Come verificare se il pcap contiene traffico RTP?

Naviga le tue risposte
4

Sto analizzando il traffico di un'applicazione VOIP. Ho iniziato a collegare wireshark e mi sono assicurato che nessun'altra applicazione usasse internet, e poi ho avuto una chiamata vocale sull'applicazione. Wireshark ha catturato alcuni bei pacchetti UDP per me. L'ho fatto tre volte per la voce e tre volte per il video. Ora voglio analizzare il traffico, cioè scoprire che tipo di traffico c'è o se ci sono schemi specifici per le applicazioni, ecc.

Ho letto su google per fare clic con il tasto destro su un pacchetto e selezionare la decodifica come - > RTP - ma poi non vedo alcuna intestazione o payload RTP, tutto quello che vedo è Versione: Versione bozza 1 in sotto l'intestazione RTP.

È gradito qualsiasi aiuto o guida in merito.

BTW - Sto leggendo le RFC e ora, ma non riesco ancora a capire come analizzare il traffico e capire se RTP è presente o meno, e se lo è, se il media viene trasferito usando solo questo o qualcosa del genere anche tu?

    
posta Saad Rehman Shah 10.08.2011 - 12:20
fonte

2 risposte

2

Alcuni problemi da considerare

  • Sei sicuro di aver catturato tutto il traffico sull'interfaccia di rete?
  • Stai utilizzando l'ultima versione di Wireshark?
  • Sei sicuro di non aver provato a decodificare il traffico SIP come traffico RTP?

Il mio consiglio sarebbe quello di scaricare alcuni pcap contenenti traffico RTP noto da Pcapr ovvero il seguente PCAP SIP PCAP . Quando sarai più a tuo agio con il traffico RTP, avrai maggiori possibilità di individuarlo sulla tua rete.

  • nota Non ho alcuna connessione con pcapr
risposta data 10.08.2011 - 18:35
fonte
1

Il modo più semplice per vedere se pcap contiene RTP è se c'è uno scambio nel protocollo di controllo che imposta la sessione. Per esempio. in SIP un INVITO e i messaggi associati, in MGCP un messaggio CRCX, ecc. Se hai registrato l'intera conversazione, wireshark normalmente decodificherà automaticamente l'RTP.

Se l'app utilizza un protocollo di controllo non standard / proprietario, è possibile indovinare la presenza di RTP se i pacchetti mediante (a) controllano che l'intestazione si allinei con il formato del pacchetto RTP e (b) (in molti casi) cercando la presenza di RTCP sul numero di porta UDP dispari successivo (ad esempio se RTP è su 32020, allora RTCP sarebbe su 32021).

Nel tuo caso, wireshark ti sta dicendo che il "RTP" che stai decodificando è la versione 1. RFC 3550 dice: 

  version (V): 2 bits
    This field identifies the version of RTP.  The version defined by
    this specification is two (2).  (The value 1 is used by the first
    draft version of RTP and the value 0 is used by the protocol
    initially implemented in the "vat" audio tool.)

Quindi è altamente improbabile che ciò che vedi sia RTP.

    
risposta data 20.12.2011 - 04:39
fonte

Leggi altre domande sui tag

Che cosa significa attacco di troncamento colluso? Attaccante che reintegra le opzioni del modulo?