В тази статия ще говорим за основите на улавянето и анализирането на SIP трафик, генериран от 3CX PBX. Статията е адресирана до начинаещи системни администратори или обикновени потребители, чиито отговорности включват поддръжка на телефония. За задълбочено изучаване на темата препоръчваме да преминете .
3CX V16 ви позволява да улавяте SIP трафик директно през уеб интерфейса на сървъра и да го запазвате в стандартния формат Wireshark PCAP. Можете да прикачите заснетия файл, когато се свържете с техническата поддръжка, или да го изтеглите за независим анализ.
Ако 3CX работи на Windows, ще трябва сами да инсталирате Wireshark на сървъра на 3CX. В противен случай ще се появи следното съобщение, когато се опитате да заснемете.
В Linux системи помощната програма tcpdump се инсталира автоматично при инсталиране или актуализиране на 3CX.
Улавяне на трафика
За да започнете да заснемате, отидете в раздела на интерфейса Начало > SIP събития и изберете интерфейса, на който да заснемете. Можете също така да улавяте трафик на всички интерфейси едновременно, с изключение на IPv6 тунелни интерфейси.
В 3CX за Linux можете да улавяте трафик за локален хост (lo). Това улавяне се използва за анализиране на SIP клиентски връзки с помощта на технология .
Бутонът Traffic Capture стартира Wireshark на Windows или tcpdump на Linux. В този момент трябва бързо да възпроизведете проблема, защото... улавянето е интензивно за процесора и заема доста дисково пространство.
Обърнете внимание на следните параметри на разговора:
- Номерът, от който е направено обаждането, на който са се обаждали и други номера/участници в разговора.
- Точното време на възникване на проблема според часовника на сървъра на 3CX.
- Маршрут на повикване.
Опитайте се да не щракнете никъде в интерфейса, освен върху бутона „Стоп“. Освен това не кликвайте върху други връзки в този прозорец на браузъра. В противен случай улавянето на трафика ще продължи във фонов режим и ще доведе до допълнително натоварване на сървъра.
Получаване на заснет файл
Бутонът Stop спира заснемането и записва заснетия файл. Можете да изтеглите файла на вашия компютър за анализ в помощната програма Wireshark или да генерирате специален файл , който ще включва това заснемане и друга информация за отстраняване на грешки. Веднъж изтеглен или включен в пакет за поддръжка, заснетият файл се изтрива автоматично от сървъра на 3CX за целите на сигурността.
На сървъра на 3CX файлът се намира на следното място:
- Windows: C:ProgramData3CXInstance1DataLogsdump.pcap
- Linux: /var/lib/3cxpbx/Instance/Data/Logs/dump.pcap
За да се избегне увеличено натоварване на сървъра или загуба на пакети по време на улавяне, периодът на улавяне е ограничен до 2 милиона пакета. След това заснемането автоматично спира. Ако имате нужда от по-дълго заснемане, използвайте отделната помощна програма Wireshark, както е описано по-долу.
Уловете трафик с помощната програма Wireshark
Ако се интересувате от по-задълбочен анализ на мрежовия трафик, заснемете го ръчно. Изтеглете помощната програма Wireshark за вашата операционна система . След като инсталирате помощната програма на 3CX сървъра, отидете на Capture > Interfaces. Всички мрежови интерфейси на операционната система ще бъдат показани тук. IP адресите на интерфейса могат да се показват в стандарт IPv6. За да видите IPv4 адреса, щракнете върху IPv6 адреса.
Изберете интерфейса за заснемане и щракнете върху бутона Опции. Премахнете отметката от Capture Traffic in promiscuous mode и оставете останалите настройки непроменени.
Сега трябва да възпроизведете проблема. Когато проблемът се възпроизведе, спрете заснемането (Menu Capture > Stop). Можете да изберете SIP съобщения в менюто Телефония > SIP потоци.
Основи на анализа на трафика - SIP INVITE съобщение
Нека разгледаме основните полета на съобщението SIP INVITE, което се изпраща за установяване на VoIP разговор, т.е. е отправна точка за анализа. Обикновено SIP INVITE включва от 4 до 6 полета с информация, която се използва от SIP крайни устройства (телефони, шлюзове) и телеком оператори. Разбирането на съдържанието на ПОКАНАТА и съобщенията, които го следват, често може да помогне да се определи източникът на проблема. В допълнение, познаването на полетата INVITE помага при свързване на SIP оператори към 3CX или комбиниране на 3CX с други SIP PBX.
В съобщението INVITE потребителите (или SIP устройствата) се идентифицират чрез URI. Обикновено SIP URI е телефонният номер на потребителя + адресът на SIP сървъра. SIP URI е много подобен на имейл адрес и се записва като sip:x@y:Port.
Request-Line-URI:
Request-Line-URI – Полето съдържа получателя на повикването. То съдържа същата информация като полето До, но без показваното име на потребителя.
Via:
Чрез - всеки SIP сървър (прокси), през който преминава заявката INVITE, добавя своя IP адрес и порта, на който е получено съобщението, в горната част на списъка чрез. След това съобщението се предава по-нататък по маршрута. Когато крайният получател отговори на заявка INVITE, всички транзитни възли „търсят“ заглавката Via и връщат съобщението на подателя по същия маршрут. В този случай транзитният SIP прокси премахва данните си от заглавката.
От:
От - заглавката показва инициатора на заявката от гледна точка на SIP сървъра. Хедърът се формира по същия начин като имейл адрес (user@domain, където user е разширението на потребителя на 3CX, а domain е локалният IP адрес или SIP домейн на 3CX сървъра). Подобно на заглавката "До", заглавката "От" съдържа URI и по избор потребителското име за показване. Като погледнете заглавката От, можете да разберете как точно трябва да се обработи тази SIP заявка.
SIP стандартът RFC 3261 постановява, че ако показваното име не се предава, IP телефонът или VoIP шлюзът (UAC) трябва да използва показваното име „Анонимен“, например От: „Анонимен“[имейл защитен]>.
До:
До – Това заглавие показва получателя на заявката. Това може да бъде или крайният получател на обаждането, или междинна връзка. Обикновено заглавката съдържа SIP URI, но са възможни и други схеми (вижте RFC 2806 [9]). SIP URI обаче трябва да се поддържат във всички реализации на SIP протокола, независимо от производителя на хардуера. Заглавката До може също да съдържа Показвано име, например До: „Име Фамилия“[имейл защитен]>).
Обикновено полето До съдържа SIP URI, сочещ към първия (следващ) SIP прокси, който ще обработи заявката. Не е задължително това да е крайният получател на заявката.
За контакти:
Контакт - заглавката съдържа SIP URI, чрез който можете да се свържете с подателя на заявката INVITE. Това е задължителна заглавка и трябва да съдържа само един SIP URI. Това е част от двупосочната комуникация, съответстваща на оригиналната заявка SIP INVITE. Много е важно заглавката Contact да съдържа правилната информация (включително IP адреса), на която подателят на заявката очаква отговор. URI Contact се използва и при по-нататъшни комуникации, след като комуникационната сесия е установена.
Позволява:
Разреши - полето съдържа списък с параметри (SIP методи), разделени със запетаи. Те описват какви възможности на SIP протокола поддържа даден подател (устройство). Пълен списък с методи: ACK, BYE, CANCEL, INFO, INVITE, NOTIFY, OPTIONS, PRACK, REFER, РЕГИСТРИРАНЕ, АБОНИРАНЕ, АКТУАЛИЗАЦИЯ. SIP методите са описани по-подробно .
Източник: www.habr.com