【SIP协议远程分析利器,WireShark+NetCat+TcpDump助力实现Freeswitch远程调试】

已于 2023-11-16 13:03:20 修改
阅读量3.1k 收藏 22
点赞数 1
文章标签: wireshark tcpdump ssh
于 2022-09-07 18:28:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40991654/article/details/126747955
版权

Wireshark+NetCat+TcpDump实现远程抓包分析

使用背景

近期由于研究FreeSwitch高可用性,用来提高AI机器人话务处理单元的稳定性,避免AI处理模块异常导致通话异常,需要对呼叫进行详细的跟踪和分析。
虽然可以通过fs_cli的窗口,查看详细的sip消息内容,并根据SIP消息各个字段进行debug。但是这种方式是命令行模式,所有信息都需要人工逐一仔细分析。单台freeSwitch的情况下,做SIP信令分析还勉强能接受,超过2台以上的fs协作交互时,一个呼叫下来消息通常是几十条,这时候基于文本的协议分析就变得异常困难,和消耗个人精力。分析过程异常艰难,调试问题也变得十分缓慢。
后来想到著名的抓包分析软件 WireShark,具有图形化分析能力,能快速直观的看到呼叫过程。

WireShark分析SIP呼叫

本地实时抓包

这个比较简单,安装完Wireshark后,直接打开,选择一个本地的网络接口,直接抓包即可。
在这里插入图片描述在过滤器一栏直接输入“sip”,就可以查看本机和服务器之间的sip消息了,如下图
在这里插入图片描述呼叫结束后,选择“电话->SIP流”,即可看到刚才做的sip呼叫
在这里插入图片描述

在这里插入图片描述
这个图形直观易懂,而且点击时,可以直接关联显示具体的sip消息内容,非常的方便,分析调试效率大大提高。在这里插入图片描述

服务器抓包

本地抓包的优缺点

本地实时抓包优点是及时性,只要拨打电话后,即可重复上面的操作,进行SIP呼叫流程的图形化查看分析。
缺点也比较明显,就是只能查看本机sip话机的信令,而无法查看服务器端的交互记录,特别是多freeSwitch协作的情况下。当多台freeSwitch又不在同一个网段的情况下,变得极为困难。

常规服务器抓包

一般来说,我们通用的解决办法就是用tcpdump这个工具,利用下面的命令

tcpdump -w '1.cap'

将服务器上的数据包进行抓取存盘,然后通sftp的方法,下载到本机,然后用wireshark的打开文件功能进行分析
在这里插入图片描述
在这里插入图片描述

这样就实现了对服务器的呼叫流程分析。

服务器抓包优缺点

服务器抓包的优点和缺点同样明显,那就是服务抓的信息更全,更有利于全呼叫链路分析。缺点是步骤繁琐,不能做到实时分析,每一次都需要重复 “抓包->下载->打开–>分析” 这样的步骤。

有没有办法实现多机以及跨网络的抓包方案呢?

答案是有的!

那就是用NetCat这个宝贝工具来进行抓包数据的网络传送,从而实现远程抓取,实时分析的目的!!!

远程服务器实时抓包分析

走过的弯路

rpcap – 网上好多教材提到了这个方案,可以在2022年,这个方案已经过期了,wincap已经明显的不维护了,我下载源码进行编译也未能成功,因此放弃此方案
ssh – 这个方案有一定的可取之处,但是我未能成功执行

注意:win10下,如果在powerShell窗口下执行,是无法弹出wireshark窗口的,需要“Win+R -->cmd”打开传统的命令行窗口才行。
在这里插入图片描述

实现原理

svr tcpdump svr netcat cli netcat WireShark 抓取网络数据包 tcpdump -s 0 -U -n -w - -i enp0s3 | nc 172.21.153.85 5555 通过管道实时传送抓取内容 cli netcat启动监听,同时启动Wireshark nc -l -p 5555 | "D:\Program Files\Wireshark\Wireshark.exe" -k -S -i - 推送数据 通网络实时推送 通过管道推送数据给WireShark 进行实时数据分析显示 svr tcpdump svr netcat cli netcat WireShark

注意:这里nc无论哪一方做svr都可以的,不限定。上图是本机nc作为svr接收数据,服务器端nc作为client连接上来。实际上反过来也是ok的

 tcpdump -s 0 -U -n -w - -i enp0s3 | nc 172.21.153.85 5555
 nc -l -p 5555 | "D:\Program Files\Wireshark\Wireshark.exe" -k -S -i -

或者这样

 tcpdump -s 0 -U -n -w - -i enp0s3 |nc -l -p 5555
 nc 172.21.152.7 5555 |"D:\Program Files\Wireshark\Wireshark.exe" -k -S -i -

两种方式都OK
甚至通过ssh 隧道转发可以工作,核心思想就是建立起两个nc之间的连接。(下面有详细解释)

NC使用技巧

网络上有很多技巧,这里就不详细说明了。上图展示的是服务端可以直接访问客户机的模式。
此外还有一种常见的情况就是服务器在公网上,而我们的客户机在内网,这里面又有不少网络推送技巧了。
包括利用xshell的ssh forward能力,在本机开启监听端;nc启用数据管道转发能力。参考这篇文章

原理如下图:

svr nc svr ssd xshell cli nc wireshark 建立ssh tunnel 建立本地监听端口5555 绑定服务器127.0.0.1:5555端口 tcpdump抓取本地数据包 获取tcpdump输出,转发到服务端5555监听端口 等待客户端连接 连接本地5555端口 转发连接请求到5555端口 转发连接请求到nc5555端口 建立和nc2虚拟连接 持续推tcpdump抓包数据给cli nc 通过管道推送数据包给WireShark 进行实时数据分析显示 svr nc svr ssd xshell cli nc wireshark

在这里插入图片描述
连接上服务器后,在本机检查一下ssh隧道是否启用监听
在这里插入图片描述服务端此时肯定没有这个监听端口的。
需要执行抓包监听指令方可以。

tcpdump -s 0 -U -n -w - -i enp0s3 |nc -l -p 5555

然后再新开一个连接窗口,执行端口查询命令

netstat -putln

在这里插入图片描述可以看到服务器端已经成功的开启了5555监听服务了

这个时候,客户端一旦连接了127.0.0.1:5555端口,就相当于连接了服务端的5555端口了。
执行下面的命令

nc 127.0.0.1 5555 |"D:\Program Files\Wireshark\Wireshark.exe" -k -S -i -

我们可以看到,和直接连接服务器的区别就是ip地址的不同,一个直接连接服务器公网ip,一个连接的是本机的ip。这就是利用的ssh的隧道转发技术,实现了远端服务器的“虚拟直连”。

最后放一个多fs的信令分析图

在这里插入图片描述在这里插入图片描述

相当的直观,相当的Nice!

结束语

通过常用的nc和xshell工具,加上WireShark强大的分析能力,能够搭建复杂的,实时调试环境,提高工作效率。

操作手册

1.windows下载nc,https://eternallybored.org/misc/netcat/ 
2.解压后,放到windows目录下
3.linux服务器安装nc, apt install net-cat
4.linux服务器安装tcpdump, apt install tcpdump
5.启动linux抓包及nc监听服务,tcpdump -s 0 -U -n -w - -i enp0s3 |nc -l -p 5555
6.启动客户端接收(注意,windows下不能用powershell,需要用cmd窗口,否则无法启动wireshark)
  nc 172.21.152.7 5555 |"D:\Program Files\Wireshark\Wireshark.exe" -k -S -i -
注意事项

关于系统安全方面的题外话

由于SIP呼叫的特殊性,为了防止盗打和恶意流量攻击即(DDoS)攻击,建议如下:
1.将每个企业的配置数据进行单独隔离;
2.使用安全连接;
3.协议层独立加密算法,使用TLS和SSL;
4.与其它系统对接接口具有可靠的加密及鉴权机制;

建议使用专门的网络安全设备,来做进一步的安全防范,降低风险
设备要求
1.具备权威机构安全认证;
2.具有DDoS防御能力,有流量清洗设备,可抵御不低于100Gbps的非法流量攻击,支持四到七层防护;
3.具有信息反垃圾能力,包括但不限于反动、暴恐、色情、粗鲁等信息,反垃圾准确率不低于90%;
只有符合了以上要求的设备,才能有效的进行防范。例如:深某服的设备,就不错。

#### 环境假设
本机的wireshark安装在 "D:\Program Files\Wireshark"目录下
本机的ip地址为:172.21.153.85
本机操作系统:Win10



服务器的ip地址为:172.21.152.7
服务器的操作系统:Debian 11
#### 客户端监听指令集
```bash
tcpdump -s 0 -U -n -w - -i enp0s3 | nc 172.21.153.85 5555

nc -l -p 5555 | "D:\Program Files\Wireshark\Wireshark.exe" -k -S -i -
服务端监听指令集
tcpdump -s 0 -U -n -w - -i enp0s3 |nc -l -p 5555

nc 172.21.152.7 5555 |"D:\Program Files\Wireshark\Wireshark.exe" -k -S -i -
ssh tunnel监听指令集
tcpdump -s 0 -U -n -w - -i enp0s3 |nc -l -p 5555

nc 127.0.0.1 5555 |"D:\Program Files\Wireshark\Wireshark.exe" -k -S -i -
AI量化减肥大师
关注
  • 1
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
sip协议网络抓包文件
12-21
SIP(Session Initiation Protocol)是一个应用层的信令控制协议。用于创建、修改和释放一个或多个参与者的会话。这些会话可以是Internet多媒体会议、IP电话或多媒体分发。
基于qt的一款sip抓包工具
04-13
基于qt的一款sip抓包工具
VoIP之Wireshark使用
szkbsgy的专栏
05-08 2768
Wireshark是网络协议分析必不可少的工具软件,熟练使用wireshark能在网络软件问题分析中起到事半功倍的效果。在VoIP领域中,Wireshark软件也是不可缺少的。无论是SIP协议分析、音视频问题定位、或是项目安装部署问题排查,都有它的一席之地。本文从以下几个方面介绍Wireshark在VoIP领域中的应用。 一、报文过滤 一般抓到的报文中都包含大量其它协议的网络包,为了更好的分析问题,需要输入合适的过滤条件。实际分析中过滤条件有以下几种: SIP 最常用的过滤条件 SIP+RT
Windows下的TCP UDP网络调试工具-NetAssist以及Linux下的nc网络调试工具_tcp网络调试工具
最新发布
2401_82977171的博客
05-02 1402
nc是netcat的简写,有着网络界的瑞士军刀美誉。因为它短小精悍、功能实用,被设计为一个简单、可靠的网络工具。
01-----tcpdump抓包命令
weixin_44517656的博客
03-31 3936
tcpdump抓包命令 关于tcpdump的抓包命令,非常的多,这里我只记录我平时开发时比较常用的抓包命令,当然后面可能不断的在本篇补上对应的内容。 1 tcpdump的命令格式 tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ][ -i 网络接口 ] [ -r 文件名] [ -s snaplen ] [ -T 类型 ] [ -w 文件名 ] [表达式 ] 2 参数选项 参数 含义 -a 将网络地址和广播地址转变成名字 -A 以ASCII
使用Wireshark进行SIP包解析
学习是为了探索这个世界的本质
01-22 1万+
1. 安装Wireshark        下载Wireshark后,安装很简单,基本上只需要点击“Next”和“I agree”等按钮,不再赘述。 2. Wireshark介绍 参见:http://man.lupaworld.com/content/network/wireshark/Introduction.html copy一下简要介绍: Wireshark 是网络包分析
linux怎么抓sip包,Ubuntu下使用Wireshark进行抓包分析(含SIP和RTP包)
weixin_39960019的博客
05-16 1016
遇到需要在Linux下抓包分析的问题,便用到了wireshark,非常强大的抓包分析软件,直接在系统里面安装,然后使用明亮抓包即可!我这里用的是Ubuntuserver版,执行安装:1、apt-get install wireshark安装成功后使用命令进行抓包:1、tshark -i eth0 port 6060抓制定网卡和端口的包!tshark 平常远程登陆时抓包很好用,而且可以直接解析,但总...
USB设备调试工具wireshark+chipgenius+usbtreeView
09-19
包含三个软件,一个是芯片精灵chipgenius可以看到USB设备的...还有一个是wireshark,这个软件通常被用来做网络设备的抓包分析,实际上它也可以用来做USB设备的抓包分析,不过需要在安装的时候选择相关的USB抓包插件。
remote-wireshark:在本地运行wireshark远程主机通过ssh + tcpdump获取流量转储的简单脚本
07-12
远程线鲨在本地运行wireshark远程主机通过ssh + tcpdump获取流量转储的简单脚本。要求它假设您在远程主机上使用 sudo,并通过 sudo 对 tcpdump 进行无密码访问。用法./remote-wireshark.sh "[SSH 凭据和额外选项]...
网络封包分析工具 Wireshark 3.4.5 + x64.zip
04-23
Wireshark(前称 Ethereal)是一个软件开发人员经常用到的网络封包分析软件。Wireshark 中文版网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。当然网站上也有其它的网络抓包工具也...
SIP呼叫流程分析Wireshark抓包.rar_sip_sip呼叫抓包_wireshark_wiresharksip包_联
09-23
学习sip的基础知识以及如何抓取sip包的方法
实验01 使用网络协议分析Wireshark分析数据链路层帧结构.docx
07-11
实验01 使用网络协议分析Wireshark分析数据链路层帧结构 本实验报告的主要目的是使用Wireshark分析数据链路层帧结构,了解Ethernet帧结构和IEEE 802.11帧结构,并掌握帧结构中的每个字段的值和含义。 一、...
SIP压力测试最好的工具,SIPp的安装与使用 (第三章)
This My Life - chisj
11-08 7316
如何使用SIPp进行压力测试 1)      编辑好xml场景文件; 2)      编辑csv文件; a)       Csv文件为sipp要压力测试的读取的变量文件,也就是说从csv文件一个个去读取,然后填写到xml的field变量中,从而实现压力测试。举例说明: b)       Xml文件的分析;       INVITE sip:[field0]@[remote_ip]:[
TCP长连接开发相关,调试工具SocketTool与框架GatewayWorker
热门推荐
韩某的博客
07-26 2万+
前言:将近一年未更新博客了,最近在做一个新项目,涉及到服务端与客户端之间的通信,使用到这款网络TCP/UDP通信调试工具。本人对TCP/UDP等通信相关知识不甚了解,正好以此为契机,在网上搜罗了相关资料以备不时之需。 简单介绍下这个软件:SocketTool是一款网络TCP/UDP通信调试工具,免安装且免费使用。可以帮助网络编程人员、网络维护人员检查所开发的网络应用软硬件的通信情况。是一款非常好...
freeswitch中文本消息处理流程
极乐净土
05-05 5369
如下图所示: 1. 系统聊天信息添加到对应队列,在“chat_thread_run”函数中pop消息,并进行处理,调用“nua_message”把消息发送出去(nua_message只是给系统发一个信号,告诉系统有消息要发送,具体在哪发送没找到,sofia-sip这套代码读起来对我来说有点难,但又是系统的核心) 下来首先要做的应该理清freeswitch和sofia-sip的消息机制是
wireshark+upd协议分析
11-03
WireShark可以用来分析UDP协议的数据包。使用WireShark抓取UDP协议的数据包,可以通过过滤器来筛选出所需的数据包。例如,使用过滤器“udp.port == 53”可以筛选出DNS协议的数据包。同时,WireShark还可以对UDP协议的数据包进行解析和分析,包括源地址、目标地址、源端口、目标端口等信息。此外,WireShark还可以对UDP协议的数据包进行重组,以便更好地分析和理解数据包的内容。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值