Wireshark + Tektronix rf5 files
По ходу рабочего процесса, мне довольно часто приходится снимать трейсы с различных интерфейсов, идущих от SGSN‘а. В основном это необходимо для выявления неисправностей и отслеживания различных сообщений, причем очень удобно снимать трейсы с IP интерфейсов – Gn, Gp, а для сигнальных интерфейсов – Gr, Gs, Ge, приходиться пользоваться специальным анализатором от компании Tektronix моделей К-12,15, т.к. в основном эти интерфейсы реализованы через потоки Е1 разведенные на кросс панелях, как к слову и “транспортный” интерфейс Gb, связывающий контроллеры базовых станций и SGSN.
Удобство анализа трейсов на IP интерфейсах, заключается в том, что мы может “стать” в разрез интерфейса с помощью любого TCP/IP программного анализатора, подключившись Ethernet RJ45 разъемом с помощью того же ноутбука, задав дублирование портов интерфейса нам на ноутбук (port SPANing) – частично я упоминал об этом в статье MiTM for GPRS; что конечно же нельзя сделать для сигнальных интерфейсов, т.к. нужны специальные платы для анализа сигнального SS7 трафика.
Подробное описание интерфейсов, их предназначение и стеки протоколов, использующиеся на этих интерфейсах Вы можете найти в статье GPRS изнутри. Часть 3
Для анализа IP-шных интерфейсов я использую Wireshark и считаю его довольно удобным для этого процесса, но анализируя сигнальный трафик приходиться пользоваться программным комплексом от Tektronix, т.к. он сохраняет трейсы в свой специальный проприетарный закрытый формат – rf5. Естественно, давно уже хотелось, чтобы Wireshark “умел” открывать и эти файлы с сохранением стека и структуры протоколов. Да и на сайте wiresharka уже давненько висит, возможность открывать rf5 файлы, но к сожалению при их открытии не совсем сохраняется структура протоколов.
В качестве примера возьмем rf5 трейс с Gb интерфейса* и попробуем его открыть в Wireshark’е (см. screenshot ниже):
* – детальное описание структуры стека на Gb интерфейсе можно найти в статье Gb интерфейс в разрезе.
Как видим, таким путем мы можем “раскрыть” лишь стек до канального уровня, т.е. до уровня Frame relay протокола, а дальше ничего не “увидим”.
Посему хочу обратиться к читателям блога… возможно кто-то может подсказать в комментариях, какие же у нас есть варианты для открытия rf5 файлов с помощью Wireshark’а?
Кстати в сети довольно скудный материал по этому поводу…
В качестве бонуса и практического материала я выкладываю несколько трейсов с различных интерфейсов SGSN‘а по GPRS/EDGE процедурам.
Для первой трассы стало получше когда указал в настройках “K12xx” соответствие “d” => “fr”, и в настройках “FR” Encapsulation: “GPRS Network Service”.
Для второй трассы в “K12xx” соответствие “c” => “mtp2”, дальше надо разбираться.
Wireshark 1.5.0-SVN-33668.
Хотя да, не люблю rf5, некоторые трассы из него не смог выковырять вообще, и структура формата чудовищная. Проще наверное на самом приборе вывести в текстовом виде и уже потом обрабатывать.
—
mtve
В том то и дело, что приходится некоторые данные выдергивать из текстовой версии трейса…
Кстати, спасибо за подсказку: «FR» -> «GPRS Network Service», чего я ее упустил.
Подскажите, а выложенные трейсы – это тестовые записи, входящие в комплект ПО Tektronix?
Добрый день!
Не совсем… выложенные трейсы – это обучающие трейсы с курсов по Tektronix, если интересно стучите в личку.