关注
分享
文章平均质量分 77
以5GC测试及实战问题分析为基础,借助wirshark、tshark信令分析工具,对各个5GC流程,实战高阶信令过滤及分析技巧进行分享和讲解。对理解5GC实际信令流程,和信令相关问题解决有非常重要的实际意义。
feike_3
爱好技术的通信汪
展开
-
wireshark协议或者协议内容解码异常
使用wireshark分析数据包时,是不是会经常遇到自己的wireshark没能解码出自己想看到的协议或者协议内容,但是别人的可以,这通常是wireshark协议配置的问题,通常有以下2种情况。nas解码异常sip解码异常协议不能识别原创 2022-09-23 17:12:47 · 2679 阅读 · 1 评论 -
wireshark数据包过滤详解(二)-未解码字段过滤
前面一章讲了常规的数据包过滤方法,本篇介绍下未解码字段过滤方法。我们知道tcpdump或者别的抓包手段抓到的数据包的原始数据都是16进制的原始码流,wireshark会根据码流里的每一层的协议标识先识别出协议,再根据协议标准去将16进制原始码流解码成我们可以看懂的ASCII码。原创 2022-09-23 16:07:42 · 1950 阅读 · 0 评论 -
wireshark数据包过滤详解(一)
wireshark之所以如此强大,除了支持大量的协议,并持续更新外,还有一个重要功能,就是强大的包分析过滤语法,后面计划用几篇文章从入门到高级的给大家介绍wireshark网络信令分析工具的包过滤技术。原创 2022-09-22 16:28:58 · 6060 阅读 · 0 评论 -
wireshark数据包修改--IP地址修改(一)
通过三篇文章,介绍通过wireshark修改pcap数据包的方法。在test-1.txt中IP地址进行替换tshark,text2pcap工具原创 2022-07-06 18:24:04 · 2493 阅读 · 0 评论 -
wireshark IP地址域名解析
wireshark打开pcap包,里面的很多IP address看起来可能不太友好的话,wireshark支持将IP地址解析为自定义的域名。这种实用于临时解析,IP地址较少,且不固定的场景,重新打开抓包,解析消失。1)鼠标定位到需要解析域名的某一行,右键点标记域名解析2)弹出如下标记框,选择IP并输入自定义域名显示效果:这种方式适用IP地址多,而且希望长期生效的场景1)先确认wireshark实用的配置文件目录。2)找到host文件进行修改3)host文件添加IP解析后者删除解析原创 2022-07-05 09:46:08 · 4965 阅读 · 0 评论 -
http2流分片data合并-方法2(借助linux xxd)
首先如果http2的stream分片了,但是能够decode识别为http2 protocol,这种情况是最理想的情况: 使用tcp follow方式比较直观,但是如果http2 stream所在的tcp流包较多的话,follow需要的时间可能较长,这篇文章介绍借用Linux xxd命令合并tcp或者http2 data部分内容两个原因可能需要再次进行处理:3.tcp payload目标字段合并4. 用json工具转换格式上篇文章(http2分片流内容整合呈现方法)介绍过,copy出大括号的部原创 2022-07-04 23:39:43 · 701 阅读 · 0 评论 -
ULCL功能--5GC
对于ipv4,ipv6或者ipv4/v6 PDU session,SMF可以决定为PDU session插入ULCL(上行分流器)数据转发路径,ULCL是UPF支持根据SMF提供的流匹配规则进行转移分流的功能。ULCL的插入或者删除是SMF通过N4口下发给支持该功能UPF的,SMF可以在PDU session建立时或者建立后以自己配置的规则决定插入ULCL UPF,SMF可以为一个PDU session会话插入多个ULCL UPF。UE始终使用同一个ipv4,ipv6或者ipv4/v6地址,UE对于ULCL原创 2022-06-30 14:47:01 · 7055 阅读 · 0 评论 -
5G网络身份识别---详解5G-GUTI
5G-GUTI是AMF分配给用户的全球唯一标识的临时身份识别信息,3GPP和non-3gpp共用,AMF可以在任意时刻重分配5G-GUTI给UE。 := GUAMI可以识别一个或多个AMF,当GUAMI唯一识别一个AMF时,5G-TMSI唯一这个AMF下的唯一UE;当GUAMI标识多个AMF时,AMF需要做到分配5G-GUTI时,不能与自己share GUAMI的AMF分配的5G-GUTI重复,保证5G-GUTI的唯一性。5GC现网我了解一般都是前者,GUAMI唯一.........原创 2022-06-30 11:40:59 · 4182 阅读 · 0 评论 -
手动解码SBI http2的nas(n1msg)消息
5GC中控制面SBI接口基本都是采用HTTP2协议,HTTP2消息中的application/json部分一般是ASCII明文编码,wireshark通常都能解码,但是N1 nas消息部分wireshark很多情况并不会进行解码。有些问题分析时,我们可能需要获知N1部分的内容,这种情况下倒是可以对照3GPP规范进行逐字段手工解码。今天在分析inter AMF mobility registration时,发现在source AMF向 target AMF post用户信息时,target AMF很多回了4原创 2022-06-28 23:52:50 · 760 阅读 · 1 评论 -
wireshark过滤http2未解码消息
因为http2 header压缩技术,tcpdump抓包没有抓到完整的http connection establish过程,而是从中间进行抓取时,很可能抓到的包,wireshark没法解开,因为wireshark不清楚双方http connection建立时协商维护的头压缩表。这种情况下,wireshark普通的字段过滤条件将不能过滤出目标信令,我们可以采用源码过滤条件过滤这种未解码信令。通过哪个字段过滤目标消息呢?例如要过滤AMF之间的"HANDOVER_REQUIRED"字段对应的json编码是:2原创 2022-06-27 17:34:33 · 822 阅读 · 0 评论 -
http2流分片data合并-方法1
5G引入SBA架构,SBI接口均采用HTTP2协议,一个信令流程HTTP2消息携可能带内容过多,TCP会对HTTP2流做分片处理,尤其到NRF get AUSF或者UDM内容时,分片后的包缺少HTTP2头字段,无法解析成HTTP2格式,下面介绍怎么重组显示完整消息内容。以json消息体为例说明。如下我要早的tcp流id是53放到53流的一条消息上 右键》追踪流》tcp 流这个过程可能要稍微等一段时间弹出如下界面:等待客户端分组后的数字不在跳动追踪完成,将追踪内容框中内容全部copy到notepad原创 2022-06-25 11:56:32 · 975 阅读 · 0 评论