Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Wireshark.CapturaconversacionesVoIP.ProtocoloSIP,SDPyRTP.Extraccindeaudio.|SeguridadyRedes
SeguridadyRedes
PginapersonaldeAlfon.
Wireshark.CapturaconversacionesVoIP.ProtocoloSIP,SDPyRTP.Extraccindeaudio.
Publicadoel5abril,2010
Esposible,tratndosedeinstalacionesVoIPnoseguras,lacapturadepaquetesVoIP(emisindevozenpaquetesIP)ylaextraccindeconversaciones
contenidasenestetipodeconexiones.
Enesteartculovamosausarunacaptura.pcapconteniendounaconversacinusandoelprotocoloSIP(SessionInitiationProtocol),unprotocolode
sealizacin,similaraHTMLySMTP,encargadodelalocalizacinusuarios,parmetros,modificacioneseiniciarofinalizarunasesin.Losdatosdeaudio
serntransportadosmedianteelprotocolodetransporteRTP(RealTimeTransportProtocol)usandoUDP.SIPencapsulaotroprotocolo:SDP,queeselencargado
delanegociacindelascapacidadesdelosparticipantes,tipodecodificacinusadosyotrosaspectos.
Usaremos,comosiempre,Wiresharkparaanalizarlacaptura.pcapeilustrartodoslosaspectoscomentadosdeSIP,SDPyRTP,ademsdelaextraccindel
audiodelasconversaciones.
BreveintroduccinaSIP,SDPyRTP.
VamosaverunabrevedescripcindeSIP,SDPyRTPparalamejorcompresindelosdatosdelascapturas.
SIP(SessionInitiationProtocol),comohemoscomentado,esunprotocoloqueproveemecanismosparala
creacin,modificacinyfinalizacinsesesiones,enestacasoVoIp.SIPfuncionaencombinacinconSDPque
eselencargadodelanegociacindecapacidadesmultimediadelosparticipantesinvolucrados,
anchodebanda,negociacindeloscodecs,etc.
AlserSIPunprotocolosolodesealizacin,soloentiendedelestablecimiento,controlylaterminacindelas
sesiones.
Esunprotocolosimple,escalableyseintegraconfacilidadenotrosprotocolos.SIPpuedefuncionarsobreUDPo
TCP,aunqueparaVoIPseusarsobreUDP.Unavezestablecidalasesin,losclientesintercambian
directamenteloscontenidosmultimediadeaudioy/ovideoatravsde,enestecaso,RTP(RealTimeTransport
Protocol).
SIPtieneunaestructuraparecidaaHTMLySMTP.Estolovemos,porejemplo,enquelosclientesinvolucrados
enunaconexintienedireccionesdeltipo:
Seguir
https://seguridadyredes.wordpress.com/2010/04/05/wiresharkcapturaconversacionesvoipprotocolosipsdpyrtpextracciondeaudio/
1/11
21/12/2015
Wireshark.CapturaconversacionesVoIP.ProtocoloSIP,SDPyRTP.Extraccindeaudio.|SeguridadyRedes
usuario@dominio
SIPcontieneunaseriedecomponentes.:
Seguir Seguridad
y Redes
AgentedeUsuario.(useragentclientyuseragentserver)
AgentedeRedirecciones
ServidorProxy
Introducetudireccindecorreoelectrnico
ServidordeRegistro.
ServidordeLocalizacin.
Suscrbeme
Construye un sitio web con
DentrodelascabecerasSIP,podemosencontrarunaseriedemensajesSIPparalassesiones.Estnenformato
WordPress.com
ASCII.
Losmensajesmscomunesson:
INVITE.TipoRequest.Paraestablecerunasesinentreagentesdeusuario.contieneinformacinsobreu
suarioorigenydestinoytipodedatos(audio,video).contienemuchamsinformacin.Loveremosenlas
capturasWireshark.
ACK.Paralaconfirmacindeunestablecimientodesesin.UnmensajeACKpuedeser,comovemosms
abajo,uncdigo200Okdexito.
OPTION.UnRequestosolicituddeinformacindecapacidades
BYE.Seusaparalaliberacinoterminacindeunasesinestablecida.BYEpuedeseremitidotantoporel
usuarioquegeneraunallamadaoelquelarecibe.
CANCEL.Cancelaunapeticinpendientesininfluirenlasesinollamadaestablecidayacpetada.
REGISTER.EsusadoporunuseragenteoagenteusuarioparaelregistrodedireccinSIPeIPodireccin
decontacto.Relacionadoconlaubicacindelosusuarios.
DeigualformatenemosunaseriedecdigoscorrespondientesalasrepsuestasalosmensajesSIP:
1xx.Mensajesdeinformacin.Provisionales(100Trying)
2xx.RespuestadeExito.Serecibielrequerimentoyesacpetado.(200Ok)
3xx.Respuestaderedireccin.Serequieredeotrosprocesamientosantesdedeterminarsiesposiblela
llamada.(302MovedTemporaly)o(305UtilizaProxy).
4xx.Respuestadefalloenpeticinofallodelcliente.(404NotFound)
5xx.Respestadefallosenservidorapesardetratarsedeunrequerimientovalido.(504ServerTimeout)o
(503Servicionodisponible)
6xx.Respuestadefallosglobales.(603Decline)
ElprotocoloRTP.
Unavezestablecidalasesin,losdatosentiemporealdevozy/oudioserealizausandoelprotocoloRTP.RTP
viajasobreUDPparaobtenermayorvelocidad(estamoshablandodeunprotocoloparatiemporeal).Esos,
perdemoslafiabilidadquesitieneTCP.
Seencargadelosnmerosdesecuencia,marcasdetiempoyorigendelosdatosyllegadadeestos.Provee
informacinparaladeteccindepaquetesperdidos.
https://seguridadyredes.wordpress.com/2010/04/05/wiresharkcapturaconversacionesvoipprotocolosipsdpyrtpextracciondeaudio/
2/11
21/12/2015
Wireshark.CapturaconversacionesVoIP.ProtocoloSIP,SDPyRTP.Extraccindeaudio.|SeguridadyRedes
LacabeceraRTPindicaalreceptorcomoreconstruirlosdatosy
describecomosehancodificadoelflujodebits.
Nogarantizaelenvioniordendelospaquetesnicalidaddelservicio.EstencapsuladoenUDP.
ContieneinformacindeltipodecargatilPayloadycompresindelosdatos,eddecir,codecsde
audio/video.
Analizandolospaquetes.
Biuen,vamosahoraaabrirelarchivo.pcapdecapturadeunasesinconversacinVoIPyanalizarlospaquetes
SIP/SDPyRTP.
NOTA:Estacapturalaheobtenidodeunrepositoriopblicodeficheros.pcap
Paqueten1
ElpaquetenmerounocorrespondeaunmensajeSIPdetipoRequest,concretamenteINVITEque,comoya
hemosvisto,serefierealestablecimientodellamadaosesin.
SealadoenunrecuadrorojotenemoselRequestLineotipodemensaje.TipodemensajeINVITE.Mensaje
SIPdirigidoafrancisco@bestel.com.VemostambinlaversinSIPqueesSIP/2.0.Elpuertodedestinoes
55060.
AhoratenemoselMessageHeaderocabeceraquecontiene:
Via.Campoqueusadoparaelregistroderuta.Deestaformalarespuestaalseguirelmismocaminoqueel
RequestopeticinINVITE.Contienetambinentrasporteusado(SIP/UDP)yelbranchoidentificacinde
https://seguridadyredes.wordpress.com/2010/04/05/wiresharkcapturaconversacionesvoipprotocolosipsdpyrtpextracciondeaudio/
3/11
21/12/2015
Wireshark.CapturaconversacionesVoIP.ProtocoloSIP,SDPyRTP.Extraccindeaudio.|SeguridadyRedes
latransaccin.
From.Clientequerealizalallamadaopeticin.
To.Clientealqueserealizalapeticin.
CallID.Identificadorniciodelasesin.Identificaalosmensajesquecorrespondenalamismallamada.
CSeq.Nmerodesecuencia.
Contact.URISIPContactaddress.ContienelaIPypuertodondeelrealizalapeticinINVITEesperarecibir
resupesta.
MessageBodyocuerpodelmensajecontieneelSessionDescriptionProtocolSDPconlos
siguientescampos:
VersindeSessionDescriptionProtocol.SDP.Enestecaso0
Propietario/CreadordelasesinoOwner/Creator.Setratadeunaidentificacinformadapor:
Ownerusername.Usuario.
SessionID.IDdelasesion.Nmeroaleatoriocomoidentificadornicodelasesion.
SessionVersion.Versin.
NetworkType.Tipedered.SiempreIN.
AddressType.Tipodedireccin.PuedeserIP4(IPv4)oIP6(IPv6).
Address(IP).DireccinIP.(200.57.7.197)
SessionName.Nombredelasesin.
ConnectionInformation.Informacinsobrelaconeccin.Contieneinformacinyacontenidaenlos
camposanteriorescomo:
c=ConectionNetworkType:(IN)
ConnectionAddressType:(IP4oIPv4)
ConnectionAddress:(200.57.7.197)
TimeDescription,activetime.Aquseindicaelinicioyfinaldelasesin.Enestecasotenemos(t):00,es
decitstarttime=oystoptime=0.Significasesinnolimitadaypermanente.
MediaDescription,nameandaddress(m):audio40376RTP/AVP81840.Aqutenenemos
informacinsobreeltipodedatosquesetransporta(audioosesintelefnicaenestecaso),elpuertoUDP
usado(40376),elprotocolousado(RTPRealTimeTransportProtocol/AVPAudiovideoProfiles).Ypor
ltimo,losformatosdecodecs:
8G.711PCMA
18G.729
4G.723
0G.711PCMU
MediaAttribute(a).Setratadeunalistadelosformatodecodesreseadosmsarribaconinformacinde
Samplerateofrecuenciademuestreo,Fieldname,etc.
MediaAttribute(a).SendRecv.Modoenvio/recepcin.
Paqueten2
Elpaqueten2correspondeaunmensajederespuestadeinformacindeestado.Seinforma,talcomo
https://seguridadyredes.wordpress.com/2010/04/05/wiresharkcapturaconversacionesvoipprotocolosipsdpyrtpextracciondeaudio/
4/11
21/12/2015
Wireshark.CapturaconversacionesVoIP.ProtocoloSIP,SDPyRTP.Extraccindeaudio.|SeguridadyRedes
dicesucdigo100,dequeseesttratandolainformacin:
SeobservaelStatusCode:100
EnelMessageHeadertenemoslamismainformacinqueelMessageHeaderdelpaquetenmero1.
Paqueten3
Enelpaqueten3tenemosunmensajetambindemensajederespuestadeinformacindeestado.Se
informaqueelINVITEfuerecibidoporlaotraparte.DigamosqueseestRinnging(llamando)yseesperaa
queatiendalallamada:
.
Vemosqueenlospaquetes2y3,enelcampoTo,hayunTag=298852044quenoestabaenelpaqueten1.Es
elmismoeidentificaalasesin.
===========================
Bien,annosquedanalgunospaquetesmsporver.Loveremosenlasiguienteyltimaparte.Ahoravamosaver
comoconWiresharkpodemosextraerlainformacindeaudioyotrosdatosdelacaptura.
ExtraccindelaudioconWireshark.
Siestablecemoscomofiltroelprotocolortp,veremossololospaquetescorrespondientesadichoprotocolo.Ya
hemosvistomsarribaparaquesirveRTP.
Observamosunodeestospaquetes(loveremosconmsprofuncidadmsadelante):
https://seguridadyredes.wordpress.com/2010/04/05/wiresharkcapturaconversacionesvoipprotocolosipsdpyrtpextracciondeaudio/
5/11
21/12/2015
Wireshark.CapturaconversacionesVoIP.ProtocoloSIP,SDPyRTP.Extraccindeaudio.|SeguridadyRedes
VemosenelcampoPayloadTypeotipodecargaquesetratadedeITUTG.711PCMA(8),esdecirusael
cdecaudioG.711,estandarizadoporITU(InternationalTelecom.Union).Frecuenciademuestreo8KHzyusa
paracomprimir/descomprimirPCMA.
NossituamossobreestepaqueteyenelmenTelephony>VoIPCalls,nosapareceunaventana:
Setratadeunalistadelasllamadasincluidasenlacaptura.Tenemosunaseriedecolumnasconinformacin
decadallamada:
StartTime.Marcadetiempoeniniciodelallamada.
StopTime.Marcadetiempodeindedellamada.
InitialSpeaker.DireccinIPdelqueinicialallamada.
From.CampoFromdelquerealizalapeticinINVITE.
To.CampoTodelapeticinINVITE.
Protocol.Protocolousado.(SIPennuestrocaso)
Packets.Nmerodepaquetescorrespondientesalallamada.
State.Estadodelallamada.EnnustrecasotenemosINCALL(llamadaencurso)yCALLSETUP(llamada
enestadodeprocesoosetup.EnestecasotrmitesdeINVITE,etc.)
Comments.Comentarios.
NossituamosenelsegudoitemcorrespondientealCALLSETUPypulsamosGraph:
https://seguridadyredes.wordpress.com/2010/04/05/wiresharkcapturaconversacionesvoipprotocolosipsdpyrtpextracciondeaudio/
6/11
21/12/2015
Wireshark.CapturaconversacionesVoIP.ProtocoloSIP,SDPyRTP.Extraccindeaudio.|SeguridadyRedes
Aqu,comoveis,tenemosunanlisisgrficodelaconversacinmantenidaentrequienrealizalapeticin
INVITEylasdosrespuestascorrespondentesalospaquetes1y2queyahemosvisto.
SihacemoslomismoconelprimerItemcorrespondientealINCALL,vereis,apartedelospaquetes1,2y3,la
conversacinRTPdetransportedelaudiodelaconversacin.Esesteitremelquenosinteresa.
CerramoslaventenadeanlisisgrficoysobrelaventanaVoIPCalls,pulsamoselbotnPlayerenelItem
1.SobrelaventanaquenosaparecepulsamosDecodeyobtenemos:
Tenemosdospistasdeaudiosquecorerspondenacadaunodelosusuariosinvolucradosenla
conversacin.SimarcamosunapistaunoypulsamosPlayoiremoselaudiodelaconversacin.Pulsando
ambaspistasescucharemostodalaconversacin.
====
Hastaaquporhoy.EnelprximocapituloveremoslospaquetesRTPenprofundidadyotrospaquetesSIPcomo
REGISTER.
Acerca de estos anuncios
YouMayLike
1.
Stop
playinghideandseekwithyour
networksecurity.2weeksago
media.ibm.comIBMIBM.com
Tuvoto:
https://seguridadyredes.wordpress.com/2010/04/05/wiresharkcapturaconversacionesvoipprotocolosipsdpyrtpextracciondeaudio/
7/11
21/12/2015
Wireshark.CapturaconversacionesVoIP.ProtocoloSIP,SDPyRTP.Extraccindeaudio.|SeguridadyRedes
3Votes
Sharethis:
Megusta
Selprimeroendecirquetegusta.
Relacionado
Tshark,Wiresharkenlneadecomandos.(VI
Parte.)Avanzandoenfiltros,Estadsticas,
COUNT,SUM,MIN,MAXyAVG.
En"Seguridadyredes"
Snort.SecurityOnionLive.SGUIL,Squerty
Suricata.Analizandounaalerta.Uncasoreal.
ParteII
En"SecurityOnion"
Wireshark.Extraccinficherosbinariosy
ObjetosHTTP.
En"Seguridadyredes"
EstaentradafuepublicadaenSeguridadyredes,VoIP,Wireshark.Tshark.Guardaelenlacepermanente.
17respuestasaWireshark.CapturaconversacionesVoIP.ProtocoloSIP,SDPyRTP.Extraccin
deaudio.
Bobdijo:
16abril,2010en6:37pm
HolaAlfon,Muybuenosarticulos.Tecomentoqueadministrounaredwificoncercade40usuarios.Laredseusa
fundamentalmentepararecopilarinformaciondetipometereologicoyelproblemaquepresentoesquelamismaacadarato
colapsapuesalgunosusuariosindisciplinadoslausanparacopiarficherosdeaudioyvideo.Herealizadovariascapturascon
wiresharkymeinteresariapoderdetectarquienyquecopiaenlared,parapoderevitarlacaidadelamisma.Simepudieras
orientarqueprotocolodebofiltrar,puertos,etc,teloagradeceriamucho.
muchasgracias.
Responder
Alfondijo:
21mayo,2010en5:20pm
Bob,intentarrealizarunareseaoartculosobreestetema.
Responder
DannyCaceresdijo:
22mayo,2010en8:16pm
quetal..muybuenainformacion..unapregunta..funcionadelamismamaneraenredesipv6???..saludos
Responder
AnibalBaenadijo:
20julio,2010en5:36pm
Muchasgracias,esunaherramientabuensima
Responder
https://seguridadyredes.wordpress.com/2010/04/05/wiresharkcapturaconversacionesvoipprotocolosipsdpyrtpextracciondeaudio/
8/11
21/12/2015
Wireshark.CapturaconversacionesVoIP.ProtocoloSIP,SDPyRTP.Extraccindeaudio.|SeguridadyRedes
ZaPadijo:
5agosto,2010en2:18pm
HolaBob.
Necesitasimplementarcalidaddeservicio(QoS)entured,paralimitarlavelocidadmximadebajada/subidaenturedlocal,
yaquesinolohaces,pasarloqueteestapasando,cuandounusuariopasecualquierfichero,llegaralavelocidadmxima
delbackboneytendrspinesaltos,conloquelaredirlenta.
Unsaludo.
Responder
JuanCarlosdijo:
14agosto,2010en1:53am
Holaamigos,realmenteesteblogdeSeguridadyRedesesespectacular,realmenteamigoteagradescoporeseaporteque
hacesalagentequeyatieneunconocimientoavanzadoyaotrosquetienenbsicocomoyo,quetoyempezandomitesisen
SeguridadInformtica.
realmenteestoymuyagradecidoyesperoquecoloquesmssobreseguridad.
saludosyxitos.
Responder
LauraRozodijo:
26septiembre,2010en9:10pm
Hola!,excelenteartculo,muchasgracias,mesirvimucho
Responder
Alfon.dijo:
30septiembre,2010en7:51am
Laura,muchasgraciasportucomentarioyporleerme.GraciastambinatJ.Carlos.
Responder
Ederdijo:
25octubre,2010en4:14pm
Yasacasteelprximocapitulo???
Siesascomoloencuentro??
meseriademuchaayuda
Responder
Alfondijo:
25octubre,2010en4:46pm
Elder,tengoenborradorelartculoamediohacerdesdehacemeses.Aversilotermino.
Responder
https://seguridadyredes.wordpress.com/2010/04/05/wiresharkcapturaconversacionesvoipprotocolosipsdpyrtpextracciondeaudio/
9/11
21/12/2015
Wireshark.CapturaconversacionesVoIP.ProtocoloSIP,SDPyRTP.Extraccindeaudio.|SeguridadyRedes
patriceBertindijo:
1diciembre,2010en2:57pm
MuchasgraciasAlfon.Meayudomuchotuartculoparapasardelateriaalapractica.
Unsaludo.
patrice
Responder
MarcoMendozadijo:
5diciembre,2010en8:19pm
Holaquetal,milgracias,elartculoesdemuchaayuda,lousocomoreferenciaeneltrabajo,yaquenuestratelefonasebasa
enprotocoloSIPyhemostenidoincidenciasdefallasdetelefona,sinembargosloelproveedorinterpretalosresultados,
hastahacepoconosintegramosalatareayconestedocumentosmeapoyopararealizarmisanlisis.Slounapregunta
Cmosepuedeinterpretarlacapturaenelsiguienteescenario?UsamosunservidorcontarjetasDialogicporloquela
tarjetatieneunaIPindependienteyelservidortambin.Cuandoseestableceundilogoentreelequipodelagente(unaPC
consoftphone)yelservidor,enlasgrficasmepareceenelextremoizquierdolaIPdelservidordondeestinstaladaesta
tarjeta,enelextremoderecholaIPdelatarjetaDialogic,peroenmedioapareceladireccinIPdelequipodeagenteque
recibelallamadaconelsoftphoneCmoseinterpretaraelflujodedilogo?Loquequierosaberesquienmandalasealde
colgado,lasealquevienedelPSTNsobreelE1,elservidorSIPolatarjetaDialogic.Cuandoelagentelaenvameimagino
queestmsqueclaro.
Responder
MartinAlejandroGuzmandijo:
22octubre,2013en6:09pm
LoquetenesquebuscarenelFlowdelaconversacioneselbye,yaquedesdetugatewayopbxalpuestovaporsip,
ahivasasaberquiencorto(recordaqueenelFlowaparececonunaflechaelsentidodelospaquetes)
Responder
Franciscodijo:
31enero,2011en4:37pm
Hola,loprimerofelicitarteporelblogyelartculo.TengoquehaceruntrabajosobreAsterixoVentrilokesparamacyme
gustariacomplementarlomostrandolosprotocolosqueusan,comoSIPoRTPperocuandomeconectoalservidorde
ventriloohabloconmicompaero,wiresharknodetectaningunodelosdosprotocolos,solotcpybsdcreorecordar,pero
esonomesirvecomopodriasolucionarlo??Muchasgraciasdeantemano
Responder
jordidijo:
17abril,2011en1:50pm
Muytil!graciasporcompartirlo
Responder
Alfondijo:
18abril,2011en7:42am
Francisco,
Envameunacaptura.Escrbeme,ylovemos.
https://seguridadyredes.wordpress.com/2010/04/05/wiresharkcapturaconversacionesvoipprotocolosipsdpyrtpextracciondeaudio/
10/11
21/12/2015
Wireshark.CapturaconversacionesVoIP.ProtocoloSIP,SDPyRTP.Extraccindeaudio.|SeguridadyRedes
Responder
Emersondijo:
15marzo,2012en5:30pm
ohhamigo,muyinteresante..peronopudooirelaudiodelaconversa,ytengolaversion1.6:S
gracias^^
Responder
SeguridadyRedes
EltemaTwentyTen.
FuncionaconWordPress.
https://seguridadyredes.wordpress.com/2010/04/05/wiresharkcapturaconversacionesvoipprotocolosipsdpyrtpextracciondeaudio/
11/11