Beruflich Dokumente
Kultur Dokumente
| Seguridad y Redes
Seguridad y Redes
Pgina personal de Alfon.
Wireshark. Captura conversaciones VoIP. Protocolo SIP, SDP y RTP. Extraccin de audio.
Publicado el 5 abril, 2010
Es posible, tratndose de instalaciones VoIP no seguras, la captura de paquetes VoIP (emisin de voz en paquetes IP) y la extraccin de conversaciones
contenidas en este tipo de conexiones.
En este artculo vamos a usar una captura .pcap conteniendo una conversacin usando el protocolo SIP (Session Initiation Protocol), un protocolo de
sealizacin, similar a HTML y SMTP, encargado de la localizacin usuarios, parmetros, modificaciones e iniciar o finalizar una sesin. Los datos de audio sern
transportados mediante el protocolo de transporte RTP (Real Time Transport Protocol) usando UDP. SIP encapsula otro protocolo: SDP, que es el encargado de
la negociacin de las capacidades de los participantes, tipo de codificacin usados y otros aspectos.
Usaremos, como siempre, Wireshark para analizar la captura .pcap e ilustrar todos los aspectos comentados de SIP, SDP y RTP, adems de la extraccin del
audio de las conversaciones.
https://seguridadyredes.wordpress.com/2010/04/05/wireshark-capnversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/
Pgina 1 de 11
Wireshark. Captura conversaciones VoIP. Protocolo SIP, SDP y RTP. Extraccin de audio. | Seguridad y Redes
usuario@dominio
SIP contiene una serie de componentes.:
INVITE. Tipo Request. Para establecer una sesin entre agentes de usuario. contiene informacin sobreu
suario origen y destino y tipo de datos (audio, video). contiene mucha ms informacin. Lo veremos en las
capturas Wireshark.
ACK. Para la confirmacin de un establecimiento de sesin. Un mensaje ACK puede ser, como vemos ms
abajo, un cdigo 200 Ok de xito.
OPTION. Un Request o solicitud de informacin de capacidades
BYE. Se usa para la liberacin o terminacin de una sesin establecida. BYE puede ser emitido tanto por el
usuario que genera una llamada o el que la recibe.
CANCEL. Cancela una peticin pendiente sin influir en la sesin o llamada establecida y acpetada.
REGISTER. Es usado por un user agente o agente usuario para el registro de direccin SIP e IP o direccin
de contacto. Relacionado con la ubicacin de los usuarios.
De igual forma tenemos una serie de cdigos correspondientes a las repsuestas a los mensajes SIP:
1xx. Mensajes de informacin. Provisionales (100 Trying)
2xx. Respuesta de Exito. Se recibi el requerimento y es acpetado. (200 Ok)
3xx. Respuesta de redireccin. Se requiere de otros procesamientos antes de determinar si es posible la
llamada. (302 Moved Temporaly) o (305 Utiliza Proxy).
4xx. Respuesta de fallo en peticin o fallo del cliente. (404 Not Found)
5xx. Respesta de fallos en servidor a pesar de tratarse de un requerimiento valido. (504 Server Time-out) o
(503 Servicio no disponible)
6xx. Respuesta de fallos globales. (603 Decline)
El protocolo RTP.
Una vez establecida la sesin, los datos en tiempo real de voz y/o udio se realiza usando el protocolo RTP.
RTP viaja sobre UDP para obtener mayor velocidad (estamos hablando de un protocolo para tiempo real).
Eso s, perdemos la fiabilidad que si tiene TCP.
Se encarga de los nmeros de secuencia, marcas de tiempo y origen de los datos y llegada de estos. Provee
informacin para la deteccin de paquetes perdidos.
https://seguridadyredes.wordpress.com/2010/04/05/wireshark-capnversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/
Pgina 2 de 11
Wireshark. Captura conversaciones VoIP. Protocolo SIP, SDP y RTP. Extraccin de audio. | Seguridad y Redes
Paquete n1
El paquete nmero uno corresponde a un mensaje SIP de tipo Request, concretamente INVITE que, como
ya hemos visto, se refiere al establecimiento de llamada o sesin.
Sealado en un recuadro rojo tenemos el Request-Line o tipo de mensaje. Tipo de mensaje INVITE.
Mensaje SIP dirigido a francisco@bestel.com. Vemos tambin la versin SIP que es SIP/2.0. El puerto de
destino es 55060.
Ahora tenemos el Message Header o cabecera que contiene:
Via. Campo que usado para el registro de ruta.De esta forma la respuesta al seguir el mismo camino que el
https://seguridadyredes.wordpress.com/2010/04/05/wireshark-capnversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/
Pgina 3 de 11
Wireshark. Captura conversaciones VoIP. Protocolo SIP, SDP y RTP. Extraccin de audio. | Seguridad y Redes
Request o peticin INVITE. Contiene tambin en trasporte usado (SIP/UDP) y el branch o identificacin
de la transaccin.
From. Cliente que realiza la llamada o peticin.
To. Cliente al que se realiza la peticin.
Call-ID. Identificador nicio de la sesin. Identifica a los mensajes que corresponden a la misma llamada.
C-Seq. Nmero de secuencia.
Contact. URI SIP Contact address. Contiene la IP y puerto donde el realiza la peticin INVITE espera
recibir resupesta.
Message Body o cuerpo del mensaje contiene el Session Description Protocol SDP con los
siguientes campos:
Versin de Session Description Protocol. SDP. En este caso 0
Propietario/Creador de la sesin o Owner/Creator. Se trata de una identificacin formada por:
Owner username. Usuario.
Session ID. ID de la sesion. Nmero aleatorio como identificador nico de la sesion.
Session Version. Versin.
Network Type. Tipe de red. Siempre IN.
Address Type. Tipo de direccin. Puede ser IP4 (IPv4) o IP6 (IPv6).
Address (IP). Direccin IP. (200.57.7.197)
Session Name. Nombre de la sesin.
Connection Information. Informacin sobre la coneccin. Contiene informacin ya contenida en los
campos anteriores como:
c= Conection Network Type: (IN)
Connection Address Type: (IP4 o IPv4)
Connection Address: (200.57.7.197)
Time Description, active time. Aqu se indica el inicio y final de la sesin. En este caso tenemos (t): 0 0,
es decitstart time= o y stop time = 0. Significa sesin no limitada y permanente.
Media Description, name and address (m): audio 40376 RTP/AVP 8 18 4 0. Aqu tenenemos
informacin sobre el tipo de datos que se transporta (audio o sesin telefnica en este caso), el puerto UDP
usado (40376), el protocolo usado (RTP Real Time Transport Protocol /AVP Audio video Profiles). Y por
ltimo, los formatos de codecs:
8 G.711 PCMA
18 G.729
4 G.723
0 G.711 PCMU
Media Attribute (a). Se trata de una lista de los formato de codes reseados ms arriba con informacin
de Sample rate o frecuencia de muestreo, Fieldname, etc.
Media Attribute (a). SendRecv. Modo envio/recepcin.
Paquete n2
https://seguridadyredes.wordpress.com/2010/04/05/wireshark-capnversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/
Pgina 4 de 11
Wireshark. Captura conversaciones VoIP. Protocolo SIP, SDP y RTP. Extraccin de audio. | Seguridad y Redes
.
Vemos que en los paquetes 2 y 3, en el campo To, hay un Tag=298852044 que no estaba en el paquete n 1.
Es el mismo e identifica a la sesin.
===========================
Bien, an nos quedan algunos paquetes ms por ver. Lo veremos en la siguiente y ltima parte. Ahora vamos a
ver como con Wireshark podemos extraer la informacin de audio y otros datos de la captura.
Pgina 5 de 11
Wireshark. Captura conversaciones VoIP. Protocolo SIP, SDP y RTP. Extraccin de audio. | Seguridad y Redes
Vemos en el campo Payload Type o tipo de carga que se trata de de ITU-T G.711 PCMA (8), es decir usa el
cdec audio G.711, estandarizado por ITU (International Telecom. Union). Frecuencia de muestreo 8KHz y usa
para comprimir/descomprimir PCMA.
Nos situamos sobre este paquete y en el men Telephony > VoIP Calls, nos aparece una ventana:
Se trata de una lista de las llamadas incluidas en la captura. Tenemos una serie de columnas con
informacin de cada llamada:
Start Time. Marca de tiempo en inicio de la llamada.
Stop Time. Marca de tiempo de inde de llamada.
Initial Speaker. Direccin IP del que inicia la llamada.
From. Campo From del que realiza la peticin INVITE.
To. Campo To de la peticin INVITE.
Protocol. Protocolo usado. (SIP en nuestro caso)
Packets. Nmero de paquetes correspondientes a la llamada.
State. Estado de la llamada. En nustre caso tenemos IN CALL (llamada en curso) y CALL SETUP (llamada
en estado de proceso o setup. En este caso trmites de INVITE, etc.)
Comments. Comentarios.
https://seguridadyredes.wordpress.com/2010/04/05/wireshark-capnversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/
Pgina 6 de 11
Wireshark. Captura conversaciones VoIP. Protocolo SIP, SDP y RTP. Extraccin de audio. | Seguridad y Redes
Aqu, como veis, tenemos un anlisis grfico de la conversacin mantenida entre quien realiza la peticin
INVITE y las dos respuestas correspondentes a los paquetes 1 y 2 que ya hemos visto.
Si hacemos lo mismo con el primer Item correspondiente al IN CALL, vereis, a parte de los paquetes 1,2 y3 , la
conversacin RTP de transporte del audio de la conversacin. Es este itrem el que nos interesa.
Cerramos la ventena de anlisis grfico y sobre la ventana VoIP Calls, pulsamos el botn Player en el
Item 1. Sobre la ventana que nos aparece pulsamos Decode y obtenemos:
Tenemos dos pistas de audios que corersponden a cada uno de los usuarios involucrados en la
conversacin. Si marcamos una pista uno y pulsamos Play oiremos el audio de la conversacin. Pulsando
ambas pistas escucharemos toda la conversacin.
====
Hasta aqu por hoy. En el prximo capitulo veremos los paquetes RTP en profundidad y otros paquetes SIP
como REGISTER.
About these ads
1.
Child Star
Syndrome 2 months ago learni.st
Learni.st Learni.st (sponsored)
2.
https://seguridadyredes.wordpress.com/2010/04/05/wireshark-capnversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/
Pgina 7 de 11
Wireshark. Captura conversaciones VoIP. Protocolo SIP, SDP y RTP. Extraccin de audio. | Seguridad y Redes
Tu voto:
3 Votes
Share this:
Me gusta
S el primero en decir que te gusta.
Relacionado
Esta entrada fue publicada en Seguridad y redes, VoIP, Wireshark . Tshark. Guarda el enlace permanente.
17 respuestas a Wireshark. Captura conversaciones VoIP. Protocolo SIP, SDP y RTP. Extraccin
de audio.
Bob dijo:
16 abril, 2010 en 6:37 pm
Hola Alfon, Muy buenos articulos. Te comento que administro una red wifi con cerca de 40 usuarios. La red se usa
fundamentalmente para recopilar informacion de tipo metereologico y el problema que presento es que la misma a cada rato
colapsa pues algunos usuarios indisciplinados la usan para copiar ficheros de audio y video. He realizado varias capturas con
wireshark y me interesaria poder detectar quien y que copia en la red, para poder evitar la caida de la misma. Si me pudieras
orientar que protocolo debo filtrar, puertos, etc, te lo agradeceria mucho.
muchas gracias.
Responder
Alfon dijo:
21 mayo, 2010 en 5:20 pm
que tal.. muy buena informacion.. una pregunta.. funciona de la misma manera en redes ipv6???.. saludos
Responder
https://seguridadyredes.wordpress.com/2010/04/05/wireshark-capnversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/
Pgina 8 de 11
Wireshark. Captura conversaciones VoIP. Protocolo SIP, SDP y RTP. Extraccin de audio. | Seguridad y Redes
ZaPa dijo:
5 agosto, 2010 en 2:18 pm
Hola Bob.
Necesitas implementar calidad de servicio (QoS) en tu red, para limitar la velocidad mxima de bajada/subida en tu red local,
ya que si no lo haces, pasar lo que te esta pasando, cuando un usuario pase cualquier fichero, llegar a la velocidad mxima
del backbone y tendrs pines altos, con lo que la red ir lenta.
Un saludo.
Responder
Hola amigos, realmente este blog de Seguridad y Redes es espectacular, realmente amigo te agradesco por ese aporte que
haces a la gente que ya tiene un conocimiento avanzado y a otros que tienen bsico como yo, que toy empezando mi tesis en
Seguridad Informtica.
realmente estoy muy agradecido y espero que coloques ms sobre seguridad.
saludos y xitos.
Responder
Alfon. dijo:
30 septiembre, 2010 en 7:51 am
Laura, muchas gracias por tu comentario y por leerme. Gracias tambin a t J. Carlos.
Responder
Eder dijo:
25 octubre, 2010 en 4:14 pm
Alfon dijo:
25 octubre, 2010 en 4:46 pm
Elder, tengo en borrador el artculo a medio hacer desde hace meses. A ver si lo termino.
https://seguridadyredes.wordpress.com/2010/04/05/wireshark-capnversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/
Pgina 9 de 11
Wireshark. Captura conversaciones VoIP. Protocolo SIP, SDP y RTP. Extraccin de audio. | Seguridad y Redes
Responder
Muchas gracias Alfon. Me ayudo mucho tu artculo para pasar de la teria a la practica.
Un saludo.
patrice
Responder
Hola que tal, mil gracias, el artculo es de mucha ayuda, lo uso como referencia en el trabajo, ya que nuestra telefona se basa
en protocolo SIP y hemos tenido incidencias de fallas de telefona, sin embargo slo el proveedor interpreta los resultados,
hasta hace poco nos integramos a la tarea y con este documentos me apoyo para realizar mis anlisis. Slo una pregunta
Cmo se puede interpretar la captura en el siguiente escenario? Usamos un servidor con tarjetas Dialogic por lo que la
tarjeta tiene una IP independiente y el servidor tambin. Cuando se establece un dilogo entre el equipo del agente (una PC
con softphone) y el servidor, en las grficas me parece en el extremo izquierdo la IP del servidor donde est instalada esta
tarjeta, en el extremo derecho la IP de la tarjeta Dialogic, pero en medio aparece la direccin IP del equipo de agente que
recibe la llamada con el softphone Cmo se interpretara el flujo de dilogo? Lo que quiero saber es quien manda la seal de
colgado, la seal que viene del PSTN sobre el E1, el servidor SIP o la tarjeta Dialogic. Cuando el agente la enva me imagino
que est ms que claro.
Responder
Lo que tenes que buscar en el Flow de la conversacion es el bye, ya que desde tu gateway o pbx al puesto va por sip,
ahi vas a saber quien corto (recorda que en el Flow aparece con una flecha el sentido de los paquetes)
Responder
Francisco dijo:
31 enero, 2011 en 4:37 pm
Hola, lo primero felicitarte por el blog y el artculo. Tengo que hacer un trabajo sobre Asterix o Ventrilo k es para mac y me
gustaria complementarlo mostrando los protocolos que usan, como SIP o RTP pero cuando me conecto al servidor de
ventrilo o hablo con mi compaero, wireshark no detecta ninguno de los dos protocolos, solo tcp y bsd creo recordar, pero
esono me sirve como podria solucionarlo?? Muchas gracias de antemano
Responder
jordi dijo:
17 abril, 2011 en 1:50 pm
Alfon dijo:
https://seguridadyredes.wordpress.com/2010/04/05/wireshark-capversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/
Pgina 10 de 11
Wireshark. Captura conversaciones VoIP. Protocolo SIP, SDP y RTP. Extraccin de audio. | Seguridad y Redes
Francisco,
Envame una captura. Escrbeme, y lo vemos.
Responder
Emerson dijo:
15 marzo, 2012 en 5:30 pm
ohh amigo, muy interesante.. pero no pudo oir el audio de la conversa, y tengo la version 1.6 :S
gracias ^^
Responder
Seguridad y Redes
El tema Twenty Ten.
https://seguridadyredes.wordpress.com/2010/04/05/wireshark-capversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/
Pgina 11 de 11