Tässä artikkelissa puhumme 3CX PBX:n tuottaman SIP-liikenteen sieppaamisen ja analysoinnin perusteista. Artikkeli on suunnattu aloitteleville järjestelmänvalvojille tai tavallisille käyttäjille, joiden tehtäviin kuuluu puhelinpalvelujen ylläpito. Aiheen syvällistä tutkimista varten suosittelemme käymään läpi .
3CX V16:n avulla voit siepata SIP-liikennettä suoraan palvelimen verkkoliittymän kautta ja tallentaa sen tavallisessa Wireshark PCAP-muodossa. Voit liittää sieppaustiedoston ottamalla yhteyttä tekniseen tukeen tai ladata sen riippumatonta analyysiä varten.
Jos 3CX toimii Windowsissa, sinun on asennettava Wireshark 3CX-palvelimelle itse. Muussa tapauksessa seuraava viesti tulee näkyviin, kun yrität kaapata.
Linux-järjestelmissä tcpdump-apuohjelma asennetaan automaattisesti, kun asennetaan tai päivitetään 3CX.
Liikenteen talteenotto
Aloita kaappaus siirtymällä käyttöliittymäosaan Koti > SIP-tapahtumat ja valitsemalla käyttöliittymä, jolla kaappaa. Voit myös kaapata liikennettä kaikilla liitännöillä samanaikaisesti paitsi IPv6-tunnelointiliitännöissä.
3CX for Linuxissa voit kaapata liikennettä paikalliselle isännälle (lo). Tätä sieppausta käytetään SIP-asiakasyhteyksien analysointiin teknologian avulla .
Traffic Capture -painike käynnistää Wiresharkin Windowsissa tai tcpdumpin Linuxissa. Tässä vaiheessa sinun on toistettava ongelma nopeasti, koska... sieppaus vaatii prosessoria ja vie melkoisen määrän levytilaa.
Kiinnitä huomiota seuraaviin puheluparametreihin:
- Numero, josta puhelu soitettu, johon myös muut numerot/puhelun osallistujat soittivat.
- Tarkka aika, jolloin ongelma ilmeni 3CX-palvelimen kellon mukaan.
- Soita reitti.
Älä napsauta mitään käyttöliittymän kohtaa paitsi "Stop"-painiketta. Älä myöskään napsauta muita linkkejä tässä selainikkunassa. Muussa tapauksessa liikenteen sieppaus jatkuu taustalla ja aiheuttaa lisäkuormitusta palvelimelle.
Sieppaustiedoston vastaanottaminen
Stop-painike pysäyttää kaappauksen ja tallentaa kaappaustiedoston. Voit ladata tiedoston tietokoneellesi analysoitavaksi Wireshark-apuohjelmassa tai luoda erityisen tiedoston , joka sisältää tämän sieppauksen ja muita virheenkorjaustietoja. Kun kaappaustiedosto on ladattu tai sisällytetty tukipakettiin, se poistetaan automaattisesti 3CX-palvelimelta turvallisuussyistä.
3CX-palvelimella tiedosto sijaitsee seuraavassa paikassa:
- Windows: C:ProgramData3CXInstance1DataLogsdump.pcap
- Linux: /var/lib/3cxpbx/Instance/Data/Logs/dump.pcap
Palvelimen lisääntyneen kuormituksen tai pakettien katoamisen välttämiseksi sieppauksen aikana sieppausjakso on rajoitettu 2 miljoonaan pakettiin. Tämän jälkeen sieppaus pysähtyy automaattisesti. Jos tarvitset pidemmän kaappauksen, käytä erillistä Wireshark-apuohjelmaa alla kuvatulla tavalla.
Kaappaa liikennettä Wireshark-apuohjelmalla
Jos olet kiinnostunut verkkoliikenteen syvemmästä analysoinnista, tallenna se manuaalisesti. Lataa Wireshark-apuohjelma käyttöjärjestelmällesi . Kun olet asentanut apuohjelman 3CX-palvelimelle, siirry kohtaan Capture > Interfaces. Kaikki käyttöjärjestelmän verkkoliitännät näkyvät tässä. Käyttöliittymän IP-osoitteet voidaan näyttää IPv6-standardissa. Näet IPv4-osoitteen napsauttamalla IPv6-osoitetta.
Valitse siepattava käyttöliittymä ja napsauta Asetukset-painiketta. Poista valinta kohdasta Capture Traffic in promiscuous mode ja jätä muut asetukset ennalleen.
Nyt sinun pitäisi toistaa ongelma. Kun ongelma toistuu, lopeta sieppaus (Menu Capture > Stop). Voit valita SIP-viestit Puhelimet > SIP-virrat -valikosta.
Liikenneanalyysin perusteet - SIP INVITE -viesti
Tarkastellaan VoIP-puhelun muodostamiseen lähetettävän SIP INVITE -viestin pääkenttiä, ts. on analyysin lähtökohta. SIP INVITE sisältää tyypillisesti 4–6 kenttää, joissa on tietoja, joita SIP-päätelaitteet (puhelimet, yhdyskäytävät) ja teleoperaattorit käyttävät. INVITE-viestin sisällön ja sitä seuraavien viestien ymmärtäminen voi usein auttaa määrittämään ongelman lähteen. Lisäksi INVITE-kenttien tuntemus auttaa SIP-operaattoreiden yhdistämisessä 3CX:ään tai 3CX:n yhdistämisessä muiden SIP-vaihteiden kanssa.
INVITE-viestissä käyttäjät (tai SIP-laitteet) tunnistetaan URI:lla. Yleensä SIP URI on käyttäjän puhelinnumero + SIP-palvelimen osoite. SIP URI on hyvin samankaltainen kuin sähköpostiosoite, ja se kirjoitetaan muodossa sip:x@y:Port.
Request-Line-URI:
Request-Line-URI - Kenttä sisältää puhelun vastaanottajan. Se sisältää samat tiedot kuin Vastaanottaja-kenttä, mutta ilman käyttäjän näyttönimeä.
Via:
Via - jokainen SIP-palvelin (välityspalvelin), jonka kautta INVITE-pyyntö kulkee, lisää Via-luettelon yläosaan IP-osoitteensa ja portin, johon viesti vastaanotettiin. Viesti välitetään sitten eteenpäin reitin varrella. Kun lopullinen vastaanottaja vastaa INVITE-pyyntöön, kaikki siirtosolmut "hakevat" Via-otsikon ja palauttavat viestin lähettäjälle samaa reittiä pitkin. Tässä tapauksessa siirto-SIP-välityspalvelin poistaa tietonsa otsikosta.
Alkaen:
From - otsikko osoittaa pyynnön alullepanijan SIP-palvelimen näkökulmasta. Otsikko muodostetaan samalla tavalla kuin sähköpostiosoite (user@domain, jossa käyttäjä on 3CX-käyttäjän alanumero ja domain on 3CX-palvelimen paikallinen IP-osoite tai SIP-alue). Kuten Vastaanottaja-otsikko, Lähettäjä-otsikko sisältää URI:n ja valinnaisesti käyttäjän näyttönimen. Lähettäjä-otsikkoa katsomalla ymmärrät tarkalleen, kuinka tämä SIP-pyyntö tulee käsitellä.
SIP-standardi RFC 3261 edellyttää, että jos näyttönimeä ei lähetetä, IP-puhelimen tai VoIP-yhdyskäytävän (UAC) on käytettävä näyttönimeä "Anonymous", esimerkiksi From: "Anonymous"[sähköposti suojattu]>.
To:
Vastaanottaja - Tämä otsikko ilmaisee pyynnön vastaanottajan. Tämä voi olla joko puhelun lopullinen vastaanottaja tai välilinkki. Tyypillisesti otsikko sisältää SIP URI:n, mutta muut mallit ovat mahdollisia (katso RFC 2806 [9]). SIP URI:ita on kuitenkin tuettava kaikissa SIP-protokollan toteutuksissa laitteiston valmistajasta riippumatta. Vastaanottaja-otsikko voi sisältää myös näyttönimen, esimerkiksi Vastaanottaja: "Etunimi Sukunimi"[sähköposti suojattu]>).
Yleensä Vastaanottaja-kenttä sisältää SIP URI:n, joka osoittaa ensimmäiseen (seuraavaan) SIP-välityspalvelimeen, joka käsittelee pyynnön. Tämän ei tarvitse olla pyynnön lopullinen vastaanottaja.
Ottaa yhteyttä:
Yhteystiedot - otsikko sisältää SIP URI:n, jonka avulla voit ottaa yhteyttä INVITE-pyynnön lähettäjään. Tämä on pakollinen otsikko, ja sen tulee sisältää vain yksi SIP URI. Se on osa kaksisuuntaista viestintää, joka vastaa alkuperäistä SIP INVITE -pyyntöä. On erittäin tärkeää, että Yhteystiedot-otsikko sisältää oikeat tiedot (mukaan lukien IP-osoite), joihin pyynnön lähettäjä odottaa vastausta. URI-kontaktia käytetään myös jatkossa viestintäistunnon aloittamisen jälkeen.
Sallia:
Salli - kenttä sisältää luettelon parametreista (SIP-menetelmät), jotka on erotettu pilkuilla. Ne kuvaavat, mitä SIP-protokollaominaisuuksia tietty lähettäjä (laite) tukee. Täydellinen luettelo menetelmistä: ACK, BYE, CANCEL, INFO, KUTSU, ILMOITTA, ASETUKSET, PRACK, VIITE, REKISTERÖIDY, TILAUS, PÄIVITYS. SIP-menetelmiä kuvataan tarkemmin .
Lähde: will.com