[Problem] Fritz Telefonmitschnitt NACH Gesprächsbeginn + Wireshark ???

[pivox]

Hier

Wireshark: VoIP-Telefonate mitschneiden und anhören nach Beginn des Gesprächs – Antary

www.antary.de

gibt es dazu eine gute Anleitung, allerdings schon 10 Jahre alt. Aber es funktioniert bei mir nicht und wahrscheinlich werde ich dort keine Antwort bekommen.

Mein Setup: FB 5590; FRITZ!OS v7.81; Wireshark v4.3.3
Ein Mitschnitt VOR dem Gespräch gestartet, kann problemlos mit Wireshark analysiert und nachgehört werden.
Problem:
Aber ein Start NACH dem Gesprächsbeginn bringt kein sinnvolles Ergebnis; nichts bei RTP-Streams
und bei VOIP-Anrufe kommt nur das:
“Startzeitpunkt”,”Endzeitpunkt”,”Initiierender Sprecher”,”Von”,”Nach”,”Protokoll”,”Dauer”,”Pakete”,”Zustand”,”Kommentare”
“832.628921”,”832.628921″,”141.94.xxx.xxx”,””,””,”SIP”,”00:00:00″,”1″,”CALL SETUP”,”INVITE”

“rtp_stun” und “rtp_udp” ist natürlich gesetzt.

Habe schon viel rumprobiert und google gequält aber nichts Passendes gefunden.
Ich bin allerdings kein Programmierer oder Netzwerkspezialist.

Mein Gespräch ging 2 Stunden und die eth-Datei ist 1,2 GB groß.
Jetzt müsste ich dringend dieses Gespräch nochmal anhören.
Es enthält viele wichtige für mich persönliche Infos, die ich leider nicht alle mitschreiben konnte.

Es wäre also super, wenn da jemand weiterhelfen könnte!

 

[dkuehnlein]

Wenn der komplette Verbindungsaufbau im Trace fehlt, kann Wireshark natürlich auch nicht automatisch erkennen, wie es welche UDP-Pakete als RTP interpretieren soll und welche nicht.

Ich würde mir die IP-Adresse des Telefons mit dem du telefoniert hast raussuchen und mir alle Pakete im Trace anschauen, die dort hingehen. Und dann nach und nach die UDP-Streams als RTP decodieren und schauen wann was brauchbares rauskommt.

Alternativ, wenn der Call >2h ging wäre es einen Versuch wert nach einem SIP-ReInvite zu suchen. Dort sind im SDP die Port-Angaben für den RTP hinterlegt.

 

[pivox]

Vielen Dank für die schnelle Antwort. Hört sich an, als hätte ich eine Chance. Nur ist das alles Neuland für mich.
Ich habe jetzt schon viel rumprobiert, aber komme nicht weiter:

IP-Adresse des Telefons mit dem du telefoniert hast raussuchen

Mit dem Filter SIP bekomme ich 52 Pakete angezeigt, 44 davon mit gleicher IP in Kommunikation mit meiner IP (37.228.xxx.39);
sortiert nach Source:

No.    Time    Source    Destination    Protocol    Length    Info
63345    14:30:12,266212    141.94.194.98    37.228.xxx.39    SIP    649    Request: INVITE sip:[email protected]:5063 |
616735    14:55:58,308070    176.9.xxx.25    37.228.xxx.39    SIP    497    Status: 200 OK (REGISTER)  (1 binding) |
616738    14:55:58,318547    176.9.xxx.25    37.228.xxx.39    SIP    497    Status: 200 OK (REGISTER)  (1 binding) |
1187158    15:49:58,330083    176.9.xxx.25    37.228.xxx.39    SIP    497    Status: 200 OK (REGISTER)  (1 binding) |
1187162    15:49:58,394470    176.9.xxx.25    37.228.xxx.39    SIP    497    Status: 200 OK (REGISTER)  (1 binding) |
1222712    16:15:26,616949    176.9.xxx.25    37.228.xxx.39    SIP    548    Request: BYE sip:[email protected]:39067;user=phone;transport=tcp;uniq=5909F71CC22CECB89B77A64168B49D0 |
595296    14:49:34,246135    185.xxx.5.55    37.228.xxx.39    SIP    460    Request: OPTIONS sip:[email protected] |
1191978    15:53:25,999303    185.xxx.5.55    37.228.xxx.39    SIP    460    Request: OPTIONS sip:[email protected] |
58697    14:26:39,213988    185.39.86.xxx    37.228.xxx.39    SIP    542    Status: 401 Unauthorized |
58699    14:26:39,242457    185.39.86.xxx    37.228.xxx.39    SIP    520    Status: 200 OK (REGISTER)  (1 binding) |
58701    14:26:39,268291    185.39.86.xxx    37.228.xxx.39    SIP    521    Status: 200 OK (REGISTER)  (1 binding) |
597004    14:50:29,294538    185.39.86.xxx    37.228.xxx.39    SIP    542    Status: 401 Unauthorized |
597006    14:50:29,310910    185.39.86.xxx    37.228.xxx.39    SIP    520    Status: 200 OK (REGISTER)  (1 binding) |
597008    14:50:29,327123    185.39.86.xxx    37.228.xxx.39    SIP    521    Status: 200 OK (REGISTER)  (1 binding) |
639236    15:12:27,348315    185.39.86.xxx    37.228.xxx.39    SIP    542    Status: 401 Unauthorized |
639238    15:12:27,365692    185.39.86.xxx    37.228.xxx.39    SIP    520    Status: 200 OK (REGISTER)  (1 binding) |
639240    15:12:27,381907    185.39.86.xxx    37.228.xxx.39    SIP    521    Status: 200 OK (REGISTER)  (1 binding) |
669236    15:32:18,393657    185.39.86.xxx    37.228.xxx.39    SIP    542    Status: 401 Unauthorized |
669238    15:32:18,411810    185.39.86.xxx    37.228.xxx.39    SIP    520    Status: 200 OK (REGISTER)  (1 binding) |
669240    15:32:18,427172    185.39.86.xxx    37.228.xxx.39    SIP    521    Status: 200 OK (REGISTER)  (1 binding) |
1195084    15:55:53,452018    185.39.86.xxx    37.228.xxx.39    SIP    542    Status: 401 Unauthorized |
1195086    15:55:53,469704    185.39.86.xxx    37.228.xxx.39    SIP    520    Status: 200 OK (REGISTER)  (1 binding) |
1195090    15:55:53,486851    185.39.86.xxx    37.228.xxx.39    SIP    521    Status: 200 OK (REGISTER)  (1 binding) |
1230897    16:21:15,507224    185.39.86.xxx    37.228.xxx.39    SIP    542    Status: 401 Unauthorized |
1230899    16:21:15,553303    185.39.86.xxx    37.228.xxx.39    SIP    520    Status: 200 OK (REGISTER)  (1 binding) |
1230902    16:21:15,572464    185.39.86.xxx    37.228.xxx.39    SIP    521    Status: 200 OK (REGISTER)  (1 binding) |
657047    15:25:00,556739    199.45.xxx.177    37.228.xxx.39    SIP    316    Request: OPTIONS sip:[email protected] |
638711    15:12:02,008647    207.xxx.67.30    37.228.xxx.39    SIP    465    Request: OPTIONS sip:[email protected] |
58696    14:26:39,204013    37.228.xxx.39    185.39.86.xxx    SIP    856    Request: REGISTER sip:sip.100312.purtel.com  (fetch bindings) |
58698    14:26:39,214793    37.228.xxx.39    185.39.86.xxx    SIP    856    Request: REGISTER sip:sip.100312.purtel.com  (fetch bindings) |
58700    14:26:39,243263    37.228.xxx.39    185.39.86.xxx    SIP    945    Request: REGISTER sip:sip.100312.purtel.com  (1 binding) |
597002    14:50:29,282673    37.228.xxx.39    185.39.86.xxx    SIP    856    Request: REGISTER sip:sip.100312.purtel.com  (fetch bindings) |
597005    14:50:29,295323    37.228.xxx.39    185.39.86.xxx    SIP    856    Request: REGISTER sip:sip.100312.purtel.com  (fetch bindings) |
597007    14:50:29,311698    37.228.xxx.39    185.39.86.xxx    SIP    945    Request: REGISTER sip:sip.100312.purtel.com  (1 binding) |
616734    14:55:58,298847    37.228.xxx.39    176.9.xxx.25    SIP    881    Request: REGISTER sip:sip.trilu.com;transport=tcp  (fetch bindings) |
616737    14:55:58,309199    37.228.xxx.39    176.9.xxx.25    SIP    1006    Request: REGISTER sip:sip.trilu.com;transport=tcp  (1 binding) |
639235    15:12:27,337193    37.228.xxx.39    185.39.86.xxx    SIP    856    Request: REGISTER sip:sip.100312.purtel.com  (fetch bindings) |
639237    15:12:27,349142    37.228.xxx.39    185.39.86.xxx    SIP    856    Request: REGISTER sip:sip.100312.purtel.com  (fetch bindings) |
639239    15:12:27,366493    37.228.xxx.39    185.39.86.xxx    SIP    945    Request: REGISTER sip:sip.100312.purtel.com  (1 binding) |
656338    15:24:34,851465    37.228.xxx.39    194.233.87.204    SIP    186    Status: 400 Illegal request line |
669235    15:32:18,383655    37.228.xxx.39    185.39.86.xxx    SIP    856    Request: REGISTER sip:sip.100312.purtel.com  (fetch bindings) |
669237    15:32:18,394427    37.228.xxx.39    185.39.86.xxx    SIP    856    Request: REGISTER sip:sip.100312.purtel.com  (fetch bindings) |
669239    15:32:18,412596    37.228.xxx.39    185.39.86.xxx    SIP    945    Request: REGISTER sip:sip.100312.purtel.com  (1 binding) |
1187157    15:49:58,320478    37.228.xxx.39    176.9.xxx.25    SIP    881    Request: REGISTER sip:sip.trilu.com;transport=tcp  (fetch bindings) |
1187161    15:49:58,385059    37.228.xxx.39    176.9.xxx.25    SIP    741    Request: REGISTER sip:sip.trilu.com;transport=tcp  (1 binding) |
1195083    15:55:53,441674    37.228.xxx.39    185.39.86.xxx    SIP    856    Request: REGISTER sip:sip.100312.purtel.com  (fetch bindings) |
1195085    15:55:53,452809    37.228.xxx.39    185.39.86.xxx    SIP    856    Request: REGISTER sip:sip.100312.purtel.com  (fetch bindings) |
1195087    15:55:53,470490    37.228.xxx.39    185.39.86.xxx    SIP    945    Request: REGISTER sip:sip.100312.purtel.com  (1 binding) |
1222713    16:15:26,619020    37.228.xxx.39    176.9.xxx.25    SIP    827    Status: 200 OK (BYE) |
1230895    16:21:15,497382    37.228.xxx.39    185.39.86.xxx    SIP    856    Request: REGISTER sip:sip.100312.purtel.com  (fetch bindings) |
1230898    16:21:15,507958    37.228.xxx.39    185.39.86.xxx    SIP    856    Request: REGISTER sip:sip.100312.purtel.com  (fetch bindings) |
1230900    16:21:15,554117    37.228.xxx.39    185.39.86.xxx    SIP    945    Request: REGISTER sip:sip.100312.purtel.com  (1 binding) |

Darunter gibt es ein INVITE (1. Zeile)
nur ergibt die Tel.-Nummer "+644830xxxx" für mich keinen Sinn.
sip:+497xxxxx89@37 ist meine Tel.-Nummer
Filtere ich nur nach 185.39.86.xxx, kommen keine weiteren Einträge.

Also, ich weiß nicht, wie ich die IP-Adresse des Partners rausbekomme.

ReInvite

Im Netz fand ich als Filtereinstellung zu INVITE

sip.Method == "INVITE" => 1 Ergebnis (s.o.)​

sip.Method == "ReINVITE" => ohne Ergebnis​

UDP-Streams als RTP decodieren

Wie geht das?

Gebe ich nur UDP oder udp.stream ein bekomme ich ca. 46000 Pakete angezeigt;
da fehlen mir jetzt passende bzw. nützliche Filter.

Dort sind im SDP die Port-Angaben für den RTP hinterlegt.

Was ist eigentlich SDP ?
Und wie ginge es damit genau weiter?

 

[dkuehnlein]

An welcher Stelle in deinem Netz hast du denn mitgeschitten? Direkt an der WAN-Schnittstelle oder irgendwo in deinem Netzwerk?
Ist das denn hier dein Gespräch, das du suchst?

1222712 16:15:26,616949 176.9.xxx.25 37.228.xxx.39 SIP 548 Request: BYE sip:[email protected]:39067;user=phone;transport=tcp;uniq=5909F71CC22CECB89B77A64168B49D0 |

Mach mal folgendes:

1. Setze den Filter ip.addr == 37.228.xxx.39
2. Gehe auf Statistiken -> Verbindungen -> UDP
3. Hier sollte eine Verbindung mit sehr vielen Paketen in beide Richtungen (eine Zeile mit IP 37.228... als Adresse A und eine Zeile mit der gleichen IP als Adresse B) eigentlich heraus stechen. Mit dieser würde ich anfangen.
4. Markiere eine dieser zwei Zeilen -> rechte Maustaste -> als Filter anwenden -> Ausgewählt -> A<->B
5. Gehe wieder in das Hauptfenster von Wireshark, wo die einzelnen Pakete angezeigt werden
6. Rechte Maustaste auf eines der UDP-Pakete -> Dekodieren als -> Doppelklick auf UDP-Port -> Liste aufklappen und RTP Payload auswählen -> OK

Damit wird Wireshark versuchen, die UDP-Pakete als RTP zu interpretieren.
Wenn das der richtige UDP-Stream war, dann kannst du ihn dir über Telephonie -> RTP -> RTP-Streams anzeigen und anhören.
Wenn nicht, dann wiederhole die Schritte so lange, bis du den richtigen Stream gefunden hast.

VG
Dennis

 

[pivox]

An welcher Stelle in deinem Netz hast du denn mitgeschitten?

Das macht die Fritzbox selbst, ich vermute also WAN-Schnittstelle.
Nach dem Aufruf "http://192.168.7.1//html/capture.html" wähle ich "1. Internetverbindung"

zu 3. sehr viele Pakete in beide Richtungen kann ich nicht finden, nur in eine Richtung
zu 5. Hier bekomme ich über 10000 Einträge und wireshark meckert deswegen vorübergehend
Ein paar Versuche mit Dekodierung brachten nichts, dauert auch immer 1-2 min

Daher habe ich mich mal selbst angerufen für ca. 15s und Mitschnitt-Start NACH Gesprächsbeginn.
Die Datei ist hier nur 168k groß. Da sieht es aber ähnlich aus, also nicht Passendes in beide Richtungen (zu 3.)
Screenshot:


Zu "wiederhole die Schritte so lange, bis..."
Meinst du da alle ca. 10000 Einträge durchprobieren?