怎么从Wireshark过滤出单个VoLTE用户呼叫和媒体流

Posted 2023-03-19

参考技术A

直接说步骤：

1）从51学通信下载带RTP媒体流的PCAP抓包。地址：

http://51xuetongxin.com/doc/rtp.pcap

2）选中#131号报文，鼠标点右键，选“decode as"，解码为RTP协议。如果已经解码为RTP，则步骤跳过。

（因为wireshark无法根据udp端口号识别rtp协议，需人工解码为RTP）。

3）选择菜单Telephony---VoIP Calls，就能看到检测到的2个VoIP呼叫。可通过Initial Speaker的IP地址、From和To头域的值来判断是哪个用户的呼叫。这里我们选择其中一个VoIP呼叫，如下图所示：

4）点击左下角的”prepare filter"按钮，如下图所示：

在本步骤中，也可以点Flow按钮，可以得到该呼叫的流程图，如下图所示：

5）回到wireshark主界面，发现filter栏的过滤表达式已经自动生成了，这时候点“apply”。就得到了和Flow按钮画出来的流程图一致的11个报文。如下图所示：

我们把这一步的过滤表达式复制下来，本例是：

(frame.number == 63 or frame.number == 64 or frame.number == 65 or frame.number == 68 or frame.number == 69 or frame.number == 74 or frame.number == 135 or frame.number == 138 or frame.number == 164 or frame.number == 2544 or frame.number == 2547)

6）把第5）步中的RTP媒体流的Synchronization Source identifier (ssrc) 值记录下来，本例中是#138号报文，SSRC=0x854f4e36。实际环境中，该呼叫（call）可能有多个RTP流的SSRC，都记录下来（用笔或者记事本）。假设有ssrc1、ssrc2.

如下图所示：

7）用下面的过滤表达式来做一个完整的过滤，大功告成。

(frame.number == 63 or frame.number == 64 or frame.number == 65 or frame.number == 68 or frame.number == 69 or frame.number == 74 or frame.number == 135 or frame.number == 138 or frame.number == 164 or frame.number == 2544 or frame.number == 2547) or rtcp.senderssrc==[ssrcvalue1] or rtcp.senderssrc==[ssrcvalue2] or rtp.ssrc==[ssrcvalue1] or rtp.ssrc==[ssrcvalue2]。

8）将该用户的抓包导出（可选）。

File---Export---File---Displayed（即只保存显示的过滤后的抓包）。

wireshark怎么过滤端口

方法/步骤
过滤源ip、目的ip。在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包，ip.dst==192.168.101.8；查找源地址为ip.src==1.1.1.1；
端口过滤。如过滤80端口，在Filter中输入，tcp.port==80，这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的，tcp.srcport==80只过滤源端口为80的包；
协议过滤比较简单，直接在Filter框中直接输入协议名即可，如过滤HTTP的协议；
http模式过滤。如过滤get包，http.request.method=="GET",过滤post包，http.request.method=="POST"；
5
连接符and的使用。过滤两种条件时，使用and连接，如过滤ip为192.168.101.8并且为http协议的，ip.src==192.168.101.8
and
http。 参考技术A 你是捕获的时候过滤吗？在开始的对话框里输入，用tcpdump的规则，wireshark的文档里有。
如果是显示的时候过滤，可以用向导的，用的是wireshark自己的过滤规则