iVS8000IP智能视频监控系统抓包专题(2)

2018-11-28 16:50

iVS8000 IP智能视频监控系统抓包专题文档密级行分析；Ec/Dc设备注册、保活问题，实时监控、轮切、点播回放问题，等等，可以在VM所在的linux服务器上抓取Sip和Vmp消息，进行分析。

2 常用抓包命令介绍

VM服务器在linux下运行，常用抓包软件有tethereal tcpdump。使用方法和说明可以在linux下运行下面的命令查看 tethereal --help tcpdump --help

2.1 通用和常用参数

(1)-i name or idx of interface 指定抓包的网卡接口参数

注意：如果是抓取同一个网卡上ip地址之间通信的报文，必须指定接口为环回接口参数为-i lo

(2)-f packet filter in libpcap filter syntax 过滤表达式表示抓取符合表达式条件的报文 port [port num] 指定端口 Host [host ip] 指定主机

关键字： or and src dst 举例：

抓取5060和6060端口的报文 -f “port 5060 or 6060”

抓取主机来自主机192.168.1.1端口6060的报文 -f \

(3)-s packet snapshot length (def: 65535) 指定抓取报文的大小，超过该大小，报文会被截断

注意：使用tcpdump抓包一定要指定大小,默认报文超过96字节将被截断

4/2/2013

华为三康机密，未经许可不得扩散第6页, 共17页

iVS8000 IP智能视频监控系统抓包专题文档密级 (4)-w set the output filename 将抓取的报文保存成文件

抓包的原则是适量过滤即可，报文太多可以在分析的时候使用过滤表达式来缩小范围，但是如果在抓取的时候条件限制不合理就可能导致需要的信息丢失

所以抓包表达式一般只过滤端口，因为系统里面信令端口都是固定的,而目前能控制的抓包范围就是在VM服务器上，通过远程连接软件(ssh secureCRT等)或者直接在VM服务器的shell界面中执行

2.2 VM服务器抓包常用表达式

(1) 抓取VC和VM之间通信的GMP报文： tethereal port 12000 –w gmp.cap tcmpdump –s port 12000 –w gmp.cap

(2) 抓取AS和CC以及和DM之间通信的SIP报文: tethereal port 5060 or 6060 –I lo –w sip.cap tcmpdump –s 4096 port 5060 or 6060 –I lo –w sip.cap

(注：抓取VM5000上的DM和VM通信的报文，因为它们通常绑定的是同一个网卡上不同IP，所以应该才用环回接口)

(3) 抓取前端设备EC/DC/MP和CC之间通信的报文： tethereal port 6060 –w vmp.cap tcpdump –s 4096 port 6060 –w vmp.cap (4) 抓取AS CC和DB交互的报文 tethereal port 5432 –i lo –w db.cap tcpdump –s 4096 port 5432 –i lo –w db.cap

3 正确的过滤数据包

3.1 过滤报文使用工具

在分析收集到的报文之前，必须将vmp.dll sip.dll gmp.dll三个解包显示插件文件增加到安装目录下的plugins\\0.99.0目录下。

4/2/2013

华为三康机密，未经许可不得扩散第7页, 共17页

iVS8000 IP智能视频监控系统抓包专题文档密级使用报文分析软件ethereal（注意版本必须为：0.99.0）分析收集到的报文，报文收集到之后用ethereal工具打开：

3.2 过滤报文常用参数

(1) SIP报文和gmp报文直接使用 (2) vmp报文涉及参数

register/unregister 注册/解除注册 setup/release 请求/释放监控关系 notify 告警 info 云台控制指令 keepalive 保活 set 下发 query 查询录象 initiator/initiatorrelease 开始/停止回放 apply/delete 申请/释放MS转发

如果对报文的字段代表值比较熟悉也可以直接使用，如下：

4/2/2013

华为三康机密，未经许可不得扩散第8页, 共17页

iVS8000 IP智能视频监控系统抓包专题文档密级红色框内command字段代表vmp报文的类型为register (0)代表该字段的实际值为0

其他VMP报文也是如此。

3.3 常用过滤表示式

(1) 过滤SIP和gmp报文直接在Filter框内输入SIP或gmp (2) 过滤查看特定类型的vmp报文：vmp.cmd2 == [报文类型] (3) 过滤查看sequence number一样的报文：vmp.seq == [seq num] (4) 过滤查看来源为特定值的报文：vmp.fromid == [as id]

3.4 常用运算符

|| 或 == 等于 &&与！非 ()括号

3.5 正常过滤报文举例

(1) 使用参数过滤

Vmp.cmd2 == set || vmp.cmd2 == keepalive

4/2/2013

华为三康机密，未经许可不得扩散第9页, 共17页

iVS8000 IP智能视频监控系统抓包专题文档密级

(2)使用字段值过滤

Vmp.cmd2 == 2 || vmp.cmd2 == 5

4/2/2013

华为三康机密，未经许可不得扩散第10页, 共17页

共3页:

iVS8000IP智能视频监控系统抓包专题(2).doc 将本文的Word文档下载到电脑下载失败或者文档不完整，请联系客服人员解决！

下载这篇word文档