Wireshark. Captura conversaciones VoIP. Protocolo SIP, SDP y RTP. Extracción de audio.

| Seguridad y Redes

15/01/15 10:39 p.m.

Seguridad y Redes
Página personal de Alfon.

Wireshark. Captura conversaciones VoIP. Protocolo SIP, SDP y RTP. Extracción de audio.
Publicado el 5 abril, 2010

Es posible, tratándose de instalaciones VoIP no seguras, la captura de paquetes VoIP (emisión de voz en paquetes IP) y la extracción de conversaciones
contenidas en este tipo de conexiones.

En este artículo vamos a usar una captura .pcap conteniendo una conversación usando el protocolo SIP (Session Initiation Protocol), un protocolo de
señalización, similar a HTML y SMTP, encargado de la localización usuarios, parámetros, modificaciones e iniciar o finalizar una sesión. Los datos de audio serán
transportados mediante el protocolo de transporte RTP (Real Time Transport Protocol) usando UDP. SIP encapsula otro protocolo: SDP, que es el encargado de
la negociación de las capacidades de los participantes, tipo de codificación usados y otros aspectos.

Usaremos, como siempre, Wireshark para analizar la captura .pcap e ilustrar todos los aspectos comentados de SIP, SDP y RTP, además de la extracción del
audio de las conversaciones.

Breve introducción a SIP, SDP y RTP.
Vamos a ver una breve descripción de SIP, SDP y RTP para la mejor compresión de los datos de las capturas.
SIP (Session Initiation Protocol), como hemos comentado, es un protocolo que provee mecanismos para la
creación, modificación y finalización se sesiones, en esta caso VoIp. SIP funciona en combinación con SDP
que es el encargado de la negociación de capacidades multimedia de los participantes
involucrados, ancho de banda, negociación de los codecs, etc.
Al ser SIP un protocolo solo de señalización, solo entiende del establecimiento, control y la terminación de
las sesiones.
Es un protocolo simple, escalable y se integra con facilidad en otros protocolos. SIP puede funcionar sobre
UDP o TCP, aunque para VoIP se usará sobre UDP. Una vez establecida la sesión, los clientes
intercambian directamente los contenidos multimedia de audio y/o video a través de, en este caso, RTP (RealTime Transport Protocol).
SIP tiene una estructura parecida a HTML y SMTP. Esto lo vemos, por ejemplo, en que los clientes
involucrados en una conexión tiene direcciones del tipo:

https://seguridadyredes.wordpress.com/2010/04/05/wireshark-cap…nversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/

Página 1 de 11

marcas de tiempo y origen de los datos y llegada de estos. Se encarga de los números de secuencia. BYE puede ser emitido tanto por el usuario que genera una llamada o el que la recibe. contiene información sobreu suario origen y destino y tipo de datos (audio. perdemos la fiabilidad que si tiene TCP. (603 Decline) El protocolo RTP. Respesta de fallos en servidor a pesar de tratarse de un requerimiento valido. como vemos más abajo. Lo veremos en las capturas Wireshark. De igual forma tenemos una serie de códigos correspondientes a las repsuestas a los mensajes SIP: 1xx. RTP “viaja” sobre UDP para obtener mayor velocidad (estamos hablando de un protocolo para tiempo real). Respuesta de fallos globales. Captura conversaciones VoIP. Servidor de Localización.Wireshark. Dentro de las cabeceras SIP. ACK. Se requiere de otros procesamientos antes de determinar si es posible la llamada. Respuesta de redirección. https://seguridadyredes. Para la confirmación de un establecimiento de sesión. Se usa para la liberación o terminación de una sesión establecida. (302 Moved Temporaly) o (305 Utiliza Proxy). (user agent client y user agent server) Agente de Redirecciones Servidor Proxy Servidor de Registro. (404 Not Found) 5xx. Provisionales (100 Trying) 2xx. (504 Server Time-out) o (503 Servicio no disponible) 6xx. Un mensaje ACK puede ser. Protocolo SIP.wordpress. REGISTER. video). Tipo Request. Relacionado con la ubicación de los usuarios. Cancela una petición pendiente sin influir en la sesión o llamada establecida y acpetada. Están en formato ASCII. SDP y RTP. (200 Ok) 3xx. un código 200 Ok de éxito. podemos encontrar una serie de mensajes SIP para las sesiones. Respuesta de Exito. Eso sí. Se recibió el requerimento y es acpetado. Un Request o solicitud de información de capacidades BYE. Respuesta de fallo en petición o fallo del cliente.com/2010/04/05/wireshark-cap…nversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/ Página 2 de 11 . Provee información para la detección de paquetes perdidos. Es usado por un user agente o agente usuario para el registro de dirección SIP e IP o dirección de contacto.: Agente de Usuario. los datos en tiempo real de voz y/o áudio se realiza usando el protocolo RTP.m. OPTION. Una vez establecida la sesión. Para establecer una sesión entre agentes de usuario. CANCEL. Los mensajes más comunes son: INVITE. | Seguridad y Redes 15/01/15 10:39 p. 4xx. usuario@dominio SIP contiene una serie de componentes. Extracción de audio. Mensajes de información. contiene mucha más información.

| Seguridad y Redes 15/01/15 10:39 p.com/2010/04/05/wireshark-cap…nversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/ Página 3 de 11 .m. SDP y RTP. Captura conversaciones VoIP. Ahora tenemos el Message Header o cabecera que contiene: Via. Campo que usado para el registro de ruta. NOTA: Esta captura la he obtenido de un repositorio público de ficheros . Protocolo SIP. No garantiza el envio ni orden de los paquetes ni calidad del servicio.com. Contiene información del tipo de carga útil Payload y compresión de los datos. como ya hemos visto. se refiere al establecimiento de llamada o sesión. ed decir.pcap Paquete nº1 El paquete número uno corresponde a un mensaje SIP de tipo Request. Biuen. Extracción de audio. codecs de audio/video. Tipo de mensaje INVITE. Analizando los paquetes.0. Está encapsulado en UDP.Wireshark. La cabecera RTP indica al receptor como reconstruir los datos y describe como se han codificado el flujo de bits. Señalado en un recuadro rojo tenemos el Request-Line o tipo de mensaje. El puerto de destino es 55060.pcap de captura de una sesión conversación VoIP y analizar los paquetes SIP / SDP y RTP.wordpress. Mensaje SIP dirigido a francisco@bestel. concretamente INVITE que. Vemos también la versión SIP que es SIP/2. vamos ahora a abrir el archivo .De esta forma la respuesta al seguirá el mismo camino que el https://seguridadyredes.

Contiene también en trasporte usado (SIP/UDP) y el branch o identificación de la transacción. Significa sesión no limitada y permanente. Siempre IN. Identificador únicio de la sesión. el puerto UDP usado (40376). Contiene información ya contenida en los campos anteriores como: c= Conection Network Type: (IN) Connection Address Type: (IP4 o IPv4) Connection Address: (200. Aquí se indica el inicio y final de la sesión. Fieldname. Paquete nº2 https://seguridadyredes. ID de la sesion. Versión.57. En este caso 0 Propietario/Creador de la sesión o Owner/Creator.7. Message Body o cuerpo del mensaje contiene el Session Description Protocol SDP con los siguientes campos: Versión de Session Description Protocol. Dirección IP.711 PCMU Media Attribute (a). Session ID. From. Call-ID. Cliente al que se realiza la petición. name and address (m): audio 40376 RTP/AVP 8 18 4 0. To. Connection Information. En este caso tenemos (t): 0 0. Usuario.m. Network Type.com/2010/04/05/wireshark-cap…nversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/ Página 4 de 11 .7. Media Attribute (a).723 0 G. SendRecv. Media Description. etc. Request o petición INVITE.197) Session Name. (200. Address Type. SDP. Número aleatorio como identificador único de la sesion.57. SDP y RTP. Modo envio/recepción.711 PCMA 18 G. Extracción de audio. el protocolo usado (RTP Real Time Transport Protocol /AVP Audio video Profiles).Wireshark. | Seguridad y Redes 15/01/15 10:39 p.197) Time Description. Nombre de la sesión. Cliente que realiza la llamada o petición. Se trata de una identificación formada por: Owner username. Address (IP). Tipe de red. Tipo de dirección. Y por último. Contiene la IP y puerto donde el realiza la petición INVITE espera recibir resupesta.729 4 G. Protocolo SIP. los formatos de codecs: 8 G. active time.wordpress. Se trata de una lista de los formato de codes reseñados más arriba con información de Sample rate o frecuencia de muestreo. Identifica a los mensajes que corresponden a la misma llamada. Puede ser IP4 (IPv4) o IP6 (IPv6). Número de secuencia. es decitstart time= o y stop time = 0. Contact. C-Seq. Aquí tenenemos información sobre el tipo de datos que se transporta (audio o sesión telefónica en este caso). Session Version. URI SIP Contact address. Captura conversaciones VoIP. Información sobre la conección.

aún nos quedan algunos paquetes más por ver. Paquete nº3 En el paquete nº 3 tenemos un mensaje también de mensaje de respuesta de información de estado.wordpress. en el campo To. Extracción de audio. Se informa que el INVITE fue recibido por la otra parte. Lo veremos en la siguiente y última parte. | Seguridad y Redes 15/01/15 10:39 p. Si establecemos como filtro el protocolo rtp. =========================== Bien. Ya hemos visto más arriba para que sirve RTP. tal como dice su código 100. hay un Tag=298852044 que no estaba en el paquete nº 1. de que se está tratando la información: Se observa el Status-Code: 100 En el Message Header tenemos la misma información que el Message Header del paquete número 1. Es el mismo e identifica a la sesión. Ahora vamos a ver como con Wireshark podemos extraer la información de audio y otros datos de la captura. Vemos que en los paquetes 2 y 3. Captura conversaciones VoIP.com/2010/04/05/wireshark-cap…nversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/ Página 5 de 11 . Extracción del audio con Wireshark. SDP y RTP. Se informa. https://seguridadyredes. Digamos que se está Rinnging (llamando) y se espera a que atienda la llamada: . veremos solo los paquetes correspondientes a dicho protocolo. El paquete nº 2 corresponde a un mensaje de respuesta de información de estado.Wireshark.m. Protocolo SIP.

Initial Speaker. es decir usa el códec audio G. Campo From del que realiza la petición INVITE. Dirección IP del que inicia la llamada. (SIP en nuestro caso) Packets. Marca de tiempo de inde de llamada. Protocolo SIP. Campo To de la petición INVITE. etc. State.m.com/2010/04/05/wireshark-cap…nversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/ Página 6 de 11 .Wireshark. En nustre caso tenemos IN CALL (llamada en curso) y CALL SETUP (llamada en estado de proceso o setup. Stop Time. Número de paquetes correspondientes a la llamada.) Comments. Captura conversaciones VoIP. To. Protocolo usado. https://seguridadyredes.wordpress. | Seguridad y Redes 15/01/15 10:39 p. Estado de la llamada. Frecuencia de muestreo 8KHz y usa para comprimir/descomprimir PCMA. Nos situamos sobre este paquete y en el menú Telephony > VoIP Calls. nos aparece una ventana: Se trata de una lista de las llamadas incluidas en la captura. Marca de tiempo en inicio de la llamada. Extracción de audio. From.711. Union). Protocol. Tenemos una serie de columnas con información de cada llamada: Start Time.711 PCMA (8). Comentarios. En este caso trámites de INVITE. estandarizado por ITU (International Telecom. SDP y RTP. Observamos uno de estos paquetes (lo veremos con más profuncidad más adelante): Vemos en el campo Payload Type o tipo de carga que se trata de de ITU-T G.

Cerramos la ventena de análisis gráfico y sobre la ventana VoIP Calls. Captura conversaciones VoIP. https://seguridadyredes.st Learni. | Seguridad y Redes 15/01/15 10:39 p. Protocolo SIP. Si hacemos lo mismo con el primer Item correspondiente al IN CALL.2 y3 . Pulsando ambas pistas escucharemos toda la conversación. la conversación RTP de transporte del audio de la conversación. como veis. pulsamos el botón Player en el Item 1.wordpress. Sobre la ventana que nos aparece pulsamos Decode y obtenemos: Tenemos dos pistas de audios que corersponden a cada uno de los usuarios involucrados en la conversación.m.st (sponsored) 2. Nos situamos en el segudo item correspondiente al CALL SETUP y pulsamos Graph: Aquí. Si marcamos una pista uno y pulsamos Play oiremos el audio de la conversación. tenemos un análisis gráfico de la conversación mantenida entre quien realiza la petición INVITE y las dos respuestas correspondentes a los paquetes 1 y 2 que ya hemos visto.com/2010/04/05/wireshark-cap…nversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/ Página 7 de 11 . ==== Hasta aquí por hoy. En el próximo capitulo veremos los paquetes RTP en profundidad y otros paquetes SIP como REGISTER. Child Star Syndrome 2 months ago learni. About these ads You May Like 1. a parte de los paquetes 1. Extracción de audio. Es este itrem el que nos interesa. SDP y RTP. vereis.st Learni.Wireshark.

Security Onion Live. SUM. La red se usa fundamentalmente para recopilar informacion de tipo metereologico y el problema que presento es que la misma a cada rato colapsa pues algunos usuarios indisciplinados la usan para copiar ficheros de audio y video. Captura conversaciones VoIP. He realizado varias capturas con wireshark y me interesaria poder detectar quien y que copia en la red. (VI Parte.com/2010/04/05/wireshark-cap…nversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/ Página 8 de 11 . 2010 en 5:36 pm https://seguridadyredes. etc. SDP y RTP. SGUIL. Bob dijo: 16 abril. En "Seguridad y redes" Snort. Te comento que administro una red wifi con cerca de 40 usuarios. Extracción de audio.." Esta entrada fue publicada en Seguridad y redes. 17 respuestas a Wireshark.. Parte II En "Security Onion" Visualización gráfica de ficheros . | Seguridad y Redes 15/01/15 10:39 p.m. para poder evitar la caida de la misma. Wireshark en línea de comandos. Guarda el enlace permanente. muchas gracias. MAX y AVG. Protocolo SIP. 2010 en 5:20 pm Bob. muy buena informacion. saludos Responder Anibal Baena dijo: 20 julio. Responder Alfon dijo: 21 mayo.pcap con AfterGlow.wordpress.) Avanzando en filtros. Extracción de audio. Analizando una alerta. Tu voto: 3 Votes Share this:  Twitter 7  Facebook 4  Me gusta Sé el primero en decir que te gusta. Wireshark . te lo agradeceria mucho. Un caso real. una pregunta.Wireshark. Si me pudieras orientar que protocolo debo filtrar. En "AfterGlow. Muy buenos articulos. Tshark. puertos. Estadísticas. Squert y Suricata. Protocolo SIP. 2010 en 6:37 pm Hola Alfon. 2010 en 8:16 pm que tal. intentaré realizar una reseña o artículo sobre este tema.. Responder Danny Caceres dijo: 22 mayo. funciona de la misma manera en redes ipv6???. Relacionado Tshark. COUNT.. MIN. VoIP. SDP y RTP. Captura conversaciones VoIP.

que toy empezando mi tesis en Seguridad Informática. es una herramienta buenísima Responder ZaPa dijo: 5 agosto. muchas gracias por tu comentario y por leerme. cuando un usuario pase cualquier fichero. Responder Juan Carlos dijo: 14 agosto. saludos y éxitos.m. Responder Laura Rozo dijo: 26 septiembre. muchas gracias. Un saludo. excelente artículo. Gracias también a tí J. SDP y RTP. | Seguridad y Redes 15/01/15 10:39 p. realmente amigo te agradesco por ese aporte que haces a la gente que ya tiene un conocimiento avanzado y a otros que tienen básico como yo. dijo: 30 septiembre. Protocolo SIP.Wireshark. Captura conversaciones VoIP. Extracción de audio. 2010 en 7:51 am Laura. ya que si no lo haces. con lo que la red irá lenta. para limitar la velocidad máxima de bajada/subida en tu red local. 2010 en 9:10 pm Hola!. https://seguridadyredes. me sirvió mucho Responder Alfon. tengo en borrador el artículo a medio hacer desde hace meses. llegará a la velocidad máxima del backbone y tendrás pines altos. Muchas gracias. Carlos.wordpress. realmente este blog de Seguridad y Redes es espectacular. 2010 en 4:46 pm Elder. Responder Eder dijo: 25 octubre. Necesitas implementar calidad de servicio (QoS) en tu red.com/2010/04/05/wireshark-cap…nversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/ Página 9 de 11 . pasará lo que te esta pasando. A ver si lo termino. 2010 en 4:14 pm Ya sacaste el próximo capitulo??? Si es así como lo encuentro?? me seria de mucha ayuda Responder Alfon dijo: 25 octubre. 2010 en 1:53 am Hola amigos. realmente estoy muy agradecido y espero que coloques más sobre seguridad. 2010 en 2:18 pm Hola Bob.

ahi vas a saber quien corto (recorda que en el Flow aparece con una flecha el sentido de los paquetes) Responder Francisco dijo: 31 enero. wireshark no detecta ninguno de los dos protocolos. el artículo es de mucha ayuda. en el extremo derecho la IP de la tarjeta Dialogic. Protocolo SIP. mil gracias. hasta hace poco nos integramos a la tarea y con este documentos me apoyo para realizar mis análisis.wordpress. Sólo una pregunta ¿Cómo se puede interpretar la captura en el siguiente escenario? Usamos un servidor con tarjetas Dialogic por lo que la tarjeta tiene una IP independiente y el servidor también. Un saludo. pero esono me sirve como podria solucionarlo?? Muchas gracias de antemano Responder jordi dijo: 17 abril. Cuando el agente la envía me imagino que está más que claro. 2010 en 2:57 pm Muchas gracias Alfon. 2011 en 1:50 pm Muy útil ! gracias por compartirlo… Responder Alfon dijo: https://seguridadyredes. lo primero felicitarte por el blog y el artículo. la señal que viene del PSTN sobre el E1. patrice Responder Marco Mendoza dijo: 5 diciembre. Cuando se establece un diálogo entre el equipo del agente (una PC con softphone) y el servidor. ya que nuestra telefonía se basa en protocolo SIP y hemos tenido incidencias de fallas de telefonía.m. sin embargo sólo el proveedor interpreta los resultados. Responder patrice Bertin dijo: 1 diciembre. Responder Martin Alejandro Guzman dijo: 22 octubre. | Seguridad y Redes 15/01/15 10:39 p. lo uso como referencia en el trabajo.com/2010/04/05/wireshark-cap…versaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/ Página 10 de 11 . pero en medio aparece la dirección IP del equipo de agente que recibe la llamada con el softphone ¿Cómo se interpretaría el flujo de diálogo? Lo que quiero saber es quien manda la señal de colgado. ya que desde tu gateway o pbx al puesto va por sip. Captura conversaciones VoIP. 2013 en 6:09 pm Lo que tenes que buscar en el Flow de la conversacion es el bye. Me ayudo mucho tu artículo para pasar de la teória a la practica. solo tcp y bsd creo recordar. Tengo que hacer un trabajo sobre Asterix o Ventrilo k es para mac y me gustaria complementarlo mostrando los protocolos que usan. el servidor SIP o la tarjeta Dialogic. SDP y RTP. Extracción de audio. 2011 en 4:37 pm Hola.Wireshark. en las gráficas me parece en el extremo izquierdo la IP del servidor donde está instalada esta tarjeta. como SIP o RTP pero cuando me conecto al servidor de ventrilo o hablo con mi compañero. 2010 en 8:19 pm Hola que tal.

Wireshark. 2011 en 7:42 am Francisco.com. SDP y RTP. Envíame una captura.m. Escríbeme..com/2010/04/05/wireshark-cap…versaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio/ Página 11 de 11 . y lo vemos. Protocolo SIP. | Seguridad y Redes 15/01/15 10:39 p. Extracción de audio.6 :S gracias ^^ Responder Seguridad y Redes El tema Twenty Ten. y tengo la version 1. Crea un blog o un sitio web gratuitos con WordPress. 2012 en 5:30 pm ohh amigo. Captura conversaciones VoIP. muy interesante. 18 abril.wordpress. Responder Emerson dijo: 15 marzo. pero no pudo oir el audio de la conversa. https://seguridadyredes.