Forum » Omrežja in internet » Wireshark - filtriranje trace-a SIP2CS klica
Wireshark - filtriranje trace-a SIP2CS klica
slitkx ::
SIP = Session Initiation Protocol
CS = Circuit Switched
Torej, voljo imam SIP2SIP in SIP2CS trace fajla, pri čemer gre pri slednjem za trace prepaid klica.
Bom sicer še sam pobrskal po netu, a vseeno - če ve kdo, kako kar najbolje filtrirati ta message ter na kaj je potrebno biti pozoren pri analizi, bom vesel. Message je namreč dolg, zato je treba narediti neko selekcijo, od kod do kod ga analizirati.
CS = Circuit Switched
Torej, voljo imam SIP2SIP in SIP2CS trace fajla, pri čemer gre pri slednjem za trace prepaid klica.
Bom sicer še sam pobrskal po netu, a vseeno - če ve kdo, kako kar najbolje filtrirati ta message ter na kaj je potrebno biti pozoren pri analizi, bom vesel. Message je namreč dolg, zato je treba narediti neko selekcijo, od kod do kod ga analizirati.
- spremenil: slitkx ()
slitkx ::
Če v polje 'Filter:' vpišem 'sip', potlej bi bilo tako filtriranje zadostno? V tem primeru namreč prikaže zgolj SIP promet.
Oz. če drugače vprašam - za katere protokole je smiselno, da se jih v takem sporočilu skrije s filtrom?
V traceu se pojavi veliko protokolov, vendar pa se mi zdijo za analizo pomembni le SIP, SDP, RTP in DIAMETER.e
Kako bi se sicer sploh lotili analize trace-a?
Oz. če drugače vprašam - za katere protokole je smiselno, da se jih v takem sporočilu skrije s filtrom?
V traceu se pojavi veliko protokolov, vendar pa se mi zdijo za analizo pomembni le SIP, SDP, RTP in DIAMETER.e
Kako bi se sicer sploh lotili analize trace-a?
Zgodovina sprememb…
- spremenil: slitkx ()
slitkx ::
Ima kdo kako idejo?
V službi sem sicer govoril s sodelavcem, ki mi je predlagal, da se osredotočim na SIP, DIAMETER in RTP.
Najprej filtriranje SIPa, nato izris grafa toka (flow graph), zatem pa še filtriranje DIAMETRA in od točke, kjer se po avtentikaciji vzpostavi zveza, še filtriranje RTPja. Podal mi je tudi opise IPjev (application server, client, proxy CSCF..
V bistvu mi je, kot je videti, podal vse podatke na pladenj, samo me vseeno še malo matra, kako začeti analizo oz. njen opis.
Je že kdo imel izkušnjo s tem?
Lp.
-Edit: Sem v neki slovenski seminarski nalogi naletel na postopek opisa analize, tako da bo sedaj šlo, ker bom lahko sledil vzorcu.
V službi sem sicer govoril s sodelavcem, ki mi je predlagal, da se osredotočim na SIP, DIAMETER in RTP.
Najprej filtriranje SIPa, nato izris grafa toka (flow graph), zatem pa še filtriranje DIAMETRA in od točke, kjer se po avtentikaciji vzpostavi zveza, še filtriranje RTPja. Podal mi je tudi opise IPjev (application server, client, proxy CSCF..
V bistvu mi je, kot je videti, podal vse podatke na pladenj, samo me vseeno še malo matra, kako začeti analizo oz. njen opis.
Je že kdo imel izkušnjo s tem?
Lp.
-Edit: Sem v neki slovenski seminarski nalogi naletel na postopek opisa analize, tako da bo sedaj šlo, ker bom lahko sledil vzorcu.
Zgodovina sprememb…
- spremenil: slitkx ()
slitkx ::
SIP: Continuation je sporočilo, ki ga izpiše Wireshark, ker ne more razčleniti SIP sporočila ali pa je že del trace-a?
COM:
Nadaljevanje sporočila je indikator, ki ga uporablja sloj AAL za prikaz, da je neka celica ATM nadaljevanje informacijskega paketa višjega sloja, ki je bil segmentiran v zaporedje celic.
- Tole sicer ni za SIP, vendar pa sem nekje zasledil izraz "segmentacija" v kontekstu protokolov TCP in UDP.
COM:
Nadaljevanje sporočila je indikator, ki ga uporablja sloj AAL za prikaz, da je neka celica ATM nadaljevanje informacijskega paketa višjega sloja, ki je bil segmentiran v zaporedje celic.
- Tole sicer ni za SIP, vendar pa sem nekje zasledil izraz "segmentacija" v kontekstu protokolov TCP in UDP.
Zgodovina sprememb…
- spremenil: slitkx ()
BlueRunner ::
Nisi ti še domač v IP svetu... ;)
SIP: Continuation je SIP sporočilo "100 Continue" in kot takšno seveda del zajetih podatkov in ne nekaj, kar bi Wireshark sfabriciral. Toplo priporočam, da si čim prej pogledaš kakšen kratek opis vsebine SIP spročil in protokola, da se ne boš lovil na takšnih malenkostih.
Ravno tako v IP svetu pozabi (t.j. izbriši iz spomina, ignoriraj, doživi amnezo, itd...) vse stvari, ki se tičejo ATM-ja ali drugih tehnologij. To je drug svet, ki se pokorava svojim lastnim pravilom in uporablja svoje lastne izraze.
Glede segmentacije priporočam najmanj ogled wikipedijinih člankov o TCP in UDP, kjer boš pobliže spoznal ta dva IP protokola in tudi izrazoslovje, ki se pri njiju uporablja. Hiter odgovor na tvoje splošno vprašanje se glasi: Transmission Control Protocol accepts data from a data stream, 'segments' it into chunks, and adds a TCP header creating a TCP segment. The TCP segment is then encapsulated into an IP datagram. A TCP segment is "the packet of information that TCP uses to exchange data with its peers."
SIP: Continuation je SIP sporočilo "100 Continue" in kot takšno seveda del zajetih podatkov in ne nekaj, kar bi Wireshark sfabriciral. Toplo priporočam, da si čim prej pogledaš kakšen kratek opis vsebine SIP spročil in protokola, da se ne boš lovil na takšnih malenkostih.
Ravno tako v IP svetu pozabi (t.j. izbriši iz spomina, ignoriraj, doživi amnezo, itd...) vse stvari, ki se tičejo ATM-ja ali drugih tehnologij. To je drug svet, ki se pokorava svojim lastnim pravilom in uporablja svoje lastne izraze.
Glede segmentacije priporočam najmanj ogled wikipedijinih člankov o TCP in UDP, kjer boš pobliže spoznal ta dva IP protokola in tudi izrazoslovje, ki se pri njiju uporablja. Hiter odgovor na tvoje splošno vprašanje se glasi: Transmission Control Protocol accepts data from a data stream, 'segments' it into chunks, and adds a TCP header creating a TCP segment. The TCP segment is then encapsulated into an IP datagram. A TCP segment is "the packet of information that TCP uses to exchange data with its peers."
Zgodovina sprememb…
- spremenilo: BlueRunner ()
slitkx ::
Hja, za ta sporočila (odgovore na zahtevke) vem, saj ravno z njim zdajle opisujem trace. Ampak čemu potlej Wireshark ni izpisal s kodo? Mimogrede, kodo 100 ima Trying.
Dodano: Iz tega PDFja, ki si ga priložil, vidim, da gre pri Trying in Continue za isto zadevo.
Hvala.
Dodano: Iz tega PDFja, ki si ga priložil, vidim, da gre pri Trying in Continue za isto zadevo.
Hvala.
Zgodovina sprememb…
- spremenil: slitkx ()
BlueRunner ::
Potem je to lahko tudi nadaljevanje enega sporočila, ki je bilo razrezano na več UDP (ali TCP) paketov v smislu prevelik paket za MTU povezave. Če da, potem imaš dejansko opraviti s tem, čemer se na IP-ju reče segmentacija sporočila.
Uporabi wiresharkovo funkcijo "Follow UDP (oziroma TCP) stream". To ti bo pri SIP-u zelo pomagalo.
Za "100 Trying" vs. "100 Continue" vs. "100 Try" vs. "100 Giving a Try" pa je pomembna samo številka - kar sledi številki je opisno in v RFC-ju res navedeno kot "Continue", ampak v živo vidiš vse sorte. Sam sem videl že vse štiri variante.
Konkretno v RFC:
Zaupaj kodi...
Uporabi wiresharkovo funkcijo "Follow UDP (oziroma TCP) stream". To ti bo pri SIP-u zelo pomagalo.
Za "100 Trying" vs. "100 Continue" vs. "100 Try" vs. "100 Giving a Try" pa je pomembna samo številka - kar sledi številki je opisno in v RFC-ju res navedeno kot "Continue", ampak v živo vidiš vse sorte. Sam sem videl že vse štiri variante.
Konkretno v RFC:
Status-Line = SIP-Version SP Status-Code SP Reason-Phrase CRLF The Status-Code is a 3-digit integer result code that indicates the outcome of an attempt to understand and satisfy a request. The Reason-Phrase is intended to give a short textual description of the Status-Code. The Status-Code is intended for use by automata, whereas the Reason-Phrase is intended for the human user. A client is not required to examine or display the Reason-Phrase.
Zaupaj kodi...
Zgodovina sprememb…
- spremenilo: BlueRunner ()
slitkx ::
Mucho ti gracias, zelo si pomagal.
Sem se namreč pri opisu ustavil ravno pri tem, ker nisem vedel, kaj naj napišem za Continuation. Gre namreč za to, da dokončujem diplomo, zdajle pišem še za praktični del.
Sem se namreč pri opisu ustavil ravno pri tem, ker nisem vedel, kaj naj napišem za Continuation. Gre namreč za to, da dokončujem diplomo, zdajle pišem še za praktični del.
Zgodovina sprememb…
- spremenil: slitkx ()
BlueRunner ::
Heh. Sry, da sem to tako pozno opazil, ampak niti prvi, niti drugi naslov teme mi nista bila ravno preveč privlačna.
slitkx ::
Pri zahtevi REGISTER se pojavi "fetch bindings", nato pa še pri odgovoru OK "1 bindings".
Kako si lahko to razlagam?
Lp.
Binding:
A process associates its input or output channel file descriptors (sockets) with a port number and an IP address, a process known as binding, to send and receive data via the network.
S strani UDP ports. @ Wikipedia
Prava definicija?
Kako si lahko to razlagam?
Lp.
Binding:
A process associates its input or output channel file descriptors (sockets) with a port number and an IP address, a process known as binding, to send and receive data via the network.
S strani UDP ports. @ Wikipedia
Prava definicija?
Zgodovina sprememb…
- spremenil: slitkx ()
BlueRunner ::
Ne. To, kar si videl, je del SIP protokola na OSI nivoju 7 in ne UDP protokola na OSI nivoju 4. Pravo zgodbo boš našel pri opisu registracij (bindings) v SIP RFC-3261. Za izhodišče vzemi točke 10.2.1 do 10.2.4.
Hmm... hecno. Tole je bolj podobno dialogu, kot pa odprti debati. Ali se res nihče drug ne ukvarja s SIP, IMS in ostalimi stvarmi na govornih komunikacijah?
Hmm... hecno. Tole je bolj podobno dialogu, kot pa odprti debati. Ali se res nihče drug ne ukvarja s SIP, IMS in ostalimi stvarmi na govornih komunikacijah?
Zgodovina sprememb…
- spremenilo: BlueRunner ()
BlueRunner ::
To je bilo vprašanje v "eter" tega foruma... če ni tukaj na forumu res nikogar drugega, ki se bi s tem še ukvarjal.
slitkx ::
Evo, sem našel v oni knjigi v poglavju glede SIP:
REGISTER is used to create a binding between SIP address (Public User ID) of a user and the current UA contact address (IP address & port).
REGISTER is used to create a binding between SIP address (Public User ID) of a user and the current UA contact address (IP address & port).
slitkx ::
Takole sem zapisal...po potrebi bom spremenil:
BINDING je (preko protokola SIP) pridobljena/dodeljena povezava med SIP naslovom klienta (IMPU) in trenutnim kontaktnim naslovom uporabniškega agenta (angl. UA), katerega vlogo ima v konkretnem primeru P-CSCF. UA vsebuje IP naslov ter številko vrat.
BINDING je (preko protokola SIP) pridobljena/dodeljena povezava med SIP naslovom klienta (IMPU) in trenutnim kontaktnim naslovom uporabniškega agenta (angl. UA), katerega vlogo ima v konkretnem primeru P-CSCF. UA vsebuje IP naslov ter številko vrat.
BlueRunner ::
Oprosti, če bom težak kritik, ampak iz tvojega opisa je zelo težko razbrati za kaj se gre.
UA je user agent - konkretna vloga v komunikaciji, ne pa "objekt", ki bi nekaj vseboval. Naslov UA in vrata za komunikacijo so tisto, kar se povezuje, ne pa UA kot takšen. Morda bi moral najti boljši izraz, ki opisuje ta par in hkrati ni že uporabljen za nekaj drugega.
Upoštevaj tudi to, da je lahko na en "UA address, port pair" vezano tudi več URI-jev. Oziroma v IMS poimenovanju IMPU-jev in/ali IMPI-jev. In obratno, en IMPI je lahko sočasno aktiven na več povezavah, na vsak IMPI pa lahko kaže tudi več IMPU-jev.
UA je user agent - konkretna vloga v komunikaciji, ne pa "objekt", ki bi nekaj vseboval. Naslov UA in vrata za komunikacijo so tisto, kar se povezuje, ne pa UA kot takšen. Morda bi moral najti boljši izraz, ki opisuje ta par in hkrati ni že uporabljen za nekaj drugega.
Upoštevaj tudi to, da je lahko na en "UA address, port pair" vezano tudi več URI-jev. Oziroma v IMS poimenovanju IMPU-jev in/ali IMPI-jev. In obratno, en IMPI je lahko sočasno aktiven na več povezavah, na vsak IMPI pa lahko kaže tudi več IMPU-jev.
Zgodovina sprememb…
- spremenilo: BlueRunner ()
slitkx ::
Tako sem napisal zato, ker je opis neposredno zraven vrstice (paketka), na katero/katerega se navezuje. Zato smatram, da je razvidno, za kaj gre.ič
Lahko pa tole glede UA popravim, da bo pisalo "naslov UA iz dotičnega primera vsebuje IP naslov ter številko vrat". (?)
Malo je jeba...iz treh virov (definicij) za 'binging' moram spraviti skupaj čimbolj smiselno razlago, za kaj gre.
Torej, kako opisati?:
Lahko pa tole glede UA popravim, da bo pisalo "naslov UA iz dotičnega primera vsebuje IP naslov ter številko vrat". (?)
Malo je jeba...iz treh virov (definicij) za 'binging' moram spraviti skupaj čimbolj smiselno razlago, za kaj gre.
Torej, kako opisati?:
binding
Zgodovina sprememb…
- spremenil: slitkx ()
slitkx ::
Zdaj sem za BINDING napisal takole:
Ta izraz označuje povezavo IP naslova uporabniškega agenta (angl. UA) ter (povezovalnih) vrat (angl. port), pri čemer ima v konkretnem primeru (paketa) P-CSCF vlogo UA. Ob tem velja omeniti, da je lahko na en UA naslov ter njegova (povezovalna) vrata vezanih več IMPU-jev in/ali IMPI-jev - in obratno, en IMPI je lahko sočasno aktiven na več povezavah, na vsak IMPI pa lahko kaže tudi več IMPU-jev.
Je ok?
Ta izraz označuje povezavo IP naslova uporabniškega agenta (angl. UA) ter (povezovalnih) vrat (angl. port), pri čemer ima v konkretnem primeru (paketa) P-CSCF vlogo UA. Ob tem velja omeniti, da je lahko na en UA naslov ter njegova (povezovalna) vrata vezanih več IMPU-jev in/ali IMPI-jev - in obratno, en IMPI je lahko sočasno aktiven na več povezavah, na vsak IMPI pa lahko kaže tudi več IMPU-jev.
Je ok?
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Asterisk VoIP - izkušnje (strani: 1 2 3 )Oddelek: Programska oprema | 16930 (2577) | webbacklink |
| » | VoIP prenehal delovati z novim routerjemOddelek: Omrežja in internet | 939 (683) | Vili_vanili |
| » | Telemach in porti za SIP ?Oddelek: Omrežja in internet | 6721 (5151) | #000000 |
| » | ITU pravkar odobril deep packet inspection (strani: 1 2 )Oddelek: Novice / NWO | 19291 (14813) | NeMeTko |
| » | Diameter AccountingOddelek: Omrežja in internet | 799 (651) | BlueRunner |