SIP 加密呼叫(TLS+SRTP)抓包后获取媒体内容备忘

已于 2023-07-09 11:15:48 修改
阅读量1.7k 收藏 1
点赞数
文章标签: 媒体 sip srtp
于 2023-07-09 11:10:46 首次发布
原文链接:https://www.zoiper.com/en/support/home/article/162/How%20to%20decode%20SIP%20over%20TLS%20with%20Wireshark%20and%20Decrypting%20SDES%20Protected%20SRTP%20Stream#:~:text=1%201.%20Decode%20TLS%20First%20you%20need%20the,Decrypt%20the%20RTP%20stream%20with%2
版权

解码sip tls

(该方法不适用于cipher suite是(EC)DHE的时候!!!, wireshark官方的解释:https://wiki.wireshark.org/TLS, 但是现在大部分的呼叫用的都是(EC)DHE, 哈哈哈, 译者注): 在这里插入图片描述

首先你需要拿到你自己服务器的私钥(private key), 将其保存到你的PC, 私钥看起来如下:

-----BEGIN PRIVATE KEY-----
MIIEvwIBADANBgkqhkiG9w0BAQEFAASCBKkwggSlAgEAAoIBAQDXvcHGyQI7oUeQ
k1a38PMYoC9Eh+brPbOWtJh3UMkx/5jJ5AWyT4Isw2eOR94u2fsC0SZ3aqnPWQzO
...
JHAjJPm1zRGQFjGgVmDKPNrbQQQDf0ONDiOW7RcscYU4op8ou7U4o9q3Vxbscnru
BoiifdgCcKeYBnRIIFbxtLCR3Q==
-----END PRIVATE KEY-----

打开wireshark, 并点击Edit >> Preferences >> Protocols >> SSL >>Edit , 按照下图进行设置, 将早先储存私钥的文件作为key file导入。(下图SSL已经被wireshark废弃了,现在需要使用TLS,译者注)
figure1
现在开始解析sip ssl信令, 这里值得注意的是整个SSL的握手过程必须被抓取, wireshark才能对其进行解码。SSL 握手过程如下:
figure2
每次client注册(需要将phone重启)都会发生SSL如上图的握手过程,现在整个呼叫流程应该已经可见了:
figure3

获取对称加密的key以解码RTP流

用来加密RTP流的密钥可以在SIP 信令的SDP里找到。 主叫方的密钥可以在SIP INVITE消息里找到; 被叫方的密钥可以在SIP 200 OK消息里找到(这只是一般情况,有很多设备有delay offer机制,及INVITE中没有媒体能力参数, 而在ACK里面有, 这样的好处是不会提前暴漏自己的能力参数, 译者注)。如下图,用wireshark把SIP消息过滤出来可以更方便的看到关注的消息:
figure4
举例来说, 呼叫方IP 是 10.2.4.38, 被叫方是10.7.172.186。在该教程中我们将只解密呼叫里的被叫方10.7.172.186 这一端。我们可以简单地展开SIP 200OK 消息的SDP, 如下图来获取密钥:
figure5
现在我们已经有了key+salt的值可以用来解码, 我们需要把关心的RTP流分离出来。这里只是一个简单的, 只有一路RTP流的例子, 我们可以用wireshark轻松地将其过滤出来, 如下图:
figure6
过滤出来的流可以按照File > Export Specified Packets的方式保存。这里需要确保只有罗列出来的包被导出,以“.pcap”而不是“.pcapng”的格式保存。
(由于wireshark无法解码(EC)DHE, 所以如果你的SIP server写了log的话,同样可以从log中得到key saly的值, 不过需要先做base64 decode,然后用xdd命令将crypto里面的值从二进制转换成十六进制输出。可以参考这个:https://www.rfc-editor.org/rfc/rfc4568, 译者注)在这里插入图片描述

用rtp_decoder (cisco libsrtp)解密RTP stream

从github下载cisco/libsrtp project, 并按照其中的说明进行安装。

git clone https://github.com/cisco/libsrtp
cd libsrtp/
./configure
make
cd test/

./rtp_decoder -a -t 10 -e 256 -k 8681b9f3d9b7c545e8a5575720245c94cd0403fbd88d
1d1e562e856ca5b04b8c0f84ff838d97c40a867d6c9b663c * < ./srtp_single_stream.pcap | text2pcap -t "%M:%S." -u 10000,10000 - - > ./srtp_decrypted.pcap​

./rtp_decoder --help
Using libsrtp2 2.1.0-pre [0x2010000]
usage: ./rtp_decoder [-d <debug>]* [[-k][-b] <key> [-a][-e]]
or     ./rtp_decoder -l
where  -a use message authentication
       -e <key size> use encryption (use 128 or 256 for key size)
       -g Use AES-GCM mode (must be used with -e)
       -t <tag size> Tag size to use (in GCM mode use 8 or 16)
       -k <key>  sets the srtp master key given in hexadecimal
       -b <key>  sets the srtp master key given in base64
       -l list debug modules
       -f "<pcap filter>" to filter only the desired SRTP packets
       -d <debug> turn on debugging for module <debug>
       -s "<srtp-crypto-suite>" to set both key and tag size based
          on RFC4568-style crypto suite specification​

还原媒体内容:

参考上一篇文章:https://blog.csdn.net/liuxingrui4p/article/details/131619773?spm=1001.2014.3001.5502

XMan_Liu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sip tls加密配置方法
jyqc688的专栏
05-07 2684
SIP TLS Implementing TLS greatly enhances the security. It's also rather confusing to get it working.I put together a really simple set of procedures to configure Asterisk 1.8.x to accept TLScon...
SIP消息加密
03-13
一种简单高效率的SIP加密方法,可以防止电信封杀
TLS协议包抓包结果文件
07-30
使用wireshark抓到TLS 的协议包,参看我的博文《https 原理简析》
sip协议之网络传输方式
szkbsgy的专栏
04-19 5065
SIP协议是一个基于互联网的应用层协议,支持的网络传输方式有三种: UDP、TCP、TLS。 一、UDP UDP是在SIP协议中比较常用的传输方式。UDP是不可靠的,可能会出现丢包,因此,SIP协议在应用层设计了消息重传机制,来保证传输的可靠性。 关键说明: SIP服务器一般使用5060作为UDP监听端口 UDP存在NAT保活问题,因此会采用较小的注册超时时间或者定时发送网络空包(\r\n等)来保证链路的连通性 出现丢包、对端响应慢或无响应时...
使用Wireshark抓包分析SIP协议
m0_65890285的博客
04-25 1249
SIP(Session Initiation Protocol,会话初始协议)是一种用于建立、修改和终止多媒体会话(如电话呼叫和视频会议)的协议。
SIP TLS Notes
亲密数
09-08 3149
This article first introduces some general informations about authentication, encryption and cryptography concepts. Then TLS and GnuTLS are
sip加密机制
放飞自己
12-24 7735
转载自:http://blog.sina.com.cn/s/blog_737adf5301013rb7.html 1、加密和解密 加密系统的组成: (1)加密前的报文——明文 (2)加密后的报文——密文 (3)加密解密算法 (4)用于加密和解密的钥匙   2、关于密钥 要想加密必须使用密钥,他是将信息内容变为内容的工具。它可能是字符串或者数字或者两者的混合。 密码算
SRTP with SIP
blade2001的专栏
01-26 1820
http://www.docin.com/p-475247723.html http://tools.ietf.org/html/rfc4568 http://www.cisco.com/web/about/security/intelligence/securing-voip.html#12 http://www.h3c.com.cn/Products___Technology/Techn
SIP协议的安全性相关介绍
VVSIP官网博客
10-15 1483
信令加密,使用TLS协议 TLS本身运行于TCP之上,并且提供了通信双方身份识别和加密SIP报文的一整套安全方案,为应用层协议服务。建立TLS连接时需要认证双方用户的身份,因此用户双方必须有各自合法的数字证书,只有通过认证的用户才可以进行后续的通信。使用TLS传输SIP报文,SIP报文在整个传输过程全部被加密,这样能够最大程度的保护用户数据不被他人非法窃取,提高了语音通信的安全性。 媒体加密,使用SRTP协议 目前支持的媒体流协议包括:RTP(Real-time Transport Protocol
resip协议栈下的TLS使用
weixin_33859504的博客
05-27 679
resip协议栈下使用TLSTLS在resiprocate的使用有几个方面:1) 作为TLS服务端, 如repro;2) 签名验证来自TLS客户端的客户端证书(1.8版本以上);3) 作为TLS客户端;支持的安全传输协议, repro中默认为 TLS v1SSL(SecureSocketsLayer安全套接字层): v23TLS(TransportLayerSecurity传...
TCP与TLS数据报文抓包
03-18
1、生成 wireshark 工具可读取的 capture.pcap 抓包文件; 2、学习 “DNS解析步骤”报文结构; 3、学习 “TCP三次握手”报文结构; 4、学习 “TLS握手与秘钥协商” 等过程。 详细介绍,可参考我的技术文章: 一文...
webrtc vp8_rtp抓包样例
10-29
在webrtc系统上捕获的VP8无FEC、SRTPRTP报文,用于VP8协议分析。
802.1x EAP-TLS客户端抓包
09-12
802.1x EAP_TLS客户端抓包文件,用于分析EAP-TLS交互流程
mbedtls加密协议源代码
08-25
包括常用的RSA,HASH,AES,MD5等机密算法源代码,亲测可用
关于fabric-ca的tls通信加密说明
01-08
fabric-ca-server使用tls加密与fabric-ca-client之间的通信 ​ 本文章解决的是关于fabric-ca-server与fabric-ca-client之间使用tls进行通信的问题,包括fabric-ca-server与fabric-ca-client的安装以及关于tls通信的...
VoIP之TLS
szkbsgy的专栏
05-14 530
在VoIP领域中,为了保证SIP信令不被篡改和窃取,使用TLS作为传输方式来对SIP信令进行加密TLS(安全传输层协议)用于在两个通信应用程序之间提供保密性和数据完整性,TLS处于TCP协议之上。 服务器端对于TLS一般选择5061作为监听端口 SIP注册(TLS)示例: 1. TLS协商(使用tls 1.0版本) 2. 注册过程 关键说明: 1. 使用TLS传输方式后,从wireshark中已经无法查看到明文信令 2. 可以通过过滤tcp/tls查看TLS协商是否成功 .
SIP支持的传输协议-UDP、TCP、TLS
VVSIP官网博客
10-15 7965
SIP是一个应用层的会话协议,与一般协议不同的是,SIP协议可以同时支持各种传输协议: SIP支持UDP传输:UDP是一个无连接的协议,且不提供可靠性。在UDP上建立SIP连接存在不可靠性。 SIP支持TCP传输:增加了SIP报文和语音传输的可靠性,通过TCP协议自身的特点为基于SIP的VoIP通信提供了面向连接和可靠的传输。SIP使用TCP传输协议后,SIP协议可以不需要考虑报文丢失和重传问题。 SIP支持TLS(Transport Layer Security,传输层安全)...
基于TLS抓包内容分析解决方法
ryanzzzzz的博客
10-21 657
wireshark也正是因为可以读取该日志文件中的TLS密钥,从而能够还原http应用层数据内容。这里sys.log日志文件的内容示例如下。https网络包传输过程中经SSL/TSL加密后,在协议分析工具中(如wireshark)对于应用层http内容数据无法分析。wireshark软件界面中,【编辑】-【首选项】-【protocol】-【TLS】页中配置TLS密钥日志文件目录。当wireshark包解析时会调用日志文件中密钥信息,计算获得会话密钥完成基于tls协议的数据包解析,如下。
SIP通信安全方式
zrush的博客
12-14 133
本文主要介绍SIP安全通信的几种实现方式,包括IPSEC, PGP, S/MIME等。同时对每种方式的优缺点进行评论。
wireshark抓包tls解密
最新发布
05-20
Wireshark是一款流行的网络抓包工具,可以用来捕获并分析网络数据包。当使用Wireshark进行TLS抓包时,如果你想要解密TLS通信内容,你需要在Wireshark中配置相关的解密选项。 在Wireshark中解密TLS通信的步骤如下: 1. 在Wireshark中打开抓到的TLS通信数据包,选择其中一条TLS通信记录,右键选择"Protocol Preferences"。 2. 在"Protocol Preferences"弹出框中选择"SSL",勾选"Enable SSL debug logging"并点击"Edit"按钮。 3. 在"RSA Keys List"弹出框中,点击"New"按钮添加一组密钥。这里需要输入服务器的IP地址、端口号、协议版本以及密钥文件路径。密钥文件一般为.pem格式,包含私钥和证书链信息。如果没有私钥,可以使用公钥加证书链信息进行解密。 4. 点击"OK"保存配置,重新打开抓包文件或者重新捕获数据包,Wireshark会自动使用私钥对TLS通信进行解密,解密后的内容将显示在Wireshark中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值