En este artículo hablaremos sobre los conceptos básicos de capturar y analizar el tráfico SIP generado por la PBX 3CX. El artículo está dirigido a administradores de sistemas novatos o usuarios comunes cuyas responsabilidades incluyen el mantenimiento de la telefonía. Para un estudio en profundidad del tema, recomendamos revisar .
3CX V16 le permite capturar el tráfico SIP directamente a través de la interfaz web del servidor y guardarlo en el formato PCAP estándar de Wireshark. Puede adjuntar el archivo de captura cuando se comunique con el soporte técnico o descargarlo para un análisis independiente.
Si 3CX se ejecuta en Windows, deberá instalar Wireshark en el servidor 3CX usted mismo. De lo contrario, aparecerá el siguiente mensaje cuando intente capturar.
En sistemas Linux, la utilidad tcpdump se instala automáticamente al instalar o actualizar 3CX.
Captura de tráfico
Para comenzar a capturar, vaya a la sección de interfaz Inicio > Eventos SIP y seleccione la interfaz en la que capturar. También puede capturar el tráfico en todas las interfaces simultáneamente, excepto en las interfaces de túnel IPv6.
En 3CX para Linux, puede capturar tráfico para el host local (lo). Esta captura se utiliza para analizar las conexiones de los clientes SIP utilizando tecnología. .
El botón Traffic Capture inicia Wireshark en Windows o tcpdump en Linux. En este punto, es necesario reproducir rápidamente el problema, porque... La captura consume mucha CPU y ocupa una buena cantidad de espacio en disco.
Preste atención a los siguientes parámetros de llamada:
- El número desde el que se realizó la llamada, al que también llamaron otros números/participantes en la llamada.
- La hora exacta en que ocurrió el problema según el reloj del servidor 3CX.
- Ruta de llamada.
Intente no hacer clic en ningún lugar de la interfaz excepto en el botón "Detener". Además, no haga clic en otros enlaces en esta ventana del navegador. De lo contrario, la captura de tráfico continuará en segundo plano y generará una carga adicional en el servidor.
Recibir un archivo de captura
El botón Detener detiene la captura y guarda el archivo de captura. Puede descargar el archivo a su computadora para analizarlo en la utilidad Wireshark o generar un archivo especial , que incluirá esta captura y otra información de depuración. Una vez descargado o incluido en un paquete de soporte, el archivo de captura se elimina automáticamente del servidor 3CX por motivos de seguridad.
En el servidor 3CX el archivo se encuentra en la siguiente ubicación:
- Windows: C:ProgramData3CXInstance1DataLogsdump.pcap
- Linux: /var/lib/3cxpbx/Instance/Data/Logs/dump.pcap
Para evitar una mayor carga del servidor o pérdida de paquetes durante la captura, el período de captura está limitado a 2 millones de paquetes. Después de esto, la captura se detiene automáticamente. Si necesita una captura más larga, utilice la utilidad Wireshark independiente como se describe a continuación.
Capture tráfico con la utilidad Wireshark
Si está interesado en un análisis más profundo del tráfico de la red, captúrelo manualmente. Descargue la utilidad Wireshark para su sistema operativo . Después de instalar la utilidad en el servidor 3CX, vaya a Captura > Interfaces. Aquí se mostrarán todas las interfaces de red del sistema operativo. Las direcciones IP de la interfaz se pueden mostrar en el estándar IPv6. Para ver la dirección IPv4, haga clic en la dirección IPv6.
Seleccione la interfaz a capturar y haga clic en el botón Opciones. Desmarque Capturar tráfico en modo promiscuo y deje el resto de la configuración sin cambios.
Ahora deberías reproducir el problema. Cuando se reproduzca el problema, detenga la captura (Menú Captura > Detener). Puede seleccionar mensajes SIP en el menú Telefonía > Flujos SIP.
Conceptos básicos del análisis de tráfico: mensaje SIP INVITE
Veamos los campos principales del mensaje SIP INVITE, que se envía para establecer una llamada VoIP, es decir. es el punto de partida para el análisis. Normalmente, SIP INVITE incluye de 4 a 6 campos con información que utilizan los dispositivos finales SIP (teléfonos, puertas de enlace) y los operadores de telecomunicaciones. Comprender el contenido del INVITE y los mensajes que le siguen a menudo puede ayudar a determinar el origen del problema. Además, el conocimiento de los campos INVITE ayuda a la hora de conectar operadores SIP a 3CX o combinar 3CX con otras PBX SIP.
En el mensaje INVITE, los usuarios (o dispositivos SIP) se identifican mediante URI. Normalmente, SIP URI es el número de teléfono del usuario + la dirección del servidor SIP. El URI SIP es muy similar a una dirección de correo electrónico y se escribe como sip:x@y:Port.
URI de línea de solicitud:
Request-Line-URI: el campo contiene el destinatario de la llamada. Contiene la misma información que el campo Para, pero sin el nombre para mostrar del usuario.
Vía:
Vía: cada servidor SIP (proxy) a través del cual pasa la solicitud INVITE agrega su dirección IP y el puerto en el que se recibió el mensaje en la parte superior de la lista Vía. Luego, el mensaje se transmite a lo largo de la ruta. Cuando el destinatario final responde a la solicitud INVITE, todos los nodos de tránsito "buscan" el encabezado Via y devuelven el mensaje al remitente a lo largo de la misma ruta. En este caso, el proxy SIP de tránsito elimina sus datos del encabezado.
Desde:
Desde: el encabezado indica el iniciador de la solicitud desde el punto de vista del servidor SIP. El encabezado se forma de la misma manera que una dirección de correo electrónico (usuario@dominio, donde usuario es el número de extensión del usuario 3CX y dominio es la dirección IP local o dominio SIP del servidor 3CX). Al igual que el encabezado Para, el encabezado De contiene un URI y, opcionalmente, el nombre para mostrar del usuario. Al observar el encabezado Desde, puede comprender exactamente cómo se debe procesar esta solicitud SIP.
El estándar SIP RFC 3261 estipula que si el nombre para mostrar no se transmite, el teléfono IP o la puerta de enlace VoIP (UAC) debe usar el nombre para mostrar "Anónimo", por ejemplo, De: "Anónimo"[email protected]>.
A:
Para: este encabezado indica el destinatario de la solicitud. Puede ser el destinatario final de la llamada o un enlace intermedio. Normalmente, el encabezado contiene el URI SIP, pero son posibles otros esquemas (consulte RFC 2806 [9]). Sin embargo, los URI SIP deben ser compatibles con todas las implementaciones del protocolo SIP, independientemente del fabricante del hardware. El encabezado Para también puede contener un Nombre para mostrar, por ejemplo, Para: "Nombre Apellido"[email protected]>).
Normalmente, el campo Para contiene un URI SIP que apunta al primer (siguiente) proxy SIP que procesará la solicitud. No es necesario que sea el destinatario final de la solicitud.
Contacto:
Contacto: el encabezado contiene el URI SIP mediante el cual puede comunicarse con el remitente de la solicitud INVITE. Este es un encabezado obligatorio y debe contener solo un URI SIP. Es parte de la comunicación bidireccional correspondiente a la solicitud SIP INVITE original. Es muy importante que el encabezado de Contacto contenga la información correcta (incluida la dirección IP) en la que el remitente de la solicitud espera una respuesta. URI Contact también se utiliza en comunicaciones posteriores, una vez establecida la sesión de comunicación.
Permitir:
Permitir: el campo contiene una lista de parámetros (métodos SIP), separados por comas. Describen qué capacidades del protocolo SIP admite un remitente (dispositivo) determinado. Lista completa de métodos: ACK, BYE, CANCELAR, INFORMACIÓN, INVITAR, NOTIFICAR, OPCIONES, PRACK, REFERIR, REGISTRARSE, SUSCRIBIRSE, ACTUALIZAR. Los métodos SIP se describen con más detalle. .
Fuente: habr.com