交互内容很有帮助。如下图所示，流的内容出现的顺序和网络顺序一致，两个方向的数据标识成不同的颜色，也可以选择显示单方向的数据内容。Wireshark提供了丰富的网络统计功能，包括协议分布、会话统计等。如St

11、atistics-Conversations工具，可以显示每次会话的上下行流量、持续时间等，便于分析业务时延和下载速率等指标。二、业务速率及时延分析业务速率和延时主要使用Wireshark软件来分析。Wireshark为免费软件，支持的协议比较全面，而且分析功能强大。业务速率分析先用菜单中的“Conversations”，来显示数据文件中的会话清单，可以根据会话的端口号，包数量，字节数量等来找到相应业务过程。找到相关业务对应的会话后，再使用“IO Graphs”功能来显示TCP流的速率。如图所示，可以按不同条件用不同颜色画出各个流程的速率，显示单位可以选择“包”，或者比特。可以清楚的看到相关业

12、务的速率。分析业务时延时，需要把Wireshark的时间显示改成“从文件头开始计时”，如图：再筛选需要的TCP流，并过滤高层用到协议，如HTTP，过滤后能清楚的看到业务延时。如图，HTTP业务请求从0.22秒发出，35.95秒返回HTTP 200 OK，所以业务时延为35.73秒。三、WAP网关专题分析图3-3-1 WAP业务抓包点示意图 CMWAP业务分为浏览业务和Socket/流媒体类业务，两者的区别是浏览类业务是通过WAP网关业务节点集群后访问业务平台，而Socket/流媒体类业务是通过WAP网关防火墙处理后访问业务平台。 针对WAP网关的分析应考虑在上图中的1、5、6三个点抓包进行对比

13、分析：抓包点1是在手机端进行抓包，以便于对业务流程和手机行为有一个了解。抓包点5是在WAP网关下行防火墙外口进行抓包，并与抓包点1的数据包进行比较，从中判断丢包、错序等异常行为是发生在WAP网关自身还是WAP网关与手机之间。抓包点6是在WAP网关上行防火墙外口进行抓包，从中判断访问失败、访问内容异常等事件是WAP网关自身问题还是业务平台问题。在对抓包点1、5、6的数据包进行分析、查找问题的过程中，分析人员应重点关注业务流中的错序、丢包、重传、停传等异常事件，并对这类事件进行分析，定位问题。建议分析人员在分析时按以下顺序对WAP网关开展检查工作：1. 三次握手过程。检查三次握手过程WAP网关的响

14、应速度、响应顺序是否正常。一般来说，WAP网关对三次握手请求的响应时间是10ms以内。2. 响应手机的GET/POST请求。检查WAP网关收到手机端的GET/POST以后的响应是否及时、响应是否正常、下发给手机端的数据包是否有错序、丢包、重传、停传等异常行为、下发过程中缓存窗口设置是否正常等。3. 与业务平台的数据交互。检查WAP网关收到用户请求后是否及时发起DNS查询（如有需要）、是否及时向业务平台获取数据、从业务平台收取数据完毕后是否及时发送给手机等。4. 会话结束操作。检查WAP网关结束会话的方式是否规范（以FIN结束会话；响应对端的FIN请求）。案例分析一、 业务成功率分析手机地图业务

15、8月2号建外SOHO定位成功率低，手机提示“您当前所在地区的基站数据暂时缺失，无法获取当前位置信息”。分析客户端定位log，过滤出http协议，发现定位流程正常结束，服务器均返回http 200 OK。通过Following TCP streams进一步分析数据包内容，可以看出在定位成功的测试log中，服务器返回信息中包含位置信息。 联系业务平台查询相关业务访问记录。定位失败记录CELLID均为28061或28062，错误代码为207，该错误在定位请求经纬度，但是只获得了LAC/Cell ID没有获得经纬度时出现。基站经纬度数据采用自动上传的机制，对于新增基站可能存在短时不同步的情况。经确认上

16、述小区属于新增基站，经纬度数据已于8月3日自动上传。二、 业务速率分析以手机阅读下载测试为例，如图所示，打开一个手机阅读下载测试的终端Log，用Conversations功能把文件中的所有TCP会话列出。从图中可以看到有一个TCP会话的字节数有1.19M左右，和业务测试下载的文件大小相近，所以可以判断该会话为业务测试，用“Follow Stream”筛选出本次会话的数据包。选择“IO Graphs”菜单，并加入“tcp.stream eq 3”（本次业务测试在文件中的“tcp.stream”为3）。如图，呈现本次图书下载的速率曲线。三、 业务时延分析再以上面图书阅读下载为例，在原来过滤条件“t

17、cp.stream eq 3”的基础上，再增加HTTP条件，即“tcp.stream eq 3 & http”就可以过滤出业务测试的请求和相应，业务时延为13.29秒四、 WAP专题分析在某次数据业务分析中，发现WAP网关的分包机制不合理，分析过程如下（注：本例在WAP网关内部交换机中抓包，10.147.67.5是10.0.0.172进行转换后的地址，对应到四层交换机上的虚拟地址）：1. 检查手机终端与WAP网关的三次握手过程。2. 从手机终端的SYN请求包中，发现手机终端支持的最大报文为1360字节。3. 从WAP网关回复的SYN ACK中，WAP网关支持的最大报文为1410字节。4. 比较

18、手机和WAP网关的能力，单个数据包的最大报文应该是1360。5. 在后续的数据下发过程中，发现WAP网关按最大报文为1348的标准进行数据包的封装。 在本例中，分析人员观察业务流程中WAP网关和手机终端的各项参数，并与WAP网关行为进行比较。通过对比发现WAP网关存在的问题。附录一 数据业务流程一、 普通WAP浏览、下载业务示意图 在普通WAP浏览、下载业务过程中，手机终端完成PDP激活、取得IP地址后，向WAP网关发出获取数据的请求；WAP网关收到用户请求后，首先从业务平台获取全部数据，然后再把数据转发给手机终端。二、 Socket/流媒体业务示意图 在Socket/流媒体业务过程中，手机终端完成PDP激活、取得IP地址后，向业务平台发出获取数据的请求，请求到达WAP网关防火墙后，由WAP网关防火墙进行地址转换后发到业务平台；业务平台返回的信息首先到达WAP网关防火墙，再由WAP网关防火墙进行地址转换后返回到手机终端。附录二 数据业务流程参考（请补充彩信和飞信的数据包）手机视频： 手机地图： 无线音乐：MM业务： 飞信业务： 彩信业务: 手机阅读业务：