V tomto článku budeme hovořit o základech zachycování a analýzy SIP provozu generovaného 3CX PBX. Článek je určen začínajícím správcům systému nebo běžným uživatelům, mezi jejichž povinnosti patří údržba telefonování. Pro hlubší studium tématu doporučujeme projít .
3CX V16 umožňuje zachytit SIP provoz přímo přes webové rozhraní serveru a uložit jej ve standardním formátu Wireshark PCAP. Zachycený soubor můžete připojit při kontaktování technické podpory nebo si jej stáhnout pro nezávislou analýzu.
Pokud 3CX běží na Windows, budete si muset nainstalovat Wireshark na server 3CX sami. V opačném případě se při pokusu o zachycení zobrazí následující zpráva.
V systémech Linux se nástroj tcpdump nainstaluje automaticky při instalaci nebo aktualizaci 3CX.
Zachycování dopravy
Chcete-li zahájit zachycování, přejděte do části rozhraní Domů > Události SIP a vyberte rozhraní, na kterém chcete zaznamenat. Můžete také zachytit provoz na všech rozhraních současně, kromě rozhraní tunelování IPv6.
V 3CX pro Linux můžete zachytit provoz pro místního hostitele (lo). Toto zachycení se používá k analýze připojení klientů SIP pomocí technologie .
Tlačítko Traffic Capture spustí Wireshark na Windows nebo tcpdump na Linuxu. V tomto okamžiku musíte problém rychle zopakovat, protože... zachycení je náročné na CPU a zabírá značné množství místa na disku.
Věnujte pozornost následujícím parametrům hovoru:
- Číslo, ze kterého byl hovor uskutečněn, na které volali i další čísla/účastníci hovoru.
- Přesný čas, kdy k problému došlo, podle hodin serveru 3CX.
- Trasa hovoru.
Snažte se neklikat nikam v rozhraní kromě tlačítka „Stop“. V tomto okně prohlížeče také neklikejte na jiné odkazy. Jinak bude zachycování provozu pokračovat na pozadí a bude mít za následek další zatížení serveru.
Příjem souboru zachycení
Tlačítko Stop zastaví zachycení a uloží zachycený soubor. Soubor si můžete stáhnout do počítače pro analýzu pomocí nástroje Wireshark nebo vygenerovat speciální soubor , který bude obsahovat toto zachycení a další informace o ladění. Po stažení nebo zahrnutí do podpůrného balíčku je zachycený soubor z bezpečnostních důvodů automaticky odstraněn ze serveru 3CX.
Na serveru 3CX je soubor umístěn v následujícím umístění:
- Windows: C:ProgramData3CXInstance1DataLogsdump.pcap
- Linux: /var/lib/3cxpbx/Instance/Data/Logs/dump.pcap
Aby se zabránilo zvýšené zátěži serveru nebo ztrátě paketů během zachycení, je doba zachycení omezena na 2 miliony paketů. Poté se snímání automaticky zastaví. Pokud potřebujete delší snímání, použijte samostatný nástroj Wireshark, jak je popsáno níže.
Zachyťte provoz pomocí nástroje Wireshark
Pokud máte zájem o hlubší analýzu síťového provozu, zachyťte jej ručně. Stáhněte si nástroj Wireshark pro váš operační systém . Po instalaci nástroje na server 3CX přejděte na Capture > Interfaces. Zde se zobrazí všechna síťová rozhraní operačního systému. IP adresy rozhraní lze zobrazit ve standardu IPv6. Chcete-li zobrazit adresu IPv4, klikněte na adresu IPv6.
Vyberte rozhraní, které chcete zachytit, a klikněte na tlačítko Možnosti. Zrušte zaškrtnutí políčka Zachytit provoz v promiskuitním režimu a zbytek nastavení ponechte beze změny.
Nyní byste měli problém zopakovat. Když se problém zopakuje, zastavte nahrávání (Menu Capture > Stop). Zprávy SIP můžete vybrat v nabídce Telefonie > Toky SIP.
Základy analýzy provozu – zpráva SIP INVITE
Podívejme se na hlavní pole zprávy SIP INVITE, která je odeslána pro navázání VoIP hovoru, tzn. je výchozím bodem pro analýzu. SIP INVITE obvykle obsahuje 4 až 6 polí s informacemi, které používají koncová zařízení SIP (telefony, brány) a telekomunikační operátoři. Pochopení obsahu pozvánky INVITE a zpráv, které po ní následují, může často pomoci určit zdroj problému. Znalost polí INVITE navíc pomáhá při připojování operátorů SIP k 3CX nebo kombinování 3CX s jinými SIP PBX.
Ve zprávě INVITE jsou uživatelé (nebo zařízení SIP) identifikováni pomocí URI. SIP URI je obvykle telefonní číslo uživatele + adresa SIP serveru. SIP URI je velmi podobný e-mailové adrese a zapisuje se jako sip:x@y:Port.
Request-Line-URI:
Request-Line-URI - Pole obsahuje příjemce hovoru. Obsahuje stejné informace jako pole Komu, ale bez zobrazovaného jména uživatele.
Ulice:
Přes - každý SIP server (proxy), přes který prochází požadavek INVITE, přidá svou IP adresu a port, na kterém byla zpráva přijata, na začátek seznamu Via. Zpráva je pak přenášena dále po trase. Když konečný příjemce odpoví na požadavek INVITE, všechny tranzitní uzly „vyhledají“ hlavičku Via a vrátí zprávu odesílateli stejnou cestou. V tomto případě tranzitní SIP proxy odstraní svá data z hlavičky.
Od:
From - hlavička označuje iniciátora požadavku z pohledu SIP serveru. Hlavička je tvořena stejným způsobem jako e-mailová adresa (user@domain, kde user je číslo pobočky uživatele 3CX a doména je lokální IP adresa nebo SIP doména 3CX serveru). Stejně jako hlavička To obsahuje hlavička From URI a volitelně zobrazované jméno uživatele. Když se podíváte na záhlaví From, můžete přesně pochopit, jak by měl být tento požadavek SIP zpracován.
Standard SIP RFC 3261 stanoví, že pokud se nepřenáší zobrazované jméno, musí IP telefon nebo brána VoIP (UAC) používat zobrazované jméno „Anonymní“, například From: „Anonymní“[chráněno e-mailem]>.
Na:
Komu - Tato hlavička označuje příjemce požadavku. Může to být buď konečný příjemce hovoru, nebo mezičlánek. Záhlaví obvykle obsahuje SIP URI, ale jsou možná i jiná schémata (viz RFC 2806 [9]). SIP URI však musí být podporovány ve všech implementacích protokolu SIP, bez ohledu na výrobce hardwaru. Záhlaví Komu může také obsahovat Zobrazované jméno, například Komu: "Křestní jméno Příjmení"[chráněno e-mailem]>).
Pole Komu obvykle obsahuje SIP URI ukazující na první (další) SIP proxy, který zpracuje požadavek. Nemusí to být konečný příjemce žádosti.
Kontakt:
Kontakt – hlavička obsahuje SIP URI, pomocí kterého lze kontaktovat odesílatele požadavku INVITE. Toto je povinná hlavička a musí obsahovat pouze jeden SIP URI. Je součástí obousměrné komunikace odpovídající původnímu požadavku SIP INVITE. Je velmi důležité, aby hlavička Contact obsahovala správné informace (včetně IP adresy), na kterých odesílatel požadavku očekává odpověď. URI Contact se také používá v další komunikaci po navázání komunikační relace.
Dovolit:
Povolit - pole obsahuje seznam parametrů (metod SIP), oddělených čárkami. Popisují, jaké možnosti protokolu SIP daný odesílatel (zařízení) podporuje. Úplný seznam metod: ACK, BYE, CANCEL, INFO, INVITE, NOTIFY, OPTIONS, PRACK, REFER, REGISTER, SUBSCRIBE, UPDATE. Metody SIP jsou popsány podrobněji .
Zdroj: www.habr.com