51学通信技术论坛

标题: 如何通过wireshark过滤出某个特定用户的Iu接口信令流程？ [打印本页]

作者: 爱卫生 时间: 2012-4-1 22:35:57 标题: 如何通过wireshark过滤出某个特定用户的Iu接口信令流程？

上周和一位朋友学的，在电路域里经常用。

PS域中，Iu连接的建立实际上是在SCCP层标识的。而具体来讲，只要一个Iu连接不释放，实际上用于标识SCCP层连接的Destination Local Reference字段是不会变的。因此，可以用此字段作为过滤条件，另外，再借助wireshark提供的SCCP层连接自动关联功能，可以将属于这个Iu连接的信令都过滤出来，非常方便。这肯定是属于同一个用户的。因为不同用户的Iu连接肯定不一样。具体方法如下：

1 打开一个包含了很多Iu接口的pcap文件。

2 点击“edit”菜单，选择最后一项"preferences"。

3 再选择弹出菜单里的"protocols"下的SCCP。

4 将trace associations选项打勾。点击apply应用。如下所示。

[attach]1177[/attach]

5 实际上已经生效了。找一个RANAP的包查看效果。最好是一个GMM L3消息。

点开SCCP层，发现SCCP层最后，多了一个Association ID字段（这是wireshark加的，不是协议本身的）。已经将相关的数据包都关联在一起了。如下图所示。

[attach]1178[/attach]

作者: hycl5410 时间: 2012-4-2 10:52:58

这个功能不错，不用写filter了。
楼主要是把原理再写清楚点会对大家理解IUC的SCCP建立比较有帮助

作者: laopowoai 时间: 2012-4-5 22:35:02

学习了，这样过滤确实很方便

作者: xiner 时间: 2012-4-6 19:30:01

必须顶啊，非常感谢

作者: 昵称难倒的汉子 时间: 2012-4-8 18:01:03

学习，谢谢楼主

作者: jayslkidd 时间: 2012-6-26 20:46:17

灰常感谢啊~~相当有帮助~~
那么再请问一下，通过这个方法知道了某些报文属于同一用户，那么怎么知道这个用户是谁呢？比方从哪里找他的手机号、imsi、IMEI等信息啊？

作者: 爱卫生 时间: 2012-6-27 20:46:08

jayslkidd 发表于 2012-6-26 20:46
灰常感谢啊~~相当有帮助~~
那么再请问一下，通过这个方法知道了某些报文属于同一用户，那么怎么知道这个用 ...

有一些消息里例如附着请求里会有用户的IMSI或P-TMSI等身份信息，然后就到SGSN上查对应的MM上下文里的用户信息就好了！

作者: gpf_gprs2012 时间: 2012-7-25 16:09:50

学习了，谢谢

作者: wenliu 时间: 2012-12-6 14:18:24

hycl5410 发表于 2012-4-2 10:52
这个功能不错，不用写filter了。
楼主要是把原理再写清楚点会对大家理解IUC的SCCP建立比较有帮助

你可以看到SCCP 的CR，CC消息，表示SCCP的面向连接成功。这时候SLR,和DLR 才全。随后用SCCP DT1作为Ranap的承载就行了。

欢迎光临 51学通信技术论坛 (http://51xuetongxin.com/bbs/)