In questu articulu, parlemu di i fundamenti di catturà è analizà u trafficu SIP generatu da 3CX PBX. L'articulu hè indirizzatu à l'amministratori di sistema principianti o à l'utilizatori ordinali chì e so rispunsabilità includenu u mantenimentu di a telefonia. Per un studiu approfonditu di u tema, ricumandemu di passà .
3CX V16 vi permette di catturà u trafficu SIP direttamente attraversu l'interfaccia web di u servitore è salvà in u formatu standard Wireshark PCAP. Pudete aghjunghje u schedariu di cattura quandu cuntattate u supportu tecnicu o scaricallu per analisi indipendenti.
Se 3CX funziona in Windows, avete bisognu di stallà Wireshark nantu à u servitore 3CX. Altrimenti, u missaghju seguente apparirà quandu pruvate à catturà.
In i sistemi Linux, l'utilità tcpdump hè stallata automaticamente quandu si stalla o aghjurnà 3CX.
Capture di u trafficu
Per cumincià à catturà, andate à a sezione di l'interfaccia Home> SIP Events è selezziunate l'interfaccia nantu à quale catturà. Pudete ancu catturà u trafficu in tutte l'interfacce simultaneamente, eccettu l'interfacce di tunneling IPv6.
In 3CX per Linux, pudete catturà u trafficu per l'ospite lucale (lo). Questa cattura hè aduprata per analizà e cunnessione di u cliente SIP utilizendu a tecnulugia .
U buttone Traffic Capture lancia Wireshark in Windows o tcpdump in Linux. À questu puntu, avete bisognu di ripruduce rapidamente u prublema, perchè ... a cattura hè CPU intensiva è occupa una bona quantità di spaziu di discu.
Prestate attenzione à i seguenti parametri di chjama:
- U numeru da quale a chjama hè stata fatta, à quale altri numeri / participanti in a chjama ancu chjamati.
- L'ora esatta chì u prublema hè accadutu secondu u clock di u servitore 3CX.
- Chjama a strada.
Pruvate micca di cliccà in ogni locu in l'interfaccia eccettu u buttone "Stop". Inoltre, ùn cliccate micca in altri ligami in questa finestra di u navigatore. Altrimenti, a cattura di u trafficu cuntinueghja in u sfondate è risulterà in carica addiziale nantu à u servitore.
Riceve un File Capture
U buttone Stop ferma a cattura è salva u schedariu di cattura. Pudete scaricà u schedariu à u vostru urdinatore per l'analisi in l'utilità Wireshark o generà un schedariu speciale , chì includerà sta cattura è altre informazioni di debugging. Una volta scaricatu o inclusu in un pacchettu di supportu, u schedariu di cattura hè automaticamente sguassatu da u servitore 3CX per scopi di sicurità.
Nantu à u servitore 3CX, u schedariu hè situatu in u locu seguente:
- Windows: C:ProgramData3CXInstance1DataLogsdump.pcap
- Linux: /var/lib/3cxpbx/Instance/Data/Logs/dump.pcap
Per evità a carica aumentata di u servitore o a perdita di pacchetti durante a cattura, u periodu di cattura hè limitatu à 2 milioni di pacchetti. Dopu questu, a cattura si ferma automaticamente. Sè avete bisognu di una cattura più longa, utilizate l'utilità Wireshark separata cum'è descritta quì sottu.
Cattura u trafficu cù l'utilità Wireshark
Sè site interessatu in una analisi più profonda di u trafficu di a rete, catturà manualmente. Scaricate l'utilità Wireshark per u vostru OS . Dopu avè installatu l'utilità in u servitore 3CX, andate à Capture> Interfaces. Tutte e interfacce di rete di u SO seranu mostrate quì. L'indirizzi IP di l'interfaccia ponu esse visualizati in u standard IPv6. Per vede l'indirizzu IPv4, cliccate nantu à l'indirizzu IPv6.
Selezziunate l'interfaccia per catturà è cliccate u buttone Opzioni. Uncheck Capture Traffic in modu promiscuous è lasciate u restu di i paràmetri senza cambià.
Avà duvete ripruduce u prublema. Quandu u prublema hè ripruduciutu, cessate di catturà (Menu Capture> Stop). Pudete selezziunà i missaghji SIP in u menù Telefonia > Flussi SIP.
Fundamenti di l'analisi di u trafficu - Missaghju SIP INVITE
Fighjemu i campi principali di u missaghju SIP INVITE, chì hè mandatu per stabilisce una chjama VoIP, i.e. hè u puntu di partenza per l'analisi. Di genere, SIP INVITE include da 4 à 6 campi cù infurmazioni chì sò utilizati da i dispositi finali SIP (telefoni, gateway) è l'operatori di telecomunicazione. Capisce u cuntenutu di u INVITE è i missaghji chì seguitanu pò spessu aiutà à determinà a fonte di u prublema. Inoltre, a cunniscenza di i campi INVITE aiuta à cunnette l'operatori SIP à 3CX o cumminendu 3CX cù altri PBX SIP.
In u messagiu INVITE, l'utilizatori (o i dispositi SIP) sò identificati da URI. Di genere, SIP URI hè u numeru di telefunu di l'utilizatore + l'indirizzu di u servitore SIP. L'URI SIP hè assai simili à un indirizzu e-mail è hè scrittu cum'è sip:x@y:Port.
Request-Line-URI:
Request-Line-URI - U campu cuntene u destinatariu di a chjama. Contene a listessa infurmazione cum'è u campu A, ma senza u nome di visualizazione di l'utilizatore.
Via:
Via - ogni servore SIP (proxy) à traversu u quali la dumanda INVITE passa aghjunghje u so indirizzu IP è u portu nantu à u quali u missaghju fù ricevutu à u cima di a lista Via. U missaghju hè dopu trasmessu più in u percorsu. Quandu u destinatariu finali risponde à una dumanda INVITE, tutti i nodi di transitu "cerca" l'intestazione Via è rinvià u missaghju à u mittente longu a stessa strada. In questu casu, u proxy SIP di transitu elimina i so dati da l'intestazione.
From:
Da - l'intestazione indica l'iniziatore di a dumanda da u puntu di vista di u servitore SIP. L'intestazione hè furmata in u listessu modu cum'è un indirizzu e-mail (user@domain, induve l'utilizatore hè u numeru di estensione di l'utilizatore 3CX, è u duminiu hè l'indirizzu IP locale o domini SIP di u servitore 3CX). Cum'è l'intestazione To, l'intestazione From cuntene un URI è opzionalmente u nome di visualizazione di l'utilizatore. Fighjendu l'intestazione From, pudete capisce esattamente cumu si tratta di sta dumanda SIP.
U standard SIP RFC 3261 stipula chì se u nome di visualizazione ùn hè micca trasmessu, u telefuninu IP o u gateway VoIP (UAC) deve aduprà u nome di visualizazione "Anonimo", per esempiu, Da: "Anonimu"[email prutettu]>.
A:
À - Questu header indica u destinatariu di a dumanda. Questu pò esse u destinatariu finali di a chjama o un ligame intermediu. Di genere, l'intestazione cuntene l'URI SIP, ma altri schemi sò pussibuli (vede RFC 2806 [9]). Tuttavia, l'URI SIP deve esse supportatu in tutte l'implementazioni di u protocolu SIP, indipendentemente da u fabricatore di hardware. L'intestazione To pò ancu cuntene un Nome Display, per esempiu, To: "First Name Last Name"[email prutettu]>).
Di genere, u campu To cuntene un URI SIP chì punta à u primu (prossimu) proxy SIP chì processerà a dumanda. Questu ùn deve esse u destinatariu finali di a dumanda.
cuntattu:
Cuntattu - l'intestazione cuntene l'URI SIP da quale pudete cuntattà u mittente di a dumanda INVITE. Questu hè un header necessariu è deve cuntene solu un URI SIP. Face parte di a cumunicazione bidirezionale chì currisponde à a dumanda originale SIP INVITE. Hè assai impurtante chì l'intestazione di u Cuntattu cuntene l'infurmazione curretta (cumprese l'indirizzu IP) à quale u mittente di a dumanda aspetta una risposta. URI Contact hè ancu utilizatu in più cumunicazioni, dopu chì a sessione di cumunicazione hè stata stabilita.
Permette:
Permette - u campu cuntene una lista di parametri (metudi SIP), siparati da virgule. Descrivenu quali capacità di protokollu SIP supporta un mittente (dispositivu). Lista completa di metudi: ACK, BYE, CANCEL, INFO, INVITE, NOTIFY, OPTIONS, PRACK, REFER, REGISTER, SUBSCRIBE, UPDATE. I metudi SIP sò descritti in più detail .
Source: www.habr.com