51学通信技术论坛

 找回密码
 立即注册
搜索
查看: 5114|回复: 2
打印 上一主题 下一主题

请帮忙看看,为啥我抓包用wireshark看到Malformed Packet [复制链接]

Rank: 2Rank: 2

跳转到指定楼层
楼主
发表于 2012-3-9 21:26:56 |只看该作者 |倒序浏览
一键分享 一键分享
1#包显示Malformed Packet,导致GTP一部分内容看不到,数据包应该是完整的,而且我的wireshark支持GTPv0/v1/v2解码,不知道大家有什么好办法解决这个问题。
Wireshark version:1.7.0
附件: 你需要登录才可以下载或查看附件。没有帐号?立即注册

Rank: 8

VIP 论坛核心会员 特殊贡献奖

沙发
发表于 2012-6-11 13:48:04 |只看该作者
直接看16进制的编码,对照29.060和25.413来看。
把鼠标点在target identification上,显示出
8a 00 08 64 f0 00 e7 1f 00 07 8f   
看29.060
0x8a=138 dec  target identification
0x00 08 Length
64 f0 00 e7 1f 00 07 8f    Target RNC-ID

再看25.413
64 f0 00 PLMN
e7 1f  LAC
00 RAC
07 8f  RNC ID

我的wireshark显示的也有问题,估计是wireshark认为Target RNC-ID要占一个byte的tag。具体编码规范我也不是很知道了。

使用道具 举报

Rank: 9Rank: 9

懒

板凳
发表于 2012-6-11 20:54:43 |只看该作者
hycl5410 发表于 2012-6-11 13:48
直接看16进制的编码,对照29.060和25.413来看。
把鼠标点在target identification上,显示出
8a 00 08 64 ...

呵呵,H大侠V5。

那我就在接着H大侠的往后说下个人的观点。我也很赞同H大侠的说法,可能是wireshark对RNC-ID的解码问题。这个问题在网上搜索一下,就会发现很多人报过bug给wireshark,但没解决。比如:https://bugs.wireshark.org/bugzilla/show_bug.cgi?id=3974

所以要解决问题只能靠我们自己啦。解决的方法可以是自己来解码:

1)打开TS29.060的7.5.6章节关于forward relocation request消息的格式说明:

2)如H大侠说的,找到最后一个正常显示的target identification信息元素,是以07 8F结尾的。后面跟的是8b 01 30,这个8b对应的是什么信息元素,是通过type标识的,target identification的type值是8a,10进制是138,和7.7.37中target id的说明是一致的,同样8b,代表type=139,就是UTRAN transparent container,该字段也是一个强制字段,根据规范的说明,后面两个字节跟的是长度,就是0130(target id的type后面也有两个字节的长度部分,是00 08,十进制也是8),十进制是304。因此从01 30后面的304个字节应该都是UTRAN transparent container的内容。但该内容是从UTRAN透传过来的,GTP规范中未说明。需要找一个比较完整的报文对比来解码就好了。

www.gprshome.com: GPRS及移动通信技术学习交流分享平台。

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

站长邮箱|Archiver|51学通信 ( 粤ICP备11025688 )

GMT+8, 2024-11-29 13:14 , Processed in 0.028510 second(s), 13 queries .

Powered by Discuz! X2

© 2001-2011 Comsenz Inc.

回顶部