Wireshark. Captura conversaciones VoIP. Protocolo SIP, SDP y RTP. Extraccin de audio.

| Seguridad y Redes

15/01/15 10:39 p.m.

Seguridad y Redes
Pgina personal de Alfon.

Wireshark. Captura conversaciones VoIP. Protocolo SIP, SDP y RTP. Extraccin de audio.
Publicado el 5 abril, 2010

Es posible, tratndose de instalaciones VoIP no seguras, la captura de paquetes VoIP (emisin de voz en paquetes IP) y la extraccin de conversaciones
contenidas en este tipo de conexiones.

En este artculo vamos a usar una captura .pcap conteniendo una conversacin usando el protocolo SIP (Session Initiation Protocol), un protocolo de
sealizacin, similar a HTML y SMTP, encargado de la localizacin usuarios, parmetros, modificaciones e iniciar o finalizar una sesin. Los datos de audio sern
transportados mediante el protocolo de transporte RTP (Real Time Transport Protocol) usando UDP. SIP encapsula otro protocolo: SDP, que es el encargado de
la negociacin de las capacidades de los participantes, tipo de codificacin usados y otros aspectos.

Usaremos, como siempre, Wireshark para analizar la captura .pcap e ilustrar todos los aspectos comentados de SIP, SDP y RTP, adems de la extraccin del
audio de las conversaciones.

Breve introduccin a SIP, SDP y RTP.

Vamos a ver una breve descripcin de SIP, SDP y RTP para la mejor compresin de los datos de las capturas.
SIP (Session Initiation Protocol), como hemos comentado, es un protocolo que provee mecanismos para la
creacin, modificacin y finalizacin se sesiones, en esta caso VoIp. SIP funciona en combinacin con SDP
que es el encargado de la negociacin de capacidades multimedia de los participantes
involucrados, ancho de banda, negociacin de los codecs, etc.
Al ser SIP un protocolo solo de sealizacin, solo entiende del establecimiento, control y la terminacin de
las sesiones.
Es un protocolo simple, escalable y se integra con facilidad en otros protocolos. SIP puede funcionar sobre
UDP o TCP, aunque para VoIP se usar sobre UDP. Una vez establecida la sesin, los clientes
intercambian directamente los contenidos multimedia de audio y/o video a travs de, en este caso, RTP (RealTime Transport Protocol).
SIP tiene una estructura parecida a HTML y SMTP. Esto lo vemos, por ejemplo, en que los clientes
involucrados en una conexin tiene direcciones del tipo:

https://seguridadyredes.wordpress.com/2010/04/05/wireshark-capnversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/

Pgina 1 de 11

Wireshark. Captura conversaciones VoIP. Protocolo SIP, SDP y RTP. Extraccin de audio. | Seguridad y Redes

15/01/15 10:39 p.m.

usuario@dominio
SIP contiene una serie de componentes.:

Agente de Usuario. (user agent client y user agent server)

Agente de Redirecciones
Servidor Proxy
Servidor de Registro.
Servidor de Localizacin.
Dentro de las cabeceras SIP, podemos encontrar una serie de mensajes SIP para las sesiones. Estn en
formato ASCII.
Los mensajes ms comunes son:

INVITE. Tipo Request. Para establecer una sesin entre agentes de usuario. contiene informacin sobreu
suario origen y destino y tipo de datos (audio, video). contiene mucha ms informacin. Lo veremos en las
capturas Wireshark.
ACK. Para la confirmacin de un establecimiento de sesin. Un mensaje ACK puede ser, como vemos ms
abajo, un cdigo 200 Ok de xito.
OPTION. Un Request o solicitud de informacin de capacidades
BYE. Se usa para la liberacin o terminacin de una sesin establecida. BYE puede ser emitido tanto por el
usuario que genera una llamada o el que la recibe.
CANCEL. Cancela una peticin pendiente sin influir en la sesin o llamada establecida y acpetada.
REGISTER. Es usado por un user agente o agente usuario para el registro de direccin SIP e IP o direccin
de contacto. Relacionado con la ubicacin de los usuarios.
De igual forma tenemos una serie de cdigos correspondientes a las repsuestas a los mensajes SIP:
1xx. Mensajes de informacin. Provisionales (100 Trying)
2xx. Respuesta de Exito. Se recibi el requerimento y es acpetado. (200 Ok)
3xx. Respuesta de redireccin. Se requiere de otros procesamientos antes de determinar si es posible la
llamada. (302 Moved Temporaly) o (305 Utiliza Proxy).
4xx. Respuesta de fallo en peticin o fallo del cliente. (404 Not Found)
5xx. Respesta de fallos en servidor a pesar de tratarse de un requerimiento valido. (504 Server Time-out) o
(503 Servicio no disponible)
6xx. Respuesta de fallos globales. (603 Decline)
El protocolo RTP.

Una vez establecida la sesin, los datos en tiempo real de voz y/o udio se realiza usando el protocolo RTP.
RTP viaja sobre UDP para obtener mayor velocidad (estamos hablando de un protocolo para tiempo real).
Eso s, perdemos la fiabilidad que si tiene TCP.
Se encarga de los nmeros de secuencia, marcas de tiempo y origen de los datos y llegada de estos. Provee
informacin para la deteccin de paquetes perdidos.
https://seguridadyredes.wordpress.com/2010/04/05/wireshark-capnversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/

Pgina 2 de 11

Wireshark. Captura conversaciones VoIP. Protocolo SIP, SDP y RTP. Extraccin de audio. | Seguridad y Redes

15/01/15 10:39 p.m.

La cabecera RTP indica al receptor como reconstruir los datos y

describe como se han codificado el flujo de bits.
No garantiza el envio ni orden de los paquetes ni calidad del servicio. Est encapsulado en UDP.
Contiene informacin del tipo de carga til Payload y compresin de los datos, ed decir, codecs de
audio/video.

Analizando los paquetes.

Biuen, vamos ahora a abrir el archivo .pcap de captura de una sesin conversacin VoIP y analizar los paquetes
SIP / SDP y RTP.
NOTA: Esta captura la he obtenido de un repositorio pblico de ficheros .pcap

Paquete n1

El paquete nmero uno corresponde a un mensaje SIP de tipo Request, concretamente INVITE que, como
ya hemos visto, se refiere al establecimiento de llamada o sesin.

Sealado en un recuadro rojo tenemos el Request-Line o tipo de mensaje. Tipo de mensaje INVITE.
Mensaje SIP dirigido a francisco@bestel.com. Vemos tambin la versin SIP que es SIP/2.0. El puerto de
destino es 55060.
Ahora tenemos el Message Header o cabecera que contiene:
Via. Campo que usado para el registro de ruta.De esta forma la respuesta al seguir el mismo camino que el

https://seguridadyredes.wordpress.com/2010/04/05/wireshark-capnversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/

Pgina 3 de 11

Wireshark. Captura conversaciones VoIP. Protocolo SIP, SDP y RTP. Extraccin de audio. | Seguridad y Redes

15/01/15 10:39 p.m.

Request o peticin INVITE. Contiene tambin en trasporte usado (SIP/UDP) y el branch o identificacin
de la transaccin.
From. Cliente que realiza la llamada o peticin.
To. Cliente al que se realiza la peticin.
Call-ID. Identificador nicio de la sesin. Identifica a los mensajes que corresponden a la misma llamada.
C-Seq. Nmero de secuencia.
Contact. URI SIP Contact address. Contiene la IP y puerto donde el realiza la peticin INVITE espera
recibir resupesta.
Message Body o cuerpo del mensaje contiene el Session Description Protocol SDP con los
siguientes campos:
Versin de Session Description Protocol. SDP. En este caso 0
Propietario/Creador de la sesin o Owner/Creator. Se trata de una identificacin formada por:
Owner username. Usuario.
Session ID. ID de la sesion. Nmero aleatorio como identificador nico de la sesion.
Session Version. Versin.
Network Type. Tipe de red. Siempre IN.
Address Type. Tipo de direccin. Puede ser IP4 (IPv4) o IP6 (IPv6).
Address (IP). Direccin IP. (200.57.7.197)
Session Name. Nombre de la sesin.
Connection Information. Informacin sobre la coneccin. Contiene informacin ya contenida en los
campos anteriores como:
c= Conection Network Type: (IN)
Connection Address Type: (IP4 o IPv4)
Connection Address: (200.57.7.197)
Time Description, active time. Aqu se indica el inicio y final de la sesin. En este caso tenemos (t): 0 0,
es decitstart time= o y stop time = 0. Significa sesin no limitada y permanente.
Media Description, name and address (m): audio 40376 RTP/AVP 8 18 4 0. Aqu tenenemos
informacin sobre el tipo de datos que se transporta (audio o sesin telefnica en este caso), el puerto UDP
usado (40376), el protocolo usado (RTP Real Time Transport Protocol /AVP Audio video Profiles). Y por
ltimo, los formatos de codecs:
8 G.711 PCMA
18 G.729
4 G.723
0 G.711 PCMU
Media Attribute (a). Se trata de una lista de los formato de codes reseados ms arriba con informacin
de Sample rate o frecuencia de muestreo, Fieldname, etc.
Media Attribute (a). SendRecv. Modo envio/recepcin.
Paquete n2

https://seguridadyredes.wordpress.com/2010/04/05/wireshark-capnversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/

Pgina 4 de 11

Wireshark. Captura conversaciones VoIP. Protocolo SIP, SDP y RTP. Extraccin de audio. | Seguridad y Redes

15/01/15 10:39 p.m.

El paquete n 2 corresponde a un mensaje de respuesta de informacin de estado. Se informa, tal como

dice su cdigo 100, de que se est tratando la informacin:

Se observa el Status-Code: 100

En el Message Header tenemos la misma informacin que el Message Header del paquete nmero
1.
Paquete n3

En el paquete n 3 tenemos un mensaje tambin de mensaje de respuesta de informacin de estado. Se

informa que el INVITE fue recibido por la otra parte. Digamos que se est Rinnging (llamando) y se espera a
que atienda la llamada:

.
Vemos que en los paquetes 2 y 3, en el campo To, hay un Tag=298852044 que no estaba en el paquete n 1.
Es el mismo e identifica a la sesin.
===========================
Bien, an nos quedan algunos paquetes ms por ver. Lo veremos en la siguiente y ltima parte. Ahora vamos a
ver como con Wireshark podemos extraer la informacin de audio y otros datos de la captura.

Extraccin del audio con Wireshark.

Si establecemos como filtro el protocolo rtp, veremos solo los paquetes correspondientes a dicho protocolo.
Ya hemos visto ms arriba para que sirve RTP.
https://seguridadyredes.wordpress.com/2010/04/05/wireshark-capnversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/

Pgina 5 de 11

Wireshark. Captura conversaciones VoIP. Protocolo SIP, SDP y RTP. Extraccin de audio. | Seguridad y Redes

15/01/15 10:39 p.m.

Observamos uno de estos paquetes (lo veremos con ms profuncidad ms adelante):

Vemos en el campo Payload Type o tipo de carga que se trata de de ITU-T G.711 PCMA (8), es decir usa el
cdec audio G.711, estandarizado por ITU (International Telecom. Union). Frecuencia de muestreo 8KHz y usa
para comprimir/descomprimir PCMA.
Nos situamos sobre este paquete y en el men Telephony > VoIP Calls, nos aparece una ventana:

Se trata de una lista de las llamadas incluidas en la captura. Tenemos una serie de columnas con
informacin de cada llamada:
Start Time. Marca de tiempo en inicio de la llamada.
Stop Time. Marca de tiempo de inde de llamada.
Initial Speaker. Direccin IP del que inicia la llamada.
From. Campo From del que realiza la peticin INVITE.
To. Campo To de la peticin INVITE.
Protocol. Protocolo usado. (SIP en nuestro caso)
Packets. Nmero de paquetes correspondientes a la llamada.
State. Estado de la llamada. En nustre caso tenemos IN CALL (llamada en curso) y CALL SETUP (llamada
en estado de proceso o setup. En este caso trmites de INVITE, etc.)
Comments. Comentarios.
https://seguridadyredes.wordpress.com/2010/04/05/wireshark-capnversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/

Pgina 6 de 11

Wireshark. Captura conversaciones VoIP. Protocolo SIP, SDP y RTP. Extraccin de audio. | Seguridad y Redes

15/01/15 10:39 p.m.

Nos situamos en el segudo item correspondiente al CALL SETUP y pulsamos Graph:

Aqu, como veis, tenemos un anlisis grfico de la conversacin mantenida entre quien realiza la peticin
INVITE y las dos respuestas correspondentes a los paquetes 1 y 2 que ya hemos visto.
Si hacemos lo mismo con el primer Item correspondiente al IN CALL, vereis, a parte de los paquetes 1,2 y3 , la
conversacin RTP de transporte del audio de la conversacin. Es este itrem el que nos interesa.
Cerramos la ventena de anlisis grfico y sobre la ventana VoIP Calls, pulsamos el botn Player en el
Item 1. Sobre la ventana que nos aparece pulsamos Decode y obtenemos:

Tenemos dos pistas de audios que corersponden a cada uno de los usuarios involucrados en la
conversacin. Si marcamos una pista uno y pulsamos Play oiremos el audio de la conversacin. Pulsando
ambas pistas escucharemos toda la conversacin.
====
Hasta aqu por hoy. En el prximo capitulo veremos los paquetes RTP en profundidad y otros paquetes SIP
como REGISTER.
About these ads

You May Like

1.
Child Star
Syndrome 2 months ago learni.st
Learni.st Learni.st (sponsored)
2.

https://seguridadyredes.wordpress.com/2010/04/05/wireshark-capnversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/

Pgina 7 de 11

Wireshark. Captura conversaciones VoIP. Protocolo SIP, SDP y RTP. Extraccin de audio. | Seguridad y Redes

15/01/15 10:39 p.m.

Tu voto:

3 Votes
Share this:

Twitter

Facebook

Me gusta
S el primero en decir que te gusta.

Relacionado

Tshark, Wireshark en lnea de comandos. (VI

Parte.) Avanzando en filtros, Estadsticas,
COUNT, SUM, MIN, MAX y AVG.
En "Seguridad y redes"

Snort. Security Onion Live. SGUIL, Squert y

Suricata. Analizando una alerta. Un caso
real. Parte II
En "Security Onion"

Visualizacin grfica de ficheros .pcap con

AfterGlow.
En "AfterGlow."

Esta entrada fue publicada en Seguridad y redes, VoIP, Wireshark . Tshark. Guarda el enlace permanente.

17 respuestas a Wireshark. Captura conversaciones VoIP. Protocolo SIP, SDP y RTP. Extraccin
de audio.
Bob dijo:
16 abril, 2010 en 6:37 pm

Hola Alfon, Muy buenos articulos. Te comento que administro una red wifi con cerca de 40 usuarios. La red se usa
fundamentalmente para recopilar informacion de tipo metereologico y el problema que presento es que la misma a cada rato
colapsa pues algunos usuarios indisciplinados la usan para copiar ficheros de audio y video. He realizado varias capturas con
wireshark y me interesaria poder detectar quien y que copia en la red, para poder evitar la caida de la misma. Si me pudieras
orientar que protocolo debo filtrar, puertos, etc, te lo agradeceria mucho.
muchas gracias.
Responder

Alfon dijo:
21 mayo, 2010 en 5:20 pm

Bob, intentar realizar una resea o artculo sobre este tema.

Responder

Danny Caceres dijo:

22 mayo, 2010 en 8:16 pm

que tal.. muy buena informacion.. una pregunta.. funciona de la misma manera en redes ipv6???.. saludos
Responder

Anibal Baena dijo:

20 julio, 2010 en 5:36 pm

https://seguridadyredes.wordpress.com/2010/04/05/wireshark-capnversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/

Pgina 8 de 11

Wireshark. Captura conversaciones VoIP. Protocolo SIP, SDP y RTP. Extraccin de audio. | Seguridad y Redes

15/01/15 10:39 p.m.

Muchas gracias, es una herramienta buensima

Responder

ZaPa dijo:
5 agosto, 2010 en 2:18 pm

Hola Bob.
Necesitas implementar calidad de servicio (QoS) en tu red, para limitar la velocidad mxima de bajada/subida en tu red local,
ya que si no lo haces, pasar lo que te esta pasando, cuando un usuario pase cualquier fichero, llegar a la velocidad mxima
del backbone y tendrs pines altos, con lo que la red ir lenta.
Un saludo.
Responder

Juan Carlos dijo:

14 agosto, 2010 en 1:53 am

Hola amigos, realmente este blog de Seguridad y Redes es espectacular, realmente amigo te agradesco por ese aporte que
haces a la gente que ya tiene un conocimiento avanzado y a otros que tienen bsico como yo, que toy empezando mi tesis en
Seguridad Informtica.
realmente estoy muy agradecido y espero que coloques ms sobre seguridad.
saludos y xitos.
Responder

Laura Rozo dijo:

26 septiembre, 2010 en 9:10 pm

Hola!, excelente artculo, muchas gracias, me sirvi mucho

Responder

Alfon. dijo:
30 septiembre, 2010 en 7:51 am

Laura, muchas gracias por tu comentario y por leerme. Gracias tambin a t J. Carlos.
Responder

Eder dijo:
25 octubre, 2010 en 4:14 pm

Ya sacaste el prximo capitulo???

Si es as como lo encuentro??
me seria de mucha ayuda
Responder

Alfon dijo:
25 octubre, 2010 en 4:46 pm

Elder, tengo en borrador el artculo a medio hacer desde hace meses. A ver si lo termino.
https://seguridadyredes.wordpress.com/2010/04/05/wireshark-capnversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/

Pgina 9 de 11

Wireshark. Captura conversaciones VoIP. Protocolo SIP, SDP y RTP. Extraccin de audio. | Seguridad y Redes

15/01/15 10:39 p.m.

Responder

patrice Bertin dijo:

1 diciembre, 2010 en 2:57 pm

Muchas gracias Alfon. Me ayudo mucho tu artculo para pasar de la teria a la practica.
Un saludo.
patrice
Responder

Marco Mendoza dijo:

5 diciembre, 2010 en 8:19 pm

Hola que tal, mil gracias, el artculo es de mucha ayuda, lo uso como referencia en el trabajo, ya que nuestra telefona se basa
en protocolo SIP y hemos tenido incidencias de fallas de telefona, sin embargo slo el proveedor interpreta los resultados,
hasta hace poco nos integramos a la tarea y con este documentos me apoyo para realizar mis anlisis. Slo una pregunta
Cmo se puede interpretar la captura en el siguiente escenario? Usamos un servidor con tarjetas Dialogic por lo que la
tarjeta tiene una IP independiente y el servidor tambin. Cuando se establece un dilogo entre el equipo del agente (una PC
con softphone) y el servidor, en las grficas me parece en el extremo izquierdo la IP del servidor donde est instalada esta
tarjeta, en el extremo derecho la IP de la tarjeta Dialogic, pero en medio aparece la direccin IP del equipo de agente que
recibe la llamada con el softphone Cmo se interpretara el flujo de dilogo? Lo que quiero saber es quien manda la seal de
colgado, la seal que viene del PSTN sobre el E1, el servidor SIP o la tarjeta Dialogic. Cuando el agente la enva me imagino
que est ms que claro.
Responder

Martin Alejandro Guzman dijo:

22 octubre, 2013 en 6:09 pm

Lo que tenes que buscar en el Flow de la conversacion es el bye, ya que desde tu gateway o pbx al puesto va por sip,
ahi vas a saber quien corto (recorda que en el Flow aparece con una flecha el sentido de los paquetes)
Responder

Francisco dijo:
31 enero, 2011 en 4:37 pm

Hola, lo primero felicitarte por el blog y el artculo. Tengo que hacer un trabajo sobre Asterix o Ventrilo k es para mac y me
gustaria complementarlo mostrando los protocolos que usan, como SIP o RTP pero cuando me conecto al servidor de
ventrilo o hablo con mi compaero, wireshark no detecta ninguno de los dos protocolos, solo tcp y bsd creo recordar, pero
esono me sirve como podria solucionarlo?? Muchas gracias de antemano
Responder

jordi dijo:
17 abril, 2011 en 1:50 pm

Muy til ! gracias por compartirlo

Responder

Alfon dijo:
https://seguridadyredes.wordpress.com/2010/04/05/wireshark-capversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/

Pgina 10 de 11

Wireshark. Captura conversaciones VoIP. Protocolo SIP, SDP y RTP. Extraccin de audio. | Seguridad y Redes

15/01/15 10:39 p.m.

18 abril, 2011 en 7:42 am

Francisco,
Envame una captura. Escrbeme, y lo vemos.
Responder

Emerson dijo:
15 marzo, 2012 en 5:30 pm

ohh amigo, muy interesante.. pero no pudo oir el audio de la conversa, y tengo la version 1.6 :S
gracias ^^
Responder

Seguridad y Redes
El tema Twenty Ten.

Crea un blog o un sitio web gratuitos con WordPress.com.

https://seguridadyredes.wordpress.com/2010/04/05/wireshark-capversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/

Pgina 11 de 11