51学通信技术论坛

标题: 请从给定抓包文件中过滤出一个完整的MS附着流程 [打印本页]

作者: 爱卫生 时间: 2011-5-2 10:50:52 标题: 请从给定抓包文件中过滤出一个完整的MS附着流程

本帖最后由爱卫生于 2011-9-15 17:25 编辑

本练习的要求在标题中以写明。即根据附件给出的抓包文件。用任何的表达式都可以，将不相关的包过滤掉。最后得到一个完整的MS附着流程的包，并且将过滤后的包另存为，然后打包做为附件上传检查。
具体要求如下：
1）这个MS的IMSI是460004100000101。
2）要求这个附着流程完整。即和TS23.060描述的或论坛相应版块中的附着流程相一致。
如果完成此项练习，威望将+5。以资奖励。回复已设置为仅作者可见。

[attach]289[/attach]

作者: bestflora 时间: 2011-5-3 13:37:33

是不是只有Gb口的消息啊，没找到MAP消息

作者: tangwenbin 时间: 2011-5-27 00:23:34

gsm_map or gsm_a.L3_protocol_discriminator == 8

作者: tobino1 时间: 2011-6-1 16:42:25

首先：下载的包中只有一个attach req，是以P-TMSI为请求，不是IMSI，找到相应的attach req，利用bssgp.tlli == 0xa02ccb60过滤即可。

作者: updane 时间: 2011-6-1 18:00:25

如附件！attach流程

作者: hendouse 时间: 2011-6-18 00:08:04

刚刚验证了，“bssgp.tlli == 0xa02ccb60”是正确的具体过程：先输入gsm_a.imsi == "460004100000101" ，找到对应的till号，再进行搜索就可以看到完整的附着流程了

作者: rubik 时间: 2011-6-21 10:16:03

使用expression ：gsm_a.dtap_msg_gmm_type == 0x1||gsm_a.dtap_msg_gmm_type == 0x2||gsm_map.old.Component == 1||gsm_map.old.Component == 2||gsm_map.old.Component == 3||gsm_map.old.Component == 4||gsm_a.dtap_msg_gmm_type == 0x3||gsm_a.dtap_msg_gmm_type == 0x4||gsm_a.dtap_msg_gmm_type == 0x5||gsm_a.dtap_msg_gmm_type == 0x6||gsm_a.dtap_msg_gmm_type == 0x12||gsm_a.dtap_msg_gmm_type == 0x13||gsm_a.dtap_msg_gmm_type == 0x1c
虽然没有过滤IMSI，但是也把流程提取出来了，额呵呵

[attach]533[/attach]

作者: rubik 时间: 2011-6-24 10:17:02

回复爱卫生的帖子

什么时候公布正确答案？？

作者: linyuxuan 时间: 2011-8-3 22:08:46

我想说明一下，我是筛选到“倒数第二步”那个数据包后，然后对着你发的那个包继续标记过滤出来的。我想问一下在我的倒数第二步中的55，56包是做什么的，如果没有你给的包，我也许就也认为这两个包也是信令流程的一部分，如何区别，或者说以后筛选包应该应该往哪方面注意下。。。避免把一些没用的包也弄进来。谢谢！

作者: 爱卫生 时间: 2011-8-3 22:57:28

linyuxuan 发表于 2011-8-3 22:08
我想说明一下，我是筛选到“倒数第二步”那个数据包后，然后对着你发的那个包继续标记过滤出来的。我想问一 ...

  我看了下。#55和#56也都是属于附着流程的一部分。#55是SGSN向HLR做位置更新。#56是HLR给SGSN下发签约数据。
  可以参照规范版块区先了解完整的附着流程，再来过滤。论坛其实有一个介绍完整附着流程的帖子（含包的）。可以供参考。
  答案在18楼公布。我使用的过滤方法也将在18楼公布。其实过滤方法并不止一种的。有很多。

作者: linyuxuan 时间: 2011-8-3 23:19:12

回复爱卫生的帖子

楼主，你回复的我看不到，是作者可见的

作者: linyuxuan 时间: 2011-8-3 23:34:56

回复爱卫生的帖子

实在不好意思，是52，53是做什么的？我刚才写错了

作者: niehui78 时间: 2011-9-15 17:23:26

这样滴，呵呵

作者: 爱卫生 时间: 2011-9-15 17:28:26

linyuxuan 发表于 2011-8-3 23:34
回复爱卫生的帖子

实在不好意思，是52，53是做什么的？我刚才写错了

不好意思，才将仅作者可见去掉。你是说#52和#53的NS_ALIVE和NS_ALIVE_ACK消息吗？这是Gb接口NS层的keepalive消息啊，类似一个hello包，探测对端的NS层的存活性的。

作者: arrowbroken 时间: 2011-10-20 16:53:59

回复爱卫生的帖子

(gsm_a_dtap and gsm_a.rr.tlli == 0xa02ccb60 ) or (!(gsm_old.localValue == 67) and sccp)

作者: oliverchang 时间: 2011-10-20 17:25:17

回复 linyuxuan 的帖子

HI 兄弟，请问你一下的的MAP信息是怎么过滤出来的啊？

作者: niehui78 时间: 2011-10-25 16:52:52

回复爱卫生的帖子

您好，爱卫生先生，请问在附着请求中，Split PG Cycle Code:07 是一个什么概念呢？如图。

作者: 爱卫生 时间: 2011-10-29 17:25:50

本帖最后由爱卫生于 2011-10-29 18:06 编辑

回复 niehui78 的帖子

这个值在TS24008的表格10.5.139中定义。具体的使用在TS45.002中介绍。它定义了DRX的周期。PG就是paging group，好像可以用来计算paging group的。空口不是特别清楚，不好意思。反正和寻呼有关。
例如，根据TS45.002：
“
PAGING_GROUP (0 ... M-1) = ( ( (IMSI mod1000) div(KC*N) ) * N +
(IMSI mod 1000) mod N +
Max((m * M) div SPLIT_PG_CYCLE, m)) mod M
for m = 0, ... , Min(M, SPLIT_PG_CYCLE) -1
”

作者: niehui78 时间: 2011-10-30 14:01:47

回复爱卫生的帖子

谢谢爱卫生的解答，^_^

作者: snakend 时间: 2011-11-9 20:36:07

本帖最后由 snakend 于 2011-11-10 09:18 编辑

这个是我用的filter：
(gsm_a_dtap||gsm_map||gtp||dns)&&(!(gtp.message == 0x02||gtp.message == 0x01))

激活过程的一并带上了。

作者: 弗里德姆 时间: 2012-1-5 18:21:46

请问爱卫生，我使用笨方法把attach，rau，primary pdp，secondery pdp过滤出来了，存在一个疑问：
为什么Gn口的信令有重复的2份？echo/echo request却只有一份。

作者: syp007 时间: 2012-2-8 23:02:08

已找到附着流程，根据gsm_a_dtap过滤，然后将有关attach的前几个选定。

作者: syp007 时间: 2012-2-8 23:04:35

回复爱卫生的帖子

根据gsm_a_dtap过滤，将attach相关的几个保存即可，如附件

作者: zcg9119@126.com 时间: 2012-8-12 19:57:58

路过，学习了。

作者: ecaizho 时间: 2012-12-17 14:43:31

答案到底是什么

作者: GPRSTV 时间: 2012-12-18 11:08:57

各种大神大侠呀；路过温习了。

作者: ccc123 时间: 2014-2-9 22:21:31

感谢了。。。。。

作者: ccc123 时间: 2014-2-9 22:32:28

大家的帖子都看过了，实验过，都可以，以后多向大家请教。。。

作者: 花亊未了 时间: 2014-2-25 20:44:56

照着爱总3-一个完整的附着流程.rar 的流程输入条件gsm_map or llcgprs，就看见那熟悉的15条数据了

作者: duo.zhang@huanu 时间: 2014-10-28 22:08:53

设置为仅作者可见

欢迎光临 51学通信技术论坛 (http://51xuetongxin.com/bbs/)