Что такое RTP в Wireshark?

RTP означает протокол реального времени, который представляет собой протокол, который позволяет передавать потоковое мультимедиа по сети на основе IP. Протокол определяет, как аудио- и видеоданные будут кодироваться, передаваться и упаковываться в пакеты данных вместе с информацией, необходимой для декодирования данных в пункте назначения. Конечные точки связи, участвующие в сеансе RTP, называются участниками. Два участника сеанса RTP называются отправителем RTP и получателем RTP.

Транспортный протокол реального времени (RTP) в Wireshark:

Транспортный протокол реального времени (RTP) — это сетевой протокол, который обеспечивает аудио- и видеосвязь в реальном времени, например голосовой и видеочат, по компьютерным сетям. Этот протокол работает поверх протокола управления передачей (TCP). Wireshark — это кроссплатформенный анализатор пакетов, используемый для устранения неполадок и анализа пакетов данных, проходящих по сети (в частности, для захвата или отслеживания потоков цифровых данных). Он используется сотнями тысяч организаций для обеспечения ИТ-безопасности, мониторинга сети, тестирования разработки и учебных программ.

В следующем разделе обсуждается, как протокол RTP используется Wireshark. Мы увидим, как Wireshark может декодировать и просматривать данные протокола на сетевом интерфейсе. В последнем разделе этой статьи будет обсуждаться настройка Wireshark для захвата и декодирования трафика на основе RTP. Мы будем использовать пример сценария для обсуждения процесса связи RTP между двумя конечными точками, то есть участником A (отправитель) и участником B (получатель). Связь между двумя участниками основана на протоколе Multicast RTP, который является надежным протоколом.

Давайте перехватим RTP-пакет от участника A, который содержит файл потокового видео.

• В меню Wireshark выберите Статистика | Общий пакет Окно общей статистики пакета показывает поля и их соответствующие значения для конкретного пакета. Например, для потока данных RTP у нас есть транспортный протокол (RTP) и тип мультимедиа (аудио/видео).
• Вы также увидите смещение текущего времени в миллисекундах и количество байтов всех переданных пакетов.
• Давайте теперь отправим аудиофайл участнику B. Как только мы захватим аудиофайл, мы увидим, что есть входящий трафик протокола UDP/IP, который захватывается как часть этого файла pcap.
• Теперь давайте посмотрим на то же самое окно общей статистики пакетов для этого конкретного интересующего нас пакета. Если вы прокрутите окно вниз до конца, вы увидите, что протокол RTP используется обоими участниками.
• Чтобы расшифровать и просмотреть дополнительную информацию о связи RTP, нам необходимо провести глубокий анализ пакетов, участвующих в сеансе RTP.
• Мы будем использовать тот же образец аудиофайла, который был отправлен участнику Б. В рамках этой задачи мы также рассмотрим, как Wireshark декодирует и просматривает трафик на основе RTP на сетевом интерфейсе.

Протокольные зависимости RTP в Wireshark:

Протокольные зависимости RTP включают:

• Протоколы уровня доступа к сети, например Ethernet или Frame Relay.
• Один или несколько транспортных протоколов, например уровень TCP.
• Один или несколько протоколов сетевого уровня, например IPv4 или IPv6. Такой протокол, как UDP, используется на этом уровне вместо протокола более высокого уровня в случаях, когда подтверждение не требуется (например, с RTP). Идентификатор потока идентифицирует поток данных по сети между двумя конечными точками.
• Необязательные порты содержат номера портов источника и получателя, если они поддерживаются транспортным протоколом, используемым для создания потока.

Предпочтительные настройки RTP в Wireshark:

Есть некоторые настройки, которые можно настроить для повышения производительности Wireshark. Доступ к этим настройкам можно получить, перейдя в « Edit→Preferences ».

• Интерфейс : RTP отключен в ненадежных сетях, если только не используется SSL.
• Отображение : ограничьте сводку каждого пакета только один раз за разговор. Это полезно, если у вас есть большие файлы захвата с большим объемом трафика для одного человека или нескольких людей (например, если вы осуществляете долгосрочное наблюдение за кем-то). Когда этот параметр отключен, Wireshark будет показывать каждый пакет несколько раз для одного и того же разговора, что может сильно раздражать, если у вас большой трафик и/или большие файлы захвата (например, несколько гигабайт).
• Примените один и тот же стиль текста ко всем пакетам для разговора : это полезно, если вы хотите обработать большой файл захвата и хотите выполнить какую-то обработку/анализ содержимого пакета, а не метаданные разговора (кто с кем разговаривал, когда и т. д.). .). Когда отключено, вы можете применять разные цвета/шрифты/и т.д. к разным разговорам. Например, если ваш файл захвата содержит разговоры как на стороне клиента (например, IM), так и на стороне сервера (например, HTTP), использование разных шрифтов для каждого из них упрощает чтение вывода вашего сценария обработки.

Контрмеры:

• Хотя Wireshark изначально не декодирует RTP, существуют различные способы использования Wireshark для просмотра или захвата пакетов RTP.
• Например, вы можете настроить свой сетевой интерфейс так, чтобы он был неразборчивым, то есть он принимал весь трафик на сетевом интерфейсе. Затем вы можете использовать Wireshark для установки фильтра, а также настроить фильтр захвата. Вы также можете использовать подключаемый модуль decapsulate-RTP для автоматического декодирования входящего потока RTP и отображения его в графическом интерфейсе, как только вы просканируете его трафик на своем сетевом интерфейсе в режиме Live Capture.