Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Netzwerktechnik Forum

Forum Netzwerktechnik (Archiv)

Kategorie Netzwerktechnik - Forum Tools

 
S-BUS contra SIP

geschrieben am 13.03.2007 um 08:15 von RolfLL

Hallo Zusammen,
der Wireshark stellt UDP Pakete über Port 5050 als Protokoll=S-Bus dar.
(Der Ethereal als SIP) und ich hätte gerne auch im Whiresharek diese Pakete als SIP interpretiert.

Weiß jemand wo ich das ändern/einstellen kann?

Vielen Dank
Rolf
 

geschrieben am 13.03.2007 um 19:43 von Mirko

Rechte Maustaste / Decode as

Mirko
 

geschrieben am 14.03.2007 um 19:43 von RolfLL

Ja,
aber das gilt nur für die aktuelle Sitzung.
Ich möchte aber erreichen, dass dies immer gültig ist also irgendwo in den Einstellungen oder in irgendwelchen Datei etwas eintragen damit generell weider UDP Port 5050 als SIP interpretiert wird.

Danke

Viele Grüße
Rolf
 

geschrieben am 15.03.2007 um 16:19 von bewa

"RolfLL" wrote:
aber das gilt nur für die aktuelle Sitzung.
Ich möchte aber erreichen, dass dies immer gültig ist also irgendwo in den Einstellungen oder in irgendwelchen Datei etwas eintragen damit generell weider UDP Port 5050 als SIP interpretiert wird.


S-BUS ist entweder vor SIP registriert und hat damit Vorrang, oder der SIP-Dissector kennt den Port nicht. Ist 5050 überhaupt offiziell Teil von SIP?

Du könntest die Dissectoren anpassen und neu kompilieren. Aber das dürfte zu aufwändig sein, wenn du auf dem Gebiet keine Erfahrung hast.

Schau mal unter http://www.wireshark.org/docs/wsug_html_chunked/ChAppFilesConfigurationSection.html
Vielleicht gibt es da auch einen einfacheren Weg über die diversen Config-Files.
 

geschrieben am 15.03.2007 um 20:10 von RolfLL

Danke
Ich werde mich da mal umschauen.
 

geschrieben am 15.03.2007 um 21:32 von Mirko

SIP ist ja eigentlich auch Port 5060. Der wird von Wireshark auch als SIP dekodiert.

Mirko
 

geschrieben am 16.03.2007 um 17:52 von bewa

"Mirko" wrote:
SIP ist ja eigentlich auch Port 5060.


Dann hatte mich mein Gefühl ja nicht getäuscht. Ich bin bei VoIP ziemlich aus der Übung, weil es dafür bei uns eine eigene Abteilung gibt, aber der Port kam mir irgendwie komisch vor.

Quote:
Der wird von Wireshark auch als SIP dekodiert.


Ja, so ist es ja auch gewollt:

grep PORT epan/dissectors/packet-sip.c liefert:
#define TCP_PORT_SIP 5060
#define UDP_PORT_SIP 5060


Rolf: Ich habe momentan keine Zeit und keinen passenden Trace zum testen, aber im Preferences-Menü kann man doch bei Protocols (ich habe nur ein englisches Wireshark, in Deutsch vermutlich Einstellungen/Protokolle) in der Regel auch einstellen, welcher Port dem Protokoll zugeordnet ist.
Wenn du dort für SIP 5050 einstellst, kennt Wireshark zwar kein 5060 mehr für VoIP, dafür aber 5050. Die Einstellung müsste er auch bei einem Neustart beibehalten?!

Wenn du beides gleichzeitig brauchst, müsstest du den Source des Dissectors anpassen und aus den Sourcen neu compilieren, bzw. einen zweiten Dissector mit entsprechender Port-Zuordnung rein basteln. Die Arbeit hat man dann aber erneut bei jedem Versionswechsel...


Wieso nutzt deine Anwendung überhaupt 5050 statt 5060?!
 

geschrieben am 16.03.2007 um 17:53 von RolfLL

Ja, aber
nach außen hin ist das in den meisten Fällen richtig.
Innerhalb des eignen Systems werden deutlich mehr Ports verwendet
und das neuste Hobby unseres Systems ist nun auch der Port 5050.
Der Ethereal macht auch keine Problem, der zeigt brav SIP an
nur der Wireshark bildet sich dort S-Bus ein. Ist ja auch nicht falsch, nur eben an unseren Testanlagen störts.

Viele Grüße
Rolf
 

geschrieben am 17.03.2007 um 18:06 von bewa

"RolfLL" wrote:
Ist ja auch nicht falsch, nur eben an unseren Testanlagen störts.


Was passiert denn, wenn du den S-Bus-Dissector einfach abschaltest? In der englischen Version findet sich das im Menü Analyze unter Enabled Protocols... - dort das Häkchen bei S-Bus entfernen. Achtung, je nach Wireshark-Version nicht vergessen zu speichern, sonst ist die Einstellung nach dem nächsten Start wieder hinfällig. (Wenn der Speichern-/Save-Button fehlt, sollte die Einstellung automatisch übernommen werden.) Damit solltest du zumindest verhindern können, das er das als S-Bus erkennt.
Ob er das dann als SIP erkennt wäre dann die nächste Frage. Je nach Reihenfolge in der sich die Dissectors registieren könnte auch ein anderes Protokoll zum Zuge kommen.
Wenn das nicht von alleine klappt, kannst du ja mit einem kleinen LUA-Skript nachhelfen. Beispiele gibt es im Wireshark-Wiki, insbesondere das erste unter http://wiki.wireshark.org/Lua/Examples
Das sollte ab Wireshark 0.99.4 funktionieren, näheres beschreibt http://wiki.wireshark.org/Lua
 

geschrieben am 18.03.2007 um 19:37 von RolfLL

Danke bewa,
Volltreffer. genau was ich gesucht habe.
Das Abschalter des S-Bus Protokolls brachte wieder meine SIPs zum Vorschein.

Viele Grüße
Rolf
 

[ Dieses Thema im Live-Forum aufrufen ]

Sie befinden sich im Archiv des Forums.
Zum Forum

Archiv erstellt mit phpBB2HTML 0.1 - Foren in statisches HTML umwandeln © 2006 Mirko Kulpa

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 13.05.2019