怎么看抓取的话机设备是IPv4还是IPv6?看这个是做什么用的？

注：想要知道具体的原因请按照下面的标题逐个了解学习，如果向直接知道结果直接拉到文章的最后即可

目录

注：想要知道具体的原因请按照下面的标题逐个了解学习，如果向直接知道结果直接拉到文章的最后即可

一、IPv4 和 IPv6 的基本区别

二、为什么分析，以及如何分析？

三、如何过滤报文

四、确定挂断方

---

一、IPv4 和 IPv6 的基本区别

1. IP地址的作用：用来标识和定位设备。
   标识：唯一标识每个设备，确保数据可以正确的传输到目标设备
   定位：确定设备在网络中的位置，帮助路由器和交换机在网络中传输数据包

2. 配置IP地址：
   （1）IPv4:DHCP(动态主机配置协议)
   （2）IPv6:SLAAC(无状态地址自由配置)

3. 地址格式：
   3.1 IPv4 地址格式：
   （1）IPv4地址为32位，表示为四组十进制数，每组之间用点分隔（如192.168.1.1）。
   （2）IPv4报文头部通常较短，固定为20字节。
   3.2 IPv6 地址格式：
   （1）IPv6报文头部较长，固定为40字节，并且包含更多的字段以支持更复杂的网络功能。
   （2）IPv6地址为128位，表示为八组十六进制数，每组之间用冒号分隔（如2001:0db8:85a3:0000:0000:8a2e:0370:7334）。

二、为什么分析，以及如何分析？

1. 在分析话机通话报文时，判断报文是IPv4还是IPv6的重要性在于它影响了报文的格式、头部信息以及地址解析。
2. 识别IPv4或IPv6的方法 ：在Wireshark或其他网络抓包工具中，可以通过报文头部的字段来区分IPv4和IPv6报文。

• IPv4报文:

  • Version字段：值为4。
  • 源地址和目标地址字段：每个地址为32位。
  • 常见的SIP报文字段有：INVITE、BYE、ACK等。
  • 仅仅是IPv4的一段示例报文，用作练习，可以自己实际抓一段报文用来具体分析

Frame 1: 568 bytes on wire (4544 bits), 568 bytes captured (4544 bits) on interface 0
Ethernet II, Src: 00:50:56:c0:00:01 (00:50:56:c0:00:01), Dst: 00:50:56:c0:00:08 (00:50:56:c0:00:08)
Internet Protocol Version 4, Src: 192.168.1.2, Dst: 192.168.1.3
    0100 .... = Version: 4   //！！！！！观察重点
    .... 0101 = Header Length: 20 bytes
    Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
    Total Length: 548
    Identification: 0x1234 (4660)
    Flags: 0x02 (Don't Fragment)
    Time to Live: 64
    Protocol: TCP (6)
    Header Checksum: 0x0b77 [correct]
    [Header checksum status: Good]
    Source: 192.168.1.2
    Destination: 192.168.1.3
Transmission Control Protocol, Src Port: 5060, Dst Port: 5060, Seq: 1, Ack: 1, Len: 508
Session Initiation Protocol (INVITE)

• IPv6报文:
  • Version字段：值为6。
  • 源地址和目标地址字段：每个地址为128位。
  • 常见的SIP报文字段同样有：INVITE、BYE、ACK等，但会使用IPv6地址格式。
  • 仅仅是IPv6的一段示例报文，用作练习，可以自己实际抓一段报文用来具体分析

  • Frame 2: 590 bytes on wire (4720 bits), 590 bytes captured (4720 bits) on interface 0
    Ethernet II, Src: 00:50:56:c0:00:01 (00:50:56:c0:00:01), Dst: 00:50:56:c0:00:08 (00:50:56:c0:00:08)
    Internet Protocol Version 6, Src: fe80::250:56ff:fec0:1, Dst: ff02::1
        0110 .... = Version: 6  #！！！！！观察重点
        .... 0000 0000 0000 0000 = Traffic Class: 0x00
        Flow Label: 0x00000
        Payload Length: 530
        Next Header: TCP (6)
        Hop Limit: 255
        Source: fe80::250:56ff:fec0:1
        Destination: ff02::1
    Transmission Control Protocol, Src Port: 5060, Dst Port: 5060, Seq: 1, Ack: 1, Len: 490
    Session Initiation Protocol (INVITE)

三、如何过滤报文

在Wireshark中，可以使用过滤器来筛选IPv4或IPv6报文：

• IPv4报文过滤器: ip 或者 ip.addr == 192.168.1.1(可以是源地址也可以是目标地址)
• IPv6报文过滤器: ipv6 或者 ipv6.addr == fe80::250:56ff:fec0:1(可以是源地址也可以是目标地址)

四、确定挂断方

通过观察SIP-BYE报文，可以确定是哪一方发起的挂断。BYE报文通常是由发起挂断的设备发送的。在BYE报文中，检查以下字段：

• From 和 To 字段：指示哪个用户或设备发起和接收请求。
• CSeq 字段：请求序列号，通常用于跟踪和匹配请求和响应。

也可以直接过滤RTP || sip 字段，根据过滤出来的报文，点进去进行分析。