Wireshark Packet Capture filtern: So parsen Sie Ihren VoIP-Traffic
Nach dem Packet Capture mit Wireshark sind die richtigen Filter für die weitere Analyse des VoIP-Traffics entscheidend. Dieser Tipp hilft Ihnen dabei.
Im ersten Teil dieses Tipps habe ich Ihnen erklärt, warum Sie Wireshark für das Capturing von VoIP-Paketen verwenden sollten und wie Sie an diese gelangen. Hier erkläre ich Ihnen, wie Sie dieses Wireshark Packet Capture so filtern, dass Sie nur noch den von VoIP (Voice over Internet Protocol) verursachten Traffic sehen.
Das Wireshark Packet Capture nach VoIP filtern
Nachdem Sie das Sammeln der Daten mit Wireshark abgeschlossen haben, müssen Sie den Traffic nach den Paketen aus dem getätigten VoIP-Anruf filtern. Nur so sehen Sie, was genau abgelaufen ist. Ein gutes Verständnis in Sachen Boolescher Logik ist an dieser Stelle sehr hilfreich.
Für unser Beispiel definieren wir, dass der IP-Adressbereich unseres Netzwerks 192.168.1.0/24 ist. Weiterhin nehmen wir an, dass die beiden Endgeräte, die den VoIP-Traffic generiert haben, die IP-Adressen 192.168.1.10 und 192.168.1.11 haben. Der anfängliche Filter für das Packet Capture könnte dann so aussehen:
ip.addr==192.168.1.10 || ip.addr==192.168.1.11
Die doppelte Pipe (||) zwischen den beiden IP-Adressen steht für ein logisches OR (oder). Der gesamte Ausdruck erzeugt einen Filter, der alle Pakete des einen oder des anderen Endgeräts mit den oben beschriebenen IP-Adressen ausgibt.
Bei der Analyse dieses Traffics fällt Ihnen sicherlich schnell auf, dass Wireshark auch Datenpakete anzeigt, die VoIP nicht verursacht hat. Dieser Umstand ist einfach zu erklären. Nicht-VoIP-Traffic wie Datenpakete von ARP (Address Resolution Protocol) und Domain Name System (DNS) wird durch das User Datagram Protocol (UDP) dauernd zwischen den beiden Endgeräten kommuniziert. Um das Ergebnis etwas klarer zu machen, müssen wir den Filter weiter anpassen. Der Ausdruck sieht dann wie folgt aus:
(ip.addr==192.168.1.10 || ip.addr==192.168.1.11) && !arp && !dns
Nun haben wir den Ausgabebereich der Paketerfassung im Vergleich zum Anfang drastisch eingeschränkt. Die meisten nun angezeigten Pakete sollten den Typen Session Initiation Protocol (SIP) und Real-Time Transport Protocol (RTP) entsprechen. Eventuell möchte der Netzwerk-Administrator noch weitere Filter verwenden. Diese variieren aber mit Sicherheit von Netzwerk zu Netzwerk.
Weiteres zu Packet-Capture-Filtern bei Wireshark
An dieser Stelle können Sie die Pakete des VoIP-Traffics mit Wireshark analysieren. Von jedem einzelnen Paket können Sie sich die Header-Werte und andere Informationen ansehen. Sie fragen sich aber möglicherweise, warum wir nicht von Beginn an nur nach RTP und SIP gefiltert haben. Das könnten Sie natürlich machen, wir empfehlen es aber nicht. Somit entgehen Ihnen womöglich TCP- und UDP-Pakete, die ebenfalls für eine Analyse des Traffics hilfreich sind und für das Gesamtbild dienliche Informationen liefern. Zum Beispiel erhält der Asterisk-Server in diversen Netzwerk-Konfigurationen aus Gründen des Managements Anfragen von anderen Nodes. Wird ein Audit durchgeführt, führt ein strenger Filter mit nur RTP und SIP möglicherweise zu falschen Ergebnissen. Sollten Sie einen Einbruch ins Netzwerk vermuten, finden Sie den schädlichen Code mit einem Filter nur nach RTP und SIP sehr wahrscheinlich nicht. Weiterhin haben wir in unserem Beispiel lediglich zwei Endgeräte verwendet. In einer Enterprise-Umgebung können aber hunderte von VoIP-Anrufen simultan ablaufen. Unter Umständen ist in so einem Fall ein einfacher SIP- oder RTP-Filter nutzlos.
Während der Traffic-Analyse von VoIP finden Netzwerk-Administratoren möglicherweise diverse Nuancen, die zunächst verwirrend sein können. Wenn Sie diese Irritationen schnell hinter sich lassen möchten, sind solides Wissen über die Netzwerk-Architektur und fundierte Kenntnisse über Wireshark-Filter der Schlüssel zum Erfolg. Außerdem sind Ausdauer und Geduld gefragt, um VoIP-Traffic richtig und sorgfältig zu analysieren.
