请问大家Wireshark里如果在Iu接口过滤出对应的用户呢？

爱卫生

  经常在Wireshark里抓包，大家都会发现，Iu-C接口抓的包如果不涉及上层的NAS消息，例如附着、去附着、激活等等。则无法在RANAP这一层过滤出对应的手机用户。Gb接口则可以通过TLLI来过滤和对应。
  但Iu接口还有很多消息是不涉及NAS层的，例如Iu连接的释放、建立等流程。这些消息如果对应呢？
  或者引申出来一个问题，RNC在Iu-C接口上的Iu连接相关的消息，它自己是如何知道和哪个用户对应呢？根据哪个字段？还是说RNC不需要知道？不知道又怎么能保证释放正确的用户连接呢？
  谢谢!

爱卫生

imwoohan 发表于 2012-12-17 12:54
爱总，你这个RAB Modification的包，我用  "sccp.dlr == 0x80fc69 || sccp.slr == 0x80fc69" 过滤了一下，发 ...

这个感觉应该还是符合规范的。

因为这个是SCTP消息的multile steam特性，这三个消息是放在一起发送的。GMM Information是Attach流程的一部分。是一个可选的消息，可参考23.060。另外，Common ID是SGSN为RNC提供用户的IMSI，帮助RNC建立IMSI和RRC连接的关联并可用于寻呼的目的。参考TS25.413。如下：“

The purpose of the Common ID procedure is to inform the RNC about the permanent NAS UE Identity (i.e. IMSI) of a user. This is used by the RNC e.g. to create a reference between the permanent NAS UE identity of the user and the RRC connection of that user for UTRAN paging co-ordination. ”。

imwoohan

爱总，你这个RAB Modification的包，我用  "sccp.dlr == 0x80fc69 || sccp.slr == 0x80fc69" 过滤了一下，发现ms发上来附着请求的时候，带的follow-on request pending位是false，但是SGSN回给它的attach accept里面却是true，随后还对它发起了GMM Information和Common-id流程，然后才发起的Iu-Release。
请问为什么SGSN不立即回follow-on requeset pending=true，直接Iu-Release呢？

imwoohan

爱总，你这个RAB Modification的包，我用  "sccp.dlr == 0x80fc69 || sccp.slr == 0x80fc69" 过滤了一下，发现ms发上来附着请求的时候，带的follow-on request pending位是false，但是SGSN回给它的attach accept里面却是true，随后还对它发起了GMM Information和Common-id流程，然后才发起的Iu-Release。
请问为什么SGSN不立即回follow-on requeset pending=true，直接Iu-Release呢？

arrowbroken

回复 rubik 的帖子

是的，在控制面去找，在RAB ASSIGNMENT 流程里有TEID

arrowbroken

回复 yigeren_198436 的帖子

你好，抱歉这么晚才回答你的问题，很久没有上来。
我的帖子里写的很清楚，在过滤条件里有的，请看看！
有什么问题给我发消息了！

yigeren_198436

回复 arrowbroken 的帖子

请教一下如何过滤IU-C口的包？ranap.imsi_digits == "460011227300025" 过滤后是单方向的，为什么啊？方便的话请附上过滤条件，谢谢哈！

yigeren_198436

回复 xiner 的帖子

哥们，为什么我抓到的包用ranap.imsi_digits == "xxxx"过滤后，只有SGSN发给RNC的包，没有回包呢?而且没有抓到attach request 消息，之后的激活什么的都有，请教！

rubik

IU用户面的怎么过滤用户上下行数据呢？可以更加TEID但是这个从什么消息可以找到TEID呢？是从信令面去找么？

arrowbroken

回复 爱卫生 的帖子

这个是我过滤的同一个用户的完整的RANAP包，
规范里提到一个用户同时只能有一个SCCP链接，所以我就用Local Reference进行过滤。

爱卫生

回复 njdjj 的帖子

  晕。这个是因为之前这篇帖子出现了广告和和谐关键字，被网站提供商和谐掉了。我好不容易找回贴子。没发现还漏了回复。不好意思哈。

njdjj

没看明白。
“
回复 uranus1225 的帖子

  非常感谢哦！看了下你的附件，发现确实是一个过滤后的完整的结果，也是我期望的。但为什么和我之前放上去的RAB Modification(如果过滤出Iu口同一个用户的报文).pcap这个包里面的内容对应不上呢？例如源、目的IP，OPC、DPC还有SCCP里的SLR、DLR。比如你附件中解出来看到通信的两个信令点是15131和15104，而我的RAB Modification(如果过滤出Iu口同一个用户的报文).pcap里是112和1130啊。
  麻烦再帮忙确认下，多谢了！”

uranus1225 的帖子怎么找不到了？？

爱卫生

好的，非常感谢！威望和贡献都已+10。问题已解决。

爱卫生

回复 uranus1225 的帖子

  非常感谢哦！看了下你的附件，发现确实是一个过滤后的完整的结果，也是我期望的。但为什么和我之前放上去的RAB Modification(如果过滤出Iu口同一个用户的报文).pcap这个包里面的内容对应不上呢？例如源、目的IP，OPC、DPC还有SCCP里的SLR、DLR。比如你附件中解出来看到通信的两个信令点是15131和15104，而我的RAB Modification(如果过滤出Iu口同一个用户的报文).pcap里是112和1130啊。
  麻烦再帮忙确认下，多谢了！

爱卫生

回复 爱卫生 的帖子

  终于找到一个最典型的Iu和GTP-C的一起的抓包。
  这里的已知条件是：
  已知#18 --- #23是一个完整的MS-SGSN之间的PDP上下文激活流程，并包括RAB的创建。已知这是属于同一个手机用户的。
  但我怎么也过滤不出来（这个包中还有其他的信令流程也对应同一个用户的。但就是过滤不出来），求解中。谢谢！
   

爱卫生

xiner 发表于 2011-7-29 15:09
第一步：根据imsi找出用户的ranap消息。
例如：ranap.imsi_digits == "460011227300025"   //460011227300 ...

   非常感谢几位的帮助。很有收获。
   你的这个方法我大致明白了。就就是先用ranap.imsi_digits过滤出IMSI，然后在这个包中找到SCCP层的destination local preference确定对端节点，这两个过滤参数就可以唯一的过滤出一个用户的连接流程来了。我觉得应该是很有道理的。
   但我在试的时候，发现总是无法过滤出一个完整的用户。我都不确定是不是这个包就根本没有一个用户的完整信令流程。但即使没有完整的，但不可能这么巧为什么总是过滤出来只有一个用户一个包呢？很奇怪。
  这个包是论坛有位朋友分享的，这个问题好像他也提过，我怕沉底了，赶紧再请教下大家。再次向他表示感谢！

   BTW,watson100 / zhenjiucuo / xiner的答题贡献积分都已添加。请查收。感谢！

xiner

第一步：根据imsi找出用户的ranap消息。
例如：ranap.imsi_digits == "460011227300025"   //460011227300025是用户imsi号

第二步：
在找出来的ranap消息，以SCCP层的sccp.dlr或sccp.slr为过滤条件，进行过滤。
例如：sccp.dlr == 0x050502。这里的sccp.dlr或sccp.slr在这一系列的信令流程中代表是RNC或SGSN。在另外的信令流程中是另外一个值，是随机的。一系列信令流程指的是类似附着流程，路由更新流程。

第三步：
在“sccp.dlr”中去掉“d”变成“sccp.lr”，和在“ sccp.slr”中去掉“s”变成“sccp.lr”组成复合的过滤条件。例如“sccp.lr= =0x9d1a02 or sccp.lr= =0xabdfb0”。再进行过滤，就可以把所有这一系列的消息包过滤出来。

zhenjiucuo

回复 爱卫生 的帖子

爱老大，这个Iu Sig Id在一次InitialUE消息后，这个Id就被核心网和无线记下来了。可以去wireshark中看到，在发送InitialUE消息时SCCP层用Connection Request消息封装，当SGSN收到后，在SCCP层用独立的Connection Confirm消息回复，在SCCP层上建链，这样就保证了在后续跟UE相关的消息发送时能够关联到正确的用户，即除了InitialUE消息外，其他消息都是用SCCP层上的两端的标识来关联到用户的。个人理解如此：-）