Trong bài viết này, chúng tôi sẽ nói về những điều cơ bản trong việc nắm bắt và phân tích lưu lượng SIP do 3CX PBX tạo ra. Bài viết này gửi đến những quản trị viên hệ thống mới làm quen hoặc những người dùng thông thường có trách nhiệm bao gồm bảo trì điện thoại. Để nghiên cứu sâu hơn về chủ đề này, chúng tôi khuyên bạn nên xem qua .
3CX V16 cho phép bạn nắm bắt lưu lượng SIP trực tiếp thông qua giao diện web của máy chủ và lưu nó ở định dạng Wireshark PCAP tiêu chuẩn. Bạn có thể đính kèm tệp chụp khi liên hệ với bộ phận hỗ trợ kỹ thuật hoặc tải xuống để phân tích độc lập.
Nếu 3CX chạy trên Windows, bạn sẽ cần phải tự cài đặt Wireshark trên máy chủ 3CX. Nếu không, thông báo sau sẽ xuất hiện khi bạn cố chụp.
Trên hệ thống Linux, tiện ích tcpdump được cài đặt tự động khi cài đặt hoặc cập nhật 3CX.
Nắm bắt lưu lượng truy cập
Để bắt đầu chụp, hãy đi tới phần giao diện Trang chủ > Sự kiện SIP và chọn giao diện cần chụp. Bạn cũng có thể nắm bắt lưu lượng truy cập đồng thời trên tất cả các giao diện, ngoại trừ giao diện đường hầm IPv6.
Trong 3CX dành cho Linux, bạn có thể nắm bắt lưu lượng truy cập cho máy chủ cục bộ (lo). Bản chụp này được sử dụng để phân tích các kết nối máy khách SIP bằng công nghệ .
Nút Ghi lưu lượng truy cập khởi chạy Wireshark trên Windows hoặc tcpdump trên Linux. Tại thời điểm này, bạn cần nhanh chóng tái tạo lại vấn đề, bởi vì... việc chụp ảnh đòi hỏi nhiều CPU và chiếm một lượng không gian đĩa khá lớn.
Hãy chú ý đến các thông số cuộc gọi sau:
- Số mà cuộc gọi được thực hiện, số mà các số/người tham gia cuộc gọi khác cũng gọi đến.
- Thời gian chính xác xảy ra sự cố theo đồng hồ máy chủ 3CX.
- Đường gọi.
Cố gắng không nhấp vào bất kỳ vị trí nào trong giao diện ngoại trừ nút “Dừng”. Ngoài ra, không nhấp vào các liên kết khác trong cửa sổ trình duyệt này. Nếu không, việc thu thập lưu lượng truy cập sẽ tiếp tục ở chế độ nền và sẽ dẫn đến tải bổ sung trên máy chủ.
Nhận tệp chụp
Nút Dừng dừng chụp và lưu tệp chụp. Bạn có thể tải tệp xuống máy tính để phân tích trong tiện ích Wireshark hoặc tạo một tệp đặc biệt , sẽ bao gồm thông tin thu thập này và thông tin gỡ lỗi khác. Sau khi tải xuống hoặc đưa vào gói hỗ trợ, tệp chụp sẽ tự động bị xóa khỏi máy chủ 3CX vì mục đích bảo mật.
Trên máy chủ 3CX, tệp nằm ở vị trí sau:
- Windows: C:ProgramData3CXInstance1DataLogsdump.pcap
- Linux: /var/lib/3cxpbx/Instance/Data/Logs/dump.pcap
Để tránh tăng tải máy chủ hoặc mất gói trong quá trình chụp, thời gian chụp được giới hạn ở 2 triệu gói. Sau đó, quá trình chụp sẽ tự động dừng lại. Nếu bạn cần chụp lâu hơn, hãy sử dụng tiện ích Wireshark riêng biệt như mô tả bên dưới.
Nắm bắt lưu lượng truy cập với tiện ích Wireshark
Nếu bạn quan tâm đến việc phân tích sâu hơn về lưu lượng mạng, hãy nắm bắt nó theo cách thủ công. Tải xuống tiện ích Wireshark cho hệ điều hành của bạn . Sau khi cài đặt tiện ích trên máy chủ 3CX, hãy đi tới Capture > Interfaces. Tất cả các giao diện mạng của hệ điều hành sẽ được hiển thị ở đây. Địa chỉ IP giao diện có thể được hiển thị theo tiêu chuẩn IPv6. Để xem địa chỉ IPv4, hãy nhấp vào địa chỉ IPv6.
Lựa chọn giao diện cần chụp rồi nhấn nút Options. Bỏ chọn Chụp lưu lượng truy cập ở chế độ lăng nhăng và giữ nguyên các cài đặt còn lại.
Bây giờ bạn nên tái tạo vấn đề. Khi sự cố được tái tạo, hãy dừng chụp (Menu Chụp > Dừng). Bạn có thể chọn tin nhắn SIP trong menu Điện thoại > Dòng SIP.
Khái niệm cơ bản về phân tích lưu lượng - Tin nhắn SIP INVITE
Hãy xem xét các trường chính của tin nhắn SIP INVITE, được gửi để thiết lập cuộc gọi VoIP, tức là. là điểm khởi đầu cho việc phân tích. Thông thường, SIP INVITE bao gồm từ 4 đến 6 trường với thông tin được sử dụng bởi các thiết bị đầu cuối SIP (điện thoại, cổng) và nhà khai thác viễn thông. Hiểu nội dung của MỜI và các thông báo theo sau nó thường có thể giúp xác định nguồn gốc của sự cố. Ngoài ra, kiến thức về trường INVITE sẽ giúp ích khi kết nối các nhà khai thác SIP với 3CX hoặc kết hợp 3CX với các tổng đài SIP khác.
Trong tin nhắn INVITE, người dùng (hoặc thiết bị SIP) được xác định bởi URI. Thông thường, SIP URI là số điện thoại của người dùng + địa chỉ máy chủ SIP. URI SIP rất giống với địa chỉ e-mail và được viết là SIP:x@y:Port.
Yêu cầu-Dòng-URI:
Dòng yêu cầu-URI - Trường chứa người nhận cuộc gọi. Nó chứa thông tin giống như trường Đến nhưng không có Tên hiển thị của người dùng.
Via:
Via - mỗi máy chủ SIP (proxy) mà yêu cầu INVITE chuyển qua sẽ thêm địa chỉ IP của nó và cổng mà tin nhắn được nhận ở đầu danh sách Via. Sau đó, tin nhắn sẽ được truyền đi xa hơn dọc theo tuyến đường. Khi người nhận cuối cùng phản hồi yêu cầu MỜI, tất cả các nút chuyển tuyến sẽ "tra cứu" tiêu đề Via và trả lại tin nhắn cho người gửi dọc theo cùng một tuyến đường. Trong trường hợp này, proxy SIP chuyển tiếp sẽ xóa dữ liệu của nó khỏi tiêu đề.
Từ:
Từ - tiêu đề cho biết người khởi tạo yêu cầu theo quan điểm của máy chủ SIP. Tiêu đề được tạo theo cách tương tự như địa chỉ email (user@domain, trong đó người dùng là số máy lẻ của người dùng 3CX và miền là địa chỉ IP cục bộ hoặc miền SIP của máy chủ 3CX). Giống như tiêu đề Đến, tiêu đề Từ chứa URI và tùy chọn Tên hiển thị của người dùng. Bằng cách nhìn vào tiêu đề Từ, bạn có thể hiểu chính xác cách xử lý yêu cầu SIP này.
Chuẩn SIP RFC 3261 quy định nếu Display Name không được truyền đi thì điện thoại IP hoặc cổng VoIP (UAC) phải sử dụng Display Name "Anonymous", ví dụ From: "Anonymous"[email được bảo vệ]>.
Đến:
Đến - Tiêu đề này cho biết người nhận yêu cầu. Đây có thể là người nhận cuộc gọi cuối cùng hoặc là liên kết trung gian. Thông thường, tiêu đề chứa SIP URI, nhưng cũng có thể sử dụng các sơ đồ khác (xem RFC 2806 [9]). Tuy nhiên, SIP URI phải được hỗ trợ trong tất cả các triển khai giao thức SIP, bất kể nhà sản xuất phần cứng. Tiêu đề To cũng có thể chứa Tên hiển thị, ví dụ: To: "First Name Last Name"[email được bảo vệ]>).
Thông thường, trường Đến chứa URI SIP trỏ đến proxy SIP đầu tiên (tiếp theo) sẽ xử lý yêu cầu. Đây không nhất thiết phải là người nhận cuối cùng của yêu cầu.
Liên Hệ:
Liên hệ - tiêu đề chứa URI SIP có thể được sử dụng để liên hệ với người gửi yêu cầu MỜI. Đây là tiêu đề bắt buộc và chỉ được chứa một URI SIP. Nó là một phần của giao tiếp hai chiều tương ứng với yêu cầu SIP INVITE ban đầu. Điều rất quan trọng là tiêu đề Liên hệ phải chứa thông tin chính xác (bao gồm cả địa chỉ IP) mà tại đó người gửi yêu cầu mong đợi phản hồi. Liên hệ URI cũng được sử dụng trong các giao tiếp tiếp theo sau khi phiên giao tiếp được thiết lập.
Cho phép:
Cho phép - trường chứa danh sách các tham số (phương thức SIP), được phân tách bằng dấu phẩy. Chúng mô tả những khả năng của giao thức SIP mà một người gửi (thiết bị) nhất định hỗ trợ. Danh sách đầy đủ các phương thức: ACK, BYE, CANCEL, INFO, INVITE, NOTIFY, OPTIONS, PRACK, GIỚI THIỆU, ĐĂNG KÝ, SUBSCRIBE, UPDATE. Các phương pháp SIP được mô tả chi tiết hơn .
Nguồn: www.habr.com