Анализ VoIP Wireshark, может видеть поток RTP, но не может найти SIP или H323

Question

Анализ VoIP Wireshark, может видеть поток RTP, но не может найти SIP или H323

Простите, если я задаю не тот вопрос. Недавно я пытаюсь проанализировать некоторый VoIP-трафик в Wireshark. Но все, что я мог видеть, это небольшие пакеты UDP; некоторые содержат потоки RTP, и я могу видеть различную информацию кодека, такую как G.711, G.723 и т. д. Но нет никаких признаков SIP или любых других пакетов сигнализации. Можно ли скрыть передачу сигналов SIP или H323 в пакетах UDP способом, который не обнаруживается в Wireshark? или STUN может сделать некоторую кодировку, чтобы скрыть пакеты сигнализации?

0

wireshark sip voip stun

Источник

user1987388 25 сен '13 в 16:23

3 ответа

Другие вопросы по тегам wireshark sip voip stun

user1548528 01 окт '13 в 22:48 2013-10-01 22:48 · Answer 1 · 2013-10-01 22:48

Хотел поделиться подобным опытом.

Wireshark не показывал некоторые SIP-пакеты. Я был очень уверен, что эти пакеты были отправлены. Я обнаружил что-то необычное с экранами Wireshark. Он сгруппирует много пакетов в один пакет. Это типично, если у вас загруженный трафик. Вам проверять каждый пакет

user11173412 30 мар '20 в 03:52 2020-03-30 03:52 · Answer 2 · 2020-03-30 03:52

Да. "Но нет никаких признаков SIP или каких-либо других пакетов сигнализации". Вы можете кодировать номер внутри пакетов RTP с помощью DTMF. Тогда SIP используется только при начальной авторизации, тогда вы используете только DTMF в RTP, см. RFC 2833. Также есть возможность кодировать DTMF в аудио (внутриполосный), но это не "стандарт". Тем не менее, пакет SIP Info должен быть предпочтительным методом.

user2788581 09 окт '13 в 07:05 2013-10-09 07:05 · Answer 3 · 2013-10-09 07:05

Анализ протокола SIP в Wireshark, воспроизведение перехваченных вызовов VoIP, воспроизведение вызовов VoIP, использование фильтра для фильтрации протокола SIP и RTP, если столбец отсутствует, перейдите в раздел "Правка" -> "Настройки" -> "Выбрать столбец" -> "Добавить протокол столбца".

user776409 27 сен '13 в 11:09 2013-09-27 11:09 · Answer 4 · 2013-09-27 11:09

Нет. По умолчанию Wireshark перехватывает SIP в стандартных портах, и вы, вероятно, используете какой-то другой порт.

Вы можете Edit > Preferences... > Protocols > SIP и проверьте порты, которые используются для идентификации трафика SIP.

Другой способ заставить его анализировать пакеты как SIP, это создать фильтр по используемому протоколу и порту (например, udp.port == 5060 || tcp.port == 5060), а затем выбрать пакет и перейти к Analyze > Decode as... > Transport > SIP,