pcapにRTPトラフィックが含まれているかどうかを確認する方法は？

Question

VOIPアプリケーションのトラフィックを分析しています。私はwiresharkを起動し、他のアプリケーションがインターネットを使用していないことを確認してから、アプリケーションで音声通話を行いました。 Wiresharkは、いくつかのNice UDPパケットをキャプチャしてくれました。音声で3回、ビデオで3回行いました。次に、トラフィックを分析します。つまり、トラフィックの種類や、アプリケーション固有のパターンなどがあるかどうかを調べます。

私はパケットを右クリックしてデコードを選択するようにグーグルで読みました-> RTP-しかし、RTPヘッダーまたはペイロードが表示されませんRTPの見出しの下にあるバージョン：バージョンドラフト1です。

この点に関するヘルプやガイダンスはありがたいです。

ところで、私はRFCと今何を読んでいますが、トラフィックを分析する方法を理解できず、RTPが存在するかどうか、および存在する場合は、メディアが転送されるかどうかを理解できませんこれだけを使うのか、それとも他の何かを使うのか？

Mark McDonagh · Answer

考慮すべきいくつかの問題

ネットワークインターフェース上のすべてのトラフィックをキャプチャしましたか？
Wiresharkの最新バージョンを実行していますか？
SIP traffic as RTP trafficをデコードしようとしなかったのですか？

私のアドバイスは、既知のRTP Pcapr からのトラフィック、つまり次のPCAP SIP PCAP を含むいくつかのpcapをダウンロードすることです。 RTPトラフィックは次のようになるはずです。あなた自身のネットワークでそれを見つける可能性が高くなります。

私はpcaprとは関係がないことに注意してください

bstpierre · Answer

PcapにRTPが含まれているかどうかを確認する最も簡単な方法は、セッションをセットアップする制御プロトコルに交換があるかどうかです。たとえば、SIP INVITEおよび関連メッセージ、MGCPではCRCXメッセージなど。会話全体を録音した場合、wiresharkは通常RTPを自動的にデコードします。

アプリが非標準/独自の制御プロトコルを使用している場合、RTPの存在を推測することができます（a）ヘッダーがRTPパケット形式と（b）（多くの場合）次に大きい奇数のUDPポート番号でRTCPの存在を探します（たとえば、RTPが32020の場合、RTCPは32021にある）。

あなたの場合、wiresharkは、デコードしている「RTP」がバージョン1であることを伝えています。RFC3550は次のように述べています。

 version (V): 2 bits This field identifies the version of RTP. The version defined by this specification is two (2). (The value 1 is used by the first draft version of RTP and the value 0 is used by the protocol initially implemented in the "vat" audio tool.)

したがって、RTPが表示されている可能性はほとんどありません。