¿Cómo ver si el pcap contiene tráfico RTP?

Navega tus respuestas
4

Estoy analizando el tráfico de una aplicación VOIP. Comencé a wireshark, y me aseguré de que ninguna otra aplicación estuviera usando internet, y luego recibí una llamada de voz en la aplicación. Wireshark capturó algunos paquetes UDP agradables para mí. Lo hice tres veces para voz y tres veces para video. Ahora quiero analizar el tráfico, es decir, averiguar qué tipo de tráfico hay, o si hay algún patrón específico de la aplicación, etc.

Sí, leí en google para hacer clic derecho en un paquete y seleccionar Decodificar como - > RTP, pero luego no veo ningún encabezado o carga de RTP, todo lo que veo es la Versión: Versión borrador 1 debajo del encabezado de RTP.

Se agradece cualquier ayuda u orientación a este respecto.

Por cierto: estoy leyendo RFC y qué hago ahora, pero aún no puedo averiguar cómo analizar el tráfico y saber si RTP está allí o no, y si lo está, si los medios se transfieren con solo esto o algo así. otra cosa también?

    
pregunta Saad Rehman Shah 10.08.2011 - 12:20
fuente

2 respuestas

2

Algunos temas a considerar

  • ¿Está seguro de haber capturado todo el tráfico en la interfaz de red?
  • ¿Está ejecutando la última versión de Wireshark?
  • ¿Está seguro de que no intentó decodificar el tráfico SIP como tráfico RTP?

Mi consejo sería descargar algunos pcap que contengan tráfico RTP conocido de Pcapr , es decir, el siguiente PCAP SIP PCAP . Una vez que se sienta más cómodo con el aspecto del tráfico RTP, tendrá una mejor oportunidad de detectarlo en su propia red.

  • nota que no tengo conexión con pcapr
respondido por el Mark McDonagh 10.08.2011 - 18:35
fuente
1

La forma más fácil de ver si el pcap contiene RTP es si hay un intercambio en el protocolo de control que configura la sesión. P.ej. en SIP, un mensaje INVITE y mensajes asociados, en MGCP, un mensaje CRCX, etc. Si ha grabado toda la conversación, wireshark normalmente decodificará el RTP automáticamente.

Si la aplicación utiliza un protocolo de control no estándar / propietario, puede adivinar la presencia de RTP si los paquetes (a) verifican que el encabezado esté alineado con el formato del paquete RTP y (b) (en muchos casos) buscando la presencia de RTCP en el siguiente número de puerto UDP impar (p. ej., si RTP está activado en 32020, RTCP estaría en 32021).

En su caso, wireshark le está diciendo que el "RTP" que está descodificando es la versión 1. RFC 3550 dice: 

  version (V): 2 bits
    This field identifies the version of RTP.  The version defined by
    this specification is two (2).  (The value 1 is used by the first
    draft version of RTP and the value 0 is used by the protocol
    initially implemented in the "vat" audio tool.)

Por lo tanto, es muy poco probable que lo que estás viendo sea RTP.

    
respondido por el bstpierre 20.12.2011 - 04:39
fuente

Lea otras preguntas en las etiquetas

Protonmail no puede leer mi correo, ¿pero puede detectar si es spam? Servicios como McAfee Secure