#wireshark #communication #tshark #telecommunication #diameter-protocol
Вопрос:
Я пытаюсь декодировать необработанные кадры телефонного вызова с помощью tshark, все поля: код команды, идентификатор приложения, AVPS помечены как «Неизвестные». За этой маркировкой следует предложение «если вы знаете, что это такое, вы можете добавить его к dictionay.xml». Я упускаю какие-то возможности? Как решить эту проблему?введите описание изображения здесь
Комментарии:
1. Какую версию
tshark(Wireshark) вы используете? Если вы не используете последнюю версию, попробуйте выполнить обновление, чтобы узнать, включает ли более новая версия требуемое вскрытие. Если вы используете последнюю версию, возможно, вам захочется открыть проблему с Wireshark и включить файл захвата образца.2. Я столкнулся с проблемой с локальной версией Wireshark. Это было решено путем отслеживания пути, по которому tshark пытался найти файлы рассекателя.
Ответ №1:
Конечно, протокол, который вы пытаетесь декодировать (3GPP Cx), является частью готового словаря Wireshark:
jhartman@mbp wireshark-master % grep 16777216 -A 10 diameter/TGPP.xml
<application id="16777216" name="3GPP Cx" uri="http://www.3gpp.org/DynaReport/29229.htm">
<!-- IMS Cx Dx Application -->
<command name="User-Authorization" code="300" vendor-id="TGPP"/>
<command name="Server-Assignment" code="301" vendor-id="TGPP"/>
<command name="Location-Info" code="302" vendor-id="TGPP"/>
<command name="Multimedia-Auth" code="303" vendor-id="TGPP"/>
<command name="Registration-Termination" code="304" vendor-id="TGPP"/>
<command name="Push-Profile" code="305" vendor-id="TGPP"/>
Мои предложения:
- Скачайте последнюю версию Wireshark
- Убедитесь, что Wireshark интерпретирует журнал как диаметр: выберите кадр и выберите «Декодировать как» в контекстном меню. Затем выберите «Диаметр».
Наконец: на скриншоте нет других подробностей, возможно, вы могли бы поделиться несколькими кадрами из своего журнала для анализа.