Wireshark Advanced. Part 1

13 сентября 2010  |  Рубрики: Wireshark

Доброго времени суток, уважаемые читатели! Хочется поделиться с Вами небольшими знаниями по работе с пакетным анализатором Wireshark, а чтобы стимулировать написание материалов я буду выделять некоторые аспекты работы с этом софтом в отдельные статьи. Естественно, что Wireshark мы будем применять для снятия различных трейсов при работе в пакетной сети оператора – PS Core Network.


Итак, допустим нам необходимо снять некоторую статистику по работе GPRS/EDGE сервиса на Gn интерфейсе (за детальной информацией по основным интерфейсам GSN элементов я отправляю читателей к статье – GPRS изнутри. Часть 3).

Я напомню, в качестве начальных условий мы имеем доступ с помощью анализатора Wireshark к Gn интерфейсу, который я описывал в статье об атаке MiTM for GPRS.

Допустим, нам необходимо, например увидеть некоторую статистику по типам APN, используемым абонентами в связке с IMSI/MSISDN номерами, которые используют эти APN‘ы. Для захвата трейса мы воспользуется консольной утилитой tshark.exe. Я не буду раскрывать все основные параметры, которые мы будем использовать в процессе снятия трейса, т.к. их полные описания можно найти по ссылке ниже.

Детально об основных параметрах консольной утилиты tshark.exe можно узнать здесь.

Для начала нам необходимо уточнить, что статистику по используемым APN мы сможем узнать лишь в сообщениях на активацию PDP Context‘ов, т.е. сообщения типа Create PDP Context request и Create PDP Context response, в которых собственно передается имя APN*. Для этого нам необходимо применить т.н. Display фильтр – gtp.message, т.к. на Gn интерфейсе мы будем анализировать GTP протокол (краткую справку о GTP протоколе можно найти в статье GPRS FAQs. Часть 1)

* – процесс активации PDP Context‘а детально рассмотрен в статье GPRS изнутри. Часть 2

При этом запросы на активацию PDP Context‘ов (Create PDP Context request) можно “отследить” с помощью указания значения gtp.message == 0x10, а ответы на эти сообщения (Create PDP Context response) – gtp.message == 0x11 в поле фильтра данный Wireshark.

Кстати, этот же Display фильтр можно применить к уже снятому pcap трейсу, дабы отследить лишь сообщения содержащие запросы/ответы на активацию PDP Context‘а (см. скриншот ниже).

Wireshark GPRS trace

 

В добавок к этим двум фильтрам нам необходимо указать лишь “захват” сообщений в которых будут присутствовать следующие параметры: APN, MSISDN, IMSI, необходимые для нашей статистики. Для этого используем такие фильтры:

  • gtp.apn
  • gtp.imsi
  • gtp.msisdn

Для вывода статистики по захватываемым сообщения используем дополнительный параметр -z для утилиты tshark.exe.

В итоге мы получим целостную строку, удовлетворяющую всем нашим запросам к снимаемому трейсу:

tshark.exe -i 2 -B 16 -n -R "(gtp.message == 0x10 or gtp.message == 0x11) or (gtp.apn or gtp.msisdn or gtp.imsi)" -t ad -l -z proto,colinfo,ip,gtp.imsi -z proto,colinfo,ip,gtp.msisdn -z proto,colinfo,ip,gtp.apn

Для удобства мы добавим вывод трейса в отдельный файл:

tshark.exe -i 2 -B 16 -n -R "(gtp.message == 0x10 or gtp.message == 0x11) or (gtp.apn or gtp.msisdn or gtp.imsi)" -t ad -l -z proto,colinfo,ip,gtp.imsi -z proto,colinfo,ip,gtp.msisdn -z proto,colinfo,ip,gtp.apn -T text -w c:\dump -a filesize:16000 -b filesize:16000 -b files:2 -S >> c:\apn.txt

Применив такой фильтр, мы получим следующий трейс**.

** – в трейсе изменены значения IMSI/MSISDN, а также адреса шлюзов дабы не компрометировать абонентские данные на сети оператора.

В дальнейшей с таким трейсом можно произвести различные операции и собрать интересующую нас статистику на Gn интерфейсе.

Вот таким нехитрым способом возможно собирать и обрабатывать некоторую статистическую информацию в пакетной сети, хотя многие из специалистов скажут наверное, что есть же специальные системы, которые идут в “комплекте” к сетевым элементам (SGSN/GGSN) от вендора и позволяющие собирать различного рода KPI параметры и статистические данные, например, как NetAct для CombiSGSN‘ов от вендора NSN, но всегда есть ситуации, когда нужно в кротчайшие сроки произвести анализ данных не прибегая к этим “монструозным” системам, вот именно в этих случая пригодятся такие нехитрые способы анализа трафика.

Небольшой помощник:

APN – Access Point Name

EDGE – Enhanced Data Rates for GSM Evolution

GGSN – Gateway GPRS Support Node

GPRS – General Packet Radio Service

GTP – GPRS Tunnelling Protocol

IMSI – International Mobile Subscriber Identity

KPI – Key Performance Indicators

MSISDN – Mobile Station Integrated Services Digital Number

NSN – Mokia Siemens Networks

PDP – Packet Data Protocol

PS – Packet Switched

SGSN – Serving GPRS Support Node

If you enjoyed this post, make sure you subscribe to my RSS feed!
0 комментариев | 1 927 просмотров

Поля отмеченные * нужно в любом случае заполнить. Пожалуйста, не оставляйте ссылки на интернет-магазины, коммерческие сайты и аналогичные им сообщения - они будут расценены как спам и будут удаленны. Кстати, это dofollow блог.

 

?Раньше искали

CombiSGSN GGSN SGSN GPRS Attach PDP Context SMS over GPRS SMSC GTP-C GTP-U IMSI 

!На хостинг

#Счетчики

Rambler's Top100