信令跟踪跟抓包

全流程呼叫跟踪

跟踪功能与含义

全流程呼叫跟踪是集用户呼叫跟踪、匹配用户号码跟踪、H248 TID跟踪为一体的跟踪方法，用户可以通过不同的方式触发全流程跟踪。在H248信令跟踪、内部信令跟踪的基础上，增加随路信令（R2）跟踪、DTMF信令跟踪、在H248信令跟踪、内部板间消息的基础上，增加R2消息、DTMF消息、2833消息、RTCP消息、IPBCP消息、UPT38信令跟踪，并提供跟踪过程中的录音功能、支持将收集到的承载面故障定位信息和录音文件通过FTP上传到指定的FTP服务器。

说明：

该跟踪只能在需要下发跟踪任务的单板（OMD）启动之后才能创建。

在使用全流程呼叫跟踪任务时，需要同时在MGC和MGW上配合启动对特定用户的跟踪，保证MGW识别出需要跟踪的用户，从而输出相关信息，完整地体现此用户的呼叫处理流程。 主要参数解释

进行全流程呼叫跟踪时，H248信令消息、内部信令跟踪是默认选择的，对于其他的消息选项，根据业务需求进行选择。

?

TCEC：是否对指定EC/TC拨测的TCEC消息进行跟踪。

该参数项在“跟踪类型”选择“USERID”时使用，对于指定的“用户号”进行指定EC/TC进行拨侧。

?

跟踪类型：跟踪类型分为“

信令跟踪分析方法：

1、 主要有哪些信令收集仪表，如何进行信令收集？

答：主流的信令仪表有K1205/1297，AGILENT，MPA7300/7400，LITE3000，其中LITE3000有ABIS口信令收集和A口信令收集能力，但其最主要的功能为A口话音监听和ABIS口话音监听，MPA7300/7400对于多时隙的信令收集较差，故使用场合有一定限制，故日常优化工作中最理想的信令仪表为K1205/1297，AGILENT，这两种信令仪表的具体使用方法如下所示：

K1205信令仪操作作业指导书.doc

AGILENT信令仪使用简介.doc

2、 主要有哪些信令的后台分析软件，分别有哪些功能，如何使用？

答：主要信令分析软件有A口/ABIS口/GSM&GPRS信令分析软件COMPASS，K1205自带的ABIS口信令分析软件OPT，AGILENT后台分析软件WSO，具体功能和使用方法如下所示：

K1205数据分析：

这里主要讲K1205自带的ABIS口信令分析软件OPT的使用方法： 该软件主要有如下几项功能：

1、 小区级和载频级的上下行电平分布统计，上下行质量分布统计，上行干扰情况统计，电

平质量随TA分布的统计，上下行链路的平衡情况；

2、

M2000跟踪UE用户，通过跟踪信令判断是否掉线

过滤UE context release command信令

查看扩展信令cause，正常release原因如下：

1、 normal-release 代码为20，如下截图：（正常释放）

2、 user-inactivity 代码为0280（用户无操作）

3、 successful-handover代码为0040（切换成功）

4、 unspecfied代码为44

5、 failure-in-radio-interface-procedure代码为0340(无线侧失败，由于空口链路失步)

6、 Detach代码为24(用户离开)

7、 Release-due-to-eutran-generated代码为0060(UE的一个状态转变)

8、 Inter-RAT redirection代码0380（系统间切换） 9、 cs fallback triggered（CS回退引发）

10、 UE Not Available For PS Service（没有可用的PS服务）

查看扩展信令cause，异常release原因如下：

? Radio-connection-with-ue-lost代码为02

M2000跟踪UE用户，通过跟踪信令判断是否掉线

过滤UE context release command信令

查看扩展信令cause，正常release原因如下：

1、 normal-release 代码为20，如下截图：（正常释放）

2、 user-inactivity 代码为0280（用户无操作）

3、 successful-handover代码为0040（切换成功）

4、 unspecfied代码为44

5、 failure-in-radio-interface-procedure代码为0340(无线侧失败，由于空口链路失步)

6、 Detach代码为24(用户离开)

7、 Release-due-to-eutran-generated代码为0060(UE的一个状态转变)

8、 Inter-RAT redirection代码0380（系统间切换） 9、 cs fallback triggered（CS回退引发）

10、 UE Not Available For PS Service（没有可用的PS服务）

查看扩展信令cause，异常release原因如下：

? Radio-connection-with-ue-lost代码为02

wireshark怎么抓包、wireshark抓包详细图文教程

wireshark是非常流行的网络封包分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。使用wireshark的人必须了解网络协议，否则就看不懂wireshark了。

为了安全考虑，wireshark只能查看封包，而不能修改封包的内容，或者发送封包。

wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容，总结，如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark.

wireshark 开始抓包 开始界面

wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。

点击Caputre->Interfaces.. 出现下面对话框，选择正确的网卡。然后点击"Start"按钮, 开始抓包

Wireshark

窗口介绍

WireShark 主要分为这几个界面

1. Display Filter(显示过滤器)， 用于过滤

2. Packet List Pane(封包列表)， 显示捕获到的封包， 有源

一、单项选择题（共10道小题，共100.0分）

1. （ ）成份的作用是要求远端用户执行一个操作。 。

A. INV B. RR-L C. RE D. RJ 知识点:

TC的结构及功能

标准答案: A； 试题分值: 10.0

学生答案: [A;] 得分: 提示:

[10]

2. 传送TC结构化对话时，设节点A发出的Begin消息中的源端事务ID值OTID＝9，节点B发出的第一个Continue消息中的OTID＝34，以后节点A和B又各发出一个Continue消息，最后由节点B采用基本方式结束事务处理，节点B发送的END消息中的DTID=（ ）。

A. 9 B. 15 C. 34 D. 不确定 知识点:

TC的结构及功能

标准答案: A； 试题分值: 10.0

学生答案: [A;] 得分: 提示:

[10]

3. 当PSTN用户呼叫移动用户时，入口GMSC向被叫MS所在的MSC发送的IAM消息中的被叫用户号码是（ ）。

A. 被叫移动用户的ISDN号码 B. 被叫移动用户的识别码IMSI

C. VLR临时分配给移动用户的漫游号

网络层数据包抓包分析

一.实验内容

（1）使用Wireshark软件抓取指定IP包。

（2）对抓取的数据包按协议格式进行各字段含义的分析。 二.实验步骤

（1）打开Wireshark软件，关闭已有的联网程序（防止抓取过多的包），开始抓包；

（2）打开浏览器，输入http://www.sina.com.cn/网页打开后停止抓包。

（3）如果抓到的数据包还是比较多，可以在Wireshark的过滤器（filter）中输入http，按“Apply”进行过滤。过滤的结果就是和刚才打开的网页相关的数据包。

（4）在过滤的结果中选择第一个包括http get请求的帧，该帧用

于向http://www.sina.com.cn/网站服务器发出http get请求 （5）选中该帧后，点开该帧首部封装明细区中Internet Protocol前的”+”号，显示该帧所在的IP包的头部信息和数据区：

（6）数据区目前以16进制表示，可以在数据区右键菜单中选择“Bits View”以2进制表示：

（注意:数据区蓝色选中的数据是IP包的数据，其余数据是封装该IP包的其他层的数据） 回答以下问题：

1、该IP包的“版本”字段值为_0100_(2进制表示)，该值代表该IP包的协

网络层数据包抓包分析

一.实验内容

（1）使用Wireshark软件抓取指定IP包。

（2）对抓取的数据包按协议格式进行各字段含义的分析。 二.实验步骤

（1）打开Wireshark软件，关闭已有的联网程序（防止抓取过多的包），开始抓包；

（2）打开浏览器，输入http://www.sina.com.cn/网页打开后停止抓包。

（3）如果抓到的数据包还是比较多，可以在Wireshark的过滤器（filter）中输入http，按“Apply”进行过滤。过滤的结果就是和刚才打开的网页相关的数据包。

（4）在过滤的结果中选择第一个包括http get请求的帧，该帧用

于向http://www.sina.com.cn/网站服务器发出http get请求 （5）选中该帧后，点开该帧首部封装明细区中Internet Protocol前的”+”号，显示该帧所在的IP包的头部信息和数据区：

（6）数据区目前以16进制表示，可以在数据区右键菜单中选择“Bits View”以2进制表示：

（注意:数据区蓝色选中的数据是IP包的数据，其余数据是封装该IP包的其他层的数据） 回答以下问题：

1、该IP包的“版本”字段值为_0100_(2进制表示)，该值代表该IP包的协

Wireshark实现远程抓包

本文简述一下如何用wireshark和rpcapd实现远程抓包，服务器为LINUX，如果是windows服务器使用WinPcap也可以，windows服务器实现远程抓包有兴趣的可以研究下。 1. 下载下面的附件，通过SSH Secure Shell上传到要抓包的远程linux服务器的/opt目录下

rpcap.tar里面压缩的就是rpcapd rpcapd.sh这2个文件。

2.解压rpcapd.tar，输入命令：tar –xf rpcapd.tar

3.给文件添加可执行权限，输入命令：chmod 755 rpcapd rpcapd.sh 4.启动远程抓包进程，输入命令：./rpcapd –n

5.查看远程抓包进程是否启用，监听端口是2002，输入命令：netstat –natp | 2002

6.确定服务启用后就可以在本地的机器开启wireshark进行远程抓包，设置截图如下：

上述截图是远程抓取112.84.191.196这台服务器的eth0网卡的所有数据包，如果想抓取其他网卡的数据包，比如eth1只需更改eth0为eth1命令如下 rpcap://112.84.191.196:2002/eth1

IGMP

IGMP 是Internet Group Management Protocol（互联网组管理协议）的简称。它是TCP/IP 协议族中负责IP 组播成员管理的协议，用来在IP 主机和与其直接相邻的组播路由器之间建立、维护组播组成员关系。

到目前为止，IGMP 有三个版本： 1、IGMPv1（由RFC 1112 定义） 2、IGMPv2（由RFC 2236 定义） 3、IGMPv3（由RFC 3376定义）

一、IGMPv1

1.1报文格式

1、版本：

版本字段包含IGMP版本标识，因此设置为1。 2、类型：

成员关系查询 （0x11） 成员关系报告 （0x12） 3、校验和 4、组地址：

当一个成员关系报告正被发送时，组地址字段包含组播地址。 当用于成员关系查询时，本字段为0，并被主机忽略。 1.2组成员加入过程

当一个主机希望接收一个组播组的数据，则发送成员加入报告给组播组。

IGMPv1 join包如下：

1.3查询与响应过程

路由器RTA（IGMP查询器）周期性地（默认60秒）向子网内所有主机（224.0.0.1代表子网内所有主机）发送成员关系查询信息。

所有主机收到IGMPv1成员关系查询信息，一主机首先向组播组发送IGM