请从给定抓包文件中过滤出一个完整的MS附着流程

爱卫生

    本练习的要求在标题中以写明。即根据附件给出的抓包文件。用任何的表达式都可以，将不相关的包过滤掉。最后得到一个完整的MS附着流程的包，并且将过滤后的包另存为，然后打包做为附件上传检查。
    具体要求如下：
   1）这个MS的IMSI是460004100000101。
   2）要求这个附着流程完整。即和TS23.060描述的或论坛相应版块中的附着流程相一致。
  如果完成此项练习，威望将+5。以资奖励。回复已设置为仅作者可见。

bestflora

是不是只有Gb口的消息啊，没找到MAP消息

tangwenbin

gsm_map or gsm_a.L3_protocol_discriminator == 8

tobino1

首先：下载的包中只有一个attach req，是以P-TMSI为请求，不是IMSI，找到相应的attach req，利用bssgp.tlli == 0xa02ccb60过滤即可。

updane

如附件！attach流程

hendouse

刚刚验证了，“bssgp.tlli == 0xa02ccb60”是正确的     具体过程：先输入gsm_a.imsi == "460004100000101" ，找到对应的till号，再进行搜索就可以看到完整的附着流程了

rubik

使用expression ：gsm_a.dtap_msg_gmm_type == 0x1||gsm_a.dtap_msg_gmm_type == 0x2||gsm_map.old.Component == 1||gsm_map.old.Component == 2||gsm_map.old.Component == 3||gsm_map.old.Component == 4||gsm_a.dtap_msg_gmm_type == 0x3||gsm_a.dtap_msg_gmm_type == 0x4||gsm_a.dtap_msg_gmm_type == 0x5||gsm_a.dtap_msg_gmm_type == 0x6||gsm_a.dtap_msg_gmm_type == 0x12||gsm_a.dtap_msg_gmm_type == 0x13||gsm_a.dtap_msg_gmm_type == 0x1c
虽然没有过滤IMSI，但是也把流程提取出来了，额呵呵

rubik

回复 爱卫生 的帖子

什么时候公布正确答案？？

linyuxuan

我想说明一下，我是筛选到“倒数第二步”那个数据包后，然后对着你发的那个包继续标记过滤出来的。我想问一下在我的倒数第二步中的55，56包是做什么的，如果没有你给的包，我也许就也认为这两个包也是信令流程的一部分，如何区别，或者说以后筛选包应该应该往哪方面注意下。。。避免把一些没用的包也弄进来。谢谢！

爱卫生

linyuxuan 发表于 2011-8-3 22:08
我想说明一下，我是筛选到“倒数第二步”那个数据包后，然后对着你发的那个包继续标记过滤出来的。我想问一 ...

  我看了下。#55和#56也都是属于附着流程的一部分。#55是SGSN向HLR做位置更新。#56是HLR给SGSN下发签约数据。
  可以参照规范版块区先了解完整的附着流程，再来过滤。论坛其实有一个介绍完整附着流程的帖子（含包的）。可以供参考。
  答案在18楼公布。我使用的过滤方法也将在18楼公布。其实过滤方法并不止一种的。有很多。

linyuxuan

回复 爱卫生 的帖子

楼主，你回复的我看不到，是作者可见的

linyuxuan

回复 爱卫生 的帖子

实在不好意思，是52，53是做什么的？我刚才写错了

niehui78

这样滴，呵呵

爱卫生

linyuxuan 发表于 2011-8-3 23:34
回复 爱卫生 的帖子

实在不好意思，是52，53是做什么的？我刚才写错了

  不好意思，才将仅作者可见去掉。你是说#52和#53的NS_ALIVE和NS_ALIVE_ACK消息吗？这是Gb接口NS层的keepalive消息啊，类似一个hello包，探测对端的NS层的存活性的。

arrowbroken

回复 爱卫生 的帖子

(gsm_a_dtap  and gsm_a.rr.tlli == 0xa02ccb60 ) or (!(gsm_old.localValue == 67) and sccp)

oliverchang

回复 linyuxuan 的帖子

HI 兄弟，请问你一下的的MAP信息是怎么过滤出来的啊？

niehui78

回复 爱卫生 的帖子

您好，爱卫生先生，请问在附着请求中，Split PG Cycle Code:07 是一个什么概念呢？如图。

爱卫生

回复 niehui78 的帖子

  这个值在TS24008的表格10.5.139中定义。具体的使用在TS45.002中介绍。它定义了DRX的周期。PG就是paging group，好像可以用来计算paging group的。空口不是特别清楚，不好意思。反正和寻呼有关。
例如，根据TS45.002：
“
PAGING_GROUP (0 ... M-1) = ( ( (IMSI mod1000) div(KC*N) ) * N +
                                                        (IMSI mod 1000) mod N +
Max((m * M) div SPLIT_PG_CYCLE, m)) mod M
for m = 0, ... , Min(M, SPLIT_PG_CYCLE) -1
”