Wireshark抓包指南
目录
一.Wireshark工具介绍
Wireshark是一个网络数据库分析软件，功能十分强大。

可以截取各种网络封包，包括HTTP，TCP，UDP，SIP等网络协议，显示网络封包的详细信息。

二.Wireshark安装
下载，下载地址：，根据自己笔记本系统选择合适的安装包
2.安装步骤：
a.双击wireshark安装包，点击next
agreement信息，点击I Agress继续
c.选择组件，默认安装所有组件，点击next继续
d.创建快捷方式，关联文件类型，点击next继续
e.选择wireshark的安装路径，点击next继续
d.选择安装WinPcap，该插件用于监听网络的数据库，点击Install安装：
安装，点击next继续：
d.点击I Agree继续：
e.选择Automatically start the WinPcap driver at boot time，点击Install 安装：
f.点击finish启动wireshark。

三.wireshark网卡配置
点击菜单“Capture”>”Interface”，选择所需要抓去信息的网卡：
如果要抓取IAD的数据包，笔记本有线网卡和IAD的网卡都连接在HUB上，在笔记本上抓取有线网卡的数据包即可抓到IAD的所有的数据库包。

四.SIP协议分析
注册流程
通过sip关键字来过滤sip包
呼叫流程
可根据sip包头的Call-ID字段可以完整过滤出一个呼叫的流程：
分析
DTMF方式可分为三种：SIP Info、RFC2833和Tone。

SIP info为带外检测，即通过sip信令INFO方法携带DTMF信号。

RFC2833为带内检测方式，通过过滤 == 101字段可获得dtmf的数据包
Tone为带内检测方式，需要使用语音分析软件对数据包进行解析才可判断是否使用tone。

媒体分析
RTP媒体可分为两段，IAD>服务器；服务器>IAD
过滤RTP通过Invite或者200ok消息携带的rtp port字段使用 == "67410f21a1427a15" or == 8108过滤：。