Está en la página 1de 11

21/12/2015

Wireshark.CapturaconversacionesVoIP.ProtocoloSIP,SDPyRTP.Extraccindeaudio.|SeguridadyRedes

SeguridadyRedes
PginapersonaldeAlfon.

Wireshark.CapturaconversacionesVoIP.ProtocoloSIP,SDPyRTP.Extraccindeaudio.
Publicadoel5abril,2010

Esposible,tratndosedeinstalacionesVoIPnoseguras,lacapturadepaquetesVoIP(emisindevozenpaquetesIP)ylaextraccindeconversaciones
contenidasenestetipodeconexiones.

Enesteartculovamosausarunacaptura.pcapconteniendounaconversacinusandoelprotocoloSIP(SessionInitiationProtocol),unprotocolode
sealizacin,similaraHTMLySMTP,encargadodelalocalizacinusuarios,parmetros,modificacioneseiniciarofinalizarunasesin.Losdatosdeaudio
serntransportadosmedianteelprotocolodetransporteRTP(RealTimeTransportProtocol)usandoUDP.SIPencapsulaotroprotocolo:SDP,queeselencargado
delanegociacindelascapacidadesdelosparticipantes,tipodecodificacinusadosyotrosaspectos.

Usaremos,comosiempre,Wiresharkparaanalizarlacaptura.pcapeilustrartodoslosaspectoscomentadosdeSIP,SDPyRTP,ademsdelaextraccindel
audiodelasconversaciones.

BreveintroduccinaSIP,SDPyRTP.
VamosaverunabrevedescripcindeSIP,SDPyRTPparalamejorcompresindelosdatosdelascapturas.
SIP(SessionInitiationProtocol),comohemoscomentado,esunprotocoloqueproveemecanismosparala
creacin,modificacinyfinalizacinsesesiones,enestacasoVoIp.SIPfuncionaencombinacinconSDPque
eselencargadodelanegociacindecapacidadesmultimediadelosparticipantesinvolucrados,
anchodebanda,negociacindeloscodecs,etc.
AlserSIPunprotocolosolodesealizacin,soloentiendedelestablecimiento,controlylaterminacindelas
sesiones.
Esunprotocolosimple,escalableyseintegraconfacilidadenotrosprotocolos.SIPpuedefuncionarsobreUDPo
TCP,aunqueparaVoIPseusarsobreUDP.Unavezestablecidalasesin,losclientesintercambian
directamenteloscontenidosmultimediadeaudioy/ovideoatravsde,enestecaso,RTP(RealTimeTransport
Protocol).
SIPtieneunaestructuraparecidaaHTMLySMTP.Estolovemos,porejemplo,enquelosclientesinvolucrados
enunaconexintienedireccionesdeltipo:
Seguir
https://seguridadyredes.wordpress.com/2010/04/05/wiresharkcapturaconversacionesvoipprotocolosipsdpyrtpextracciondeaudio/

1/11

21/12/2015

Wireshark.CapturaconversacionesVoIP.ProtocoloSIP,SDPyRTP.Extraccindeaudio.|SeguridadyRedes

usuario@dominio
SIPcontieneunaseriedecomponentes.:

Seguir Seguridad
y Redes

AgentedeUsuario.(useragentclientyuseragentserver)

Recibe cada nueva publicacin


en tu buzn de correo
electrnico.

AgentedeRedirecciones

nete a otros 152 seguidores

ServidorProxy

Introducetudireccindecorreoelectrnico

ServidordeRegistro.
ServidordeLocalizacin.

Suscrbeme
Construye un sitio web con

DentrodelascabecerasSIP,podemosencontrarunaseriedemensajesSIPparalassesiones.Estnenformato
WordPress.com
ASCII.
Losmensajesmscomunesson:

INVITE.TipoRequest.Paraestablecerunasesinentreagentesdeusuario.contieneinformacinsobreu
suarioorigenydestinoytipodedatos(audio,video).contienemuchamsinformacin.Loveremosenlas
capturasWireshark.
ACK.Paralaconfirmacindeunestablecimientodesesin.UnmensajeACKpuedeser,comovemosms
abajo,uncdigo200Okdexito.
OPTION.UnRequestosolicituddeinformacindecapacidades
BYE.Seusaparalaliberacinoterminacindeunasesinestablecida.BYEpuedeseremitidotantoporel
usuarioquegeneraunallamadaoelquelarecibe.
CANCEL.Cancelaunapeticinpendientesininfluirenlasesinollamadaestablecidayacpetada.
REGISTER.EsusadoporunuseragenteoagenteusuarioparaelregistrodedireccinSIPeIPodireccin
decontacto.Relacionadoconlaubicacindelosusuarios.
DeigualformatenemosunaseriedecdigoscorrespondientesalasrepsuestasalosmensajesSIP:
1xx.Mensajesdeinformacin.Provisionales(100Trying)
2xx.RespuestadeExito.Serecibielrequerimentoyesacpetado.(200Ok)
3xx.Respuestaderedireccin.Serequieredeotrosprocesamientosantesdedeterminarsiesposiblela
llamada.(302MovedTemporaly)o(305UtilizaProxy).
4xx.Respuestadefalloenpeticinofallodelcliente.(404NotFound)
5xx.Respestadefallosenservidorapesardetratarsedeunrequerimientovalido.(504ServerTimeout)o
(503Servicionodisponible)
6xx.Respuestadefallosglobales.(603Decline)
ElprotocoloRTP.

Unavezestablecidalasesin,losdatosentiemporealdevozy/oudioserealizausandoelprotocoloRTP.RTP
viajasobreUDPparaobtenermayorvelocidad(estamoshablandodeunprotocoloparatiemporeal).Esos,
perdemoslafiabilidadquesitieneTCP.
Seencargadelosnmerosdesecuencia,marcasdetiempoyorigendelosdatosyllegadadeestos.Provee
informacinparaladeteccindepaquetesperdidos.
https://seguridadyredes.wordpress.com/2010/04/05/wiresharkcapturaconversacionesvoipprotocolosipsdpyrtpextracciondeaudio/

2/11

21/12/2015

Wireshark.CapturaconversacionesVoIP.ProtocoloSIP,SDPyRTP.Extraccindeaudio.|SeguridadyRedes

LacabeceraRTPindicaalreceptorcomoreconstruirlosdatosy
describecomosehancodificadoelflujodebits.
Nogarantizaelenvioniordendelospaquetesnicalidaddelservicio.EstencapsuladoenUDP.
ContieneinformacindeltipodecargatilPayloadycompresindelosdatos,eddecir,codecsde
audio/video.

Analizandolospaquetes.
Biuen,vamosahoraaabrirelarchivo.pcapdecapturadeunasesinconversacinVoIPyanalizarlospaquetes
SIP/SDPyRTP.
NOTA:Estacapturalaheobtenidodeunrepositoriopblicodeficheros.pcap

Paqueten1

ElpaquetenmerounocorrespondeaunmensajeSIPdetipoRequest,concretamenteINVITEque,comoya
hemosvisto,serefierealestablecimientodellamadaosesin.

SealadoenunrecuadrorojotenemoselRequestLineotipodemensaje.TipodemensajeINVITE.Mensaje
SIPdirigidoafrancisco@bestel.com.VemostambinlaversinSIPqueesSIP/2.0.Elpuertodedestinoes
55060.
AhoratenemoselMessageHeaderocabeceraquecontiene:
Via.Campoqueusadoparaelregistroderuta.Deestaformalarespuestaalseguirelmismocaminoqueel
RequestopeticinINVITE.Contienetambinentrasporteusado(SIP/UDP)yelbranchoidentificacinde
https://seguridadyredes.wordpress.com/2010/04/05/wiresharkcapturaconversacionesvoipprotocolosipsdpyrtpextracciondeaudio/

3/11

21/12/2015

Wireshark.CapturaconversacionesVoIP.ProtocoloSIP,SDPyRTP.Extraccindeaudio.|SeguridadyRedes

latransaccin.
From.Clientequerealizalallamadaopeticin.
To.Clientealqueserealizalapeticin.
CallID.Identificadorniciodelasesin.Identificaalosmensajesquecorrespondenalamismallamada.
CSeq.Nmerodesecuencia.
Contact.URISIPContactaddress.ContienelaIPypuertodondeelrealizalapeticinINVITEesperarecibir
resupesta.
MessageBodyocuerpodelmensajecontieneelSessionDescriptionProtocolSDPconlos
siguientescampos:
VersindeSessionDescriptionProtocol.SDP.Enestecaso0
Propietario/CreadordelasesinoOwner/Creator.Setratadeunaidentificacinformadapor:
Ownerusername.Usuario.
SessionID.IDdelasesion.Nmeroaleatoriocomoidentificadornicodelasesion.
SessionVersion.Versin.
NetworkType.Tipedered.SiempreIN.
AddressType.Tipodedireccin.PuedeserIP4(IPv4)oIP6(IPv6).
Address(IP).DireccinIP.(200.57.7.197)
SessionName.Nombredelasesin.
ConnectionInformation.Informacinsobrelaconeccin.Contieneinformacinyacontenidaenlos
camposanteriorescomo:
c=ConectionNetworkType:(IN)
ConnectionAddressType:(IP4oIPv4)
ConnectionAddress:(200.57.7.197)
TimeDescription,activetime.Aquseindicaelinicioyfinaldelasesin.Enestecasotenemos(t):00,es
decitstarttime=oystoptime=0.Significasesinnolimitadaypermanente.
MediaDescription,nameandaddress(m):audio40376RTP/AVP81840.Aqutenenemos
informacinsobreeltipodedatosquesetransporta(audioosesintelefnicaenestecaso),elpuertoUDP
usado(40376),elprotocolousado(RTPRealTimeTransportProtocol/AVPAudiovideoProfiles).Ypor
ltimo,losformatosdecodecs:
8G.711PCMA
18G.729
4G.723
0G.711PCMU
MediaAttribute(a).Setratadeunalistadelosformatodecodesreseadosmsarribaconinformacinde
Samplerateofrecuenciademuestreo,Fieldname,etc.
MediaAttribute(a).SendRecv.Modoenvio/recepcin.
Paqueten2

Elpaqueten2correspondeaunmensajederespuestadeinformacindeestado.Seinforma,talcomo
https://seguridadyredes.wordpress.com/2010/04/05/wiresharkcapturaconversacionesvoipprotocolosipsdpyrtpextracciondeaudio/

4/11

21/12/2015

Wireshark.CapturaconversacionesVoIP.ProtocoloSIP,SDPyRTP.Extraccindeaudio.|SeguridadyRedes

dicesucdigo100,dequeseesttratandolainformacin:

SeobservaelStatusCode:100
EnelMessageHeadertenemoslamismainformacinqueelMessageHeaderdelpaquetenmero1.
Paqueten3

Enelpaqueten3tenemosunmensajetambindemensajederespuestadeinformacindeestado.Se
informaqueelINVITEfuerecibidoporlaotraparte.DigamosqueseestRinnging(llamando)yseesperaa
queatiendalallamada:

.
Vemosqueenlospaquetes2y3,enelcampoTo,hayunTag=298852044quenoestabaenelpaqueten1.Es
elmismoeidentificaalasesin.
===========================
Bien,annosquedanalgunospaquetesmsporver.Loveremosenlasiguienteyltimaparte.Ahoravamosaver
comoconWiresharkpodemosextraerlainformacindeaudioyotrosdatosdelacaptura.

ExtraccindelaudioconWireshark.
Siestablecemoscomofiltroelprotocolortp,veremossololospaquetescorrespondientesadichoprotocolo.Ya
hemosvistomsarribaparaquesirveRTP.
Observamosunodeestospaquetes(loveremosconmsprofuncidadmsadelante):
https://seguridadyredes.wordpress.com/2010/04/05/wiresharkcapturaconversacionesvoipprotocolosipsdpyrtpextracciondeaudio/

5/11

21/12/2015

Wireshark.CapturaconversacionesVoIP.ProtocoloSIP,SDPyRTP.Extraccindeaudio.|SeguridadyRedes

VemosenelcampoPayloadTypeotipodecargaquesetratadedeITUTG.711PCMA(8),esdecirusael
cdecaudioG.711,estandarizadoporITU(InternationalTelecom.Union).Frecuenciademuestreo8KHzyusa
paracomprimir/descomprimirPCMA.
NossituamossobreestepaqueteyenelmenTelephony>VoIPCalls,nosapareceunaventana:

Setratadeunalistadelasllamadasincluidasenlacaptura.Tenemosunaseriedecolumnasconinformacin
decadallamada:
StartTime.Marcadetiempoeniniciodelallamada.
StopTime.Marcadetiempodeindedellamada.
InitialSpeaker.DireccinIPdelqueinicialallamada.
From.CampoFromdelquerealizalapeticinINVITE.
To.CampoTodelapeticinINVITE.
Protocol.Protocolousado.(SIPennuestrocaso)
Packets.Nmerodepaquetescorrespondientesalallamada.
State.Estadodelallamada.EnnustrecasotenemosINCALL(llamadaencurso)yCALLSETUP(llamada
enestadodeprocesoosetup.EnestecasotrmitesdeINVITE,etc.)
Comments.Comentarios.
NossituamosenelsegudoitemcorrespondientealCALLSETUPypulsamosGraph:
https://seguridadyredes.wordpress.com/2010/04/05/wiresharkcapturaconversacionesvoipprotocolosipsdpyrtpextracciondeaudio/

6/11

21/12/2015

Wireshark.CapturaconversacionesVoIP.ProtocoloSIP,SDPyRTP.Extraccindeaudio.|SeguridadyRedes

Aqu,comoveis,tenemosunanlisisgrficodelaconversacinmantenidaentrequienrealizalapeticin
INVITEylasdosrespuestascorrespondentesalospaquetes1y2queyahemosvisto.
SihacemoslomismoconelprimerItemcorrespondientealINCALL,vereis,apartedelospaquetes1,2y3,la
conversacinRTPdetransportedelaudiodelaconversacin.Esesteitremelquenosinteresa.
CerramoslaventenadeanlisisgrficoysobrelaventanaVoIPCalls,pulsamoselbotnPlayerenelItem
1.SobrelaventanaquenosaparecepulsamosDecodeyobtenemos:

Tenemosdospistasdeaudiosquecorerspondenacadaunodelosusuariosinvolucradosenla
conversacin.SimarcamosunapistaunoypulsamosPlayoiremoselaudiodelaconversacin.Pulsando
ambaspistasescucharemostodalaconversacin.
====
Hastaaquporhoy.EnelprximocapituloveremoslospaquetesRTPenprofundidadyotrospaquetesSIPcomo
REGISTER.
Acerca de estos anuncios

YouMayLike

1.
Stop
playinghideandseekwithyour
networksecurity.2weeksago
media.ibm.comIBMIBM.com
Tuvoto:


https://seguridadyredes.wordpress.com/2010/04/05/wiresharkcapturaconversacionesvoipprotocolosipsdpyrtpextracciondeaudio/

7/11

21/12/2015

Wireshark.CapturaconversacionesVoIP.ProtocoloSIP,SDPyRTP.Extraccindeaudio.|SeguridadyRedes

3Votes

Sharethis:

Twitter

Facebook

Megusta
Selprimeroendecirquetegusta.

Relacionado

Tshark,Wiresharkenlneadecomandos.(VI
Parte.)Avanzandoenfiltros,Estadsticas,
COUNT,SUM,MIN,MAXyAVG.
En"Seguridadyredes"

Snort.SecurityOnionLive.SGUIL,Squerty
Suricata.Analizandounaalerta.Uncasoreal.
ParteII
En"SecurityOnion"

Wireshark.Extraccinficherosbinariosy
ObjetosHTTP.
En"Seguridadyredes"

EstaentradafuepublicadaenSeguridadyredes,VoIP,Wireshark.Tshark.Guardaelenlacepermanente.

17respuestasaWireshark.CapturaconversacionesVoIP.ProtocoloSIP,SDPyRTP.Extraccin
deaudio.
Bobdijo:
16abril,2010en6:37pm

HolaAlfon,Muybuenosarticulos.Tecomentoqueadministrounaredwificoncercade40usuarios.Laredseusa
fundamentalmentepararecopilarinformaciondetipometereologicoyelproblemaquepresentoesquelamismaacadarato
colapsapuesalgunosusuariosindisciplinadoslausanparacopiarficherosdeaudioyvideo.Herealizadovariascapturascon
wiresharkymeinteresariapoderdetectarquienyquecopiaenlared,parapoderevitarlacaidadelamisma.Simepudieras
orientarqueprotocolodebofiltrar,puertos,etc,teloagradeceriamucho.
muchasgracias.
Responder

Alfondijo:
21mayo,2010en5:20pm

Bob,intentarrealizarunareseaoartculosobreestetema.
Responder

DannyCaceresdijo:
22mayo,2010en8:16pm

quetal..muybuenainformacion..unapregunta..funcionadelamismamaneraenredesipv6???..saludos
Responder

AnibalBaenadijo:
20julio,2010en5:36pm

Muchasgracias,esunaherramientabuensima
Responder

https://seguridadyredes.wordpress.com/2010/04/05/wiresharkcapturaconversacionesvoipprotocolosipsdpyrtpextracciondeaudio/

8/11

21/12/2015

Wireshark.CapturaconversacionesVoIP.ProtocoloSIP,SDPyRTP.Extraccindeaudio.|SeguridadyRedes

ZaPadijo:
5agosto,2010en2:18pm

HolaBob.
Necesitasimplementarcalidaddeservicio(QoS)entured,paralimitarlavelocidadmximadebajada/subidaenturedlocal,
yaquesinolohaces,pasarloqueteestapasando,cuandounusuariopasecualquierfichero,llegaralavelocidadmxima
delbackboneytendrspinesaltos,conloquelaredirlenta.
Unsaludo.
Responder

JuanCarlosdijo:
14agosto,2010en1:53am

Holaamigos,realmenteesteblogdeSeguridadyRedesesespectacular,realmenteamigoteagradescoporeseaporteque
hacesalagentequeyatieneunconocimientoavanzadoyaotrosquetienenbsicocomoyo,quetoyempezandomitesisen
SeguridadInformtica.
realmenteestoymuyagradecidoyesperoquecoloquesmssobreseguridad.
saludosyxitos.
Responder

LauraRozodijo:
26septiembre,2010en9:10pm

Hola!,excelenteartculo,muchasgracias,mesirvimucho
Responder

Alfon.dijo:
30septiembre,2010en7:51am

Laura,muchasgraciasportucomentarioyporleerme.GraciastambinatJ.Carlos.
Responder

Ederdijo:
25octubre,2010en4:14pm

Yasacasteelprximocapitulo???
Siesascomoloencuentro??
meseriademuchaayuda
Responder

Alfondijo:
25octubre,2010en4:46pm

Elder,tengoenborradorelartculoamediohacerdesdehacemeses.Aversilotermino.
Responder

https://seguridadyredes.wordpress.com/2010/04/05/wiresharkcapturaconversacionesvoipprotocolosipsdpyrtpextracciondeaudio/

9/11

21/12/2015

Wireshark.CapturaconversacionesVoIP.ProtocoloSIP,SDPyRTP.Extraccindeaudio.|SeguridadyRedes

patriceBertindijo:
1diciembre,2010en2:57pm

MuchasgraciasAlfon.Meayudomuchotuartculoparapasardelateriaalapractica.
Unsaludo.
patrice
Responder

MarcoMendozadijo:
5diciembre,2010en8:19pm

Holaquetal,milgracias,elartculoesdemuchaayuda,lousocomoreferenciaeneltrabajo,yaquenuestratelefonasebasa
enprotocoloSIPyhemostenidoincidenciasdefallasdetelefona,sinembargosloelproveedorinterpretalosresultados,
hastahacepoconosintegramosalatareayconestedocumentosmeapoyopararealizarmisanlisis.Slounapregunta
Cmosepuedeinterpretarlacapturaenelsiguienteescenario?UsamosunservidorcontarjetasDialogicporloquela
tarjetatieneunaIPindependienteyelservidortambin.Cuandoseestableceundilogoentreelequipodelagente(unaPC
consoftphone)yelservidor,enlasgrficasmepareceenelextremoizquierdolaIPdelservidordondeestinstaladaesta
tarjeta,enelextremoderecholaIPdelatarjetaDialogic,peroenmedioapareceladireccinIPdelequipodeagenteque
recibelallamadaconelsoftphoneCmoseinterpretaraelflujodedilogo?Loquequierosaberesquienmandalasealde
colgado,lasealquevienedelPSTNsobreelE1,elservidorSIPolatarjetaDialogic.Cuandoelagentelaenvameimagino
queestmsqueclaro.
Responder

MartinAlejandroGuzmandijo:
22octubre,2013en6:09pm

LoquetenesquebuscarenelFlowdelaconversacioneselbye,yaquedesdetugatewayopbxalpuestovaporsip,
ahivasasaberquiencorto(recordaqueenelFlowaparececonunaflechaelsentidodelospaquetes)
Responder

Franciscodijo:
31enero,2011en4:37pm

Hola,loprimerofelicitarteporelblogyelartculo.TengoquehaceruntrabajosobreAsterixoVentrilokesparamacyme
gustariacomplementarlomostrandolosprotocolosqueusan,comoSIPoRTPperocuandomeconectoalservidorde
ventriloohabloconmicompaero,wiresharknodetectaningunodelosdosprotocolos,solotcpybsdcreorecordar,pero
esonomesirvecomopodriasolucionarlo??Muchasgraciasdeantemano
Responder

jordidijo:
17abril,2011en1:50pm

Muytil!graciasporcompartirlo
Responder

Alfondijo:
18abril,2011en7:42am

Francisco,
Envameunacaptura.Escrbeme,ylovemos.
https://seguridadyredes.wordpress.com/2010/04/05/wiresharkcapturaconversacionesvoipprotocolosipsdpyrtpextracciondeaudio/

10/11

21/12/2015

Wireshark.CapturaconversacionesVoIP.ProtocoloSIP,SDPyRTP.Extraccindeaudio.|SeguridadyRedes
Responder

Emersondijo:
15marzo,2012en5:30pm

ohhamigo,muyinteresante..peronopudooirelaudiodelaconversa,ytengolaversion1.6:S
gracias^^
Responder

SeguridadyRedes
EltemaTwentyTen.

FuncionaconWordPress.

https://seguridadyredes.wordpress.com/2010/04/05/wiresharkcapturaconversacionesvoipprotocolosipsdpyrtpextracciondeaudio/

11/11