iVS8000IP智能视频监控系统抓包专题(2)

来源：网络收集时间：2018-11-28 下载这篇文档手机版

说明：文章内容仅供预览，部分内容可能不全，需要完整文档或者需要复制内容，请下载word后使用。下载word有问题请添加微信号:或QQ：处理（尽可能给您提供完整文档），感谢您的支持与谅解。

iVS8000 IP智能视频监控系统抓包专题文档密级行分析；Ec/Dc设备注册、保活问题，实时监控、轮切、点播回放问题，等等，可以在VM所在的linux服务器上抓取Sip和Vmp消息，进行分析。

2 常用抓包命令介绍

VM服务器在linux下运行，常用抓包软件有tethereal tcpdump。使用方法和说明可以在linux下运行下面的命令查看 tethereal --help tcpdump --help

2.1 通用和常用参数

(1)-i name or idx of interface 指定抓包的网卡接口参数

注意：如果是抓取同一个网卡上ip地址之间通信的报文，必须指定接口为环回接口参数为-i lo

(2)-f packet filter in libpcap filter syntax 过滤表达式表示抓取符合表达式条件的报文 port [port num] 指定端口 Host [host ip] 指定主机

关键字： or and src dst 举例：

抓取5060和6060端口的报文 -f “port 5060 or 6060”

抓取主机来自主机192.168.1.1端口6060的报文 -f \

(3)-s packet snapshot length (def: 65535) 指定抓取报文的大小，超过该大小，报文会被截断

注意：使用tcpdump抓包一定要指定大小,默认报文超过96字节将被截断

4/2/2013

华为三康机密，未经许可不得扩散第6页, 共17页

iVS8000 IP智能视频监控系统抓包专题文档密级 (4)-w set the output filename 将抓取的报文保存成文件

抓包的原则是适量过滤即可，报文太多可以在分析的时候使用过滤表达式来缩小范围，但是如果在抓取的时候条件限制不合理就可能导致需要的信息丢失

所以抓包表达式一般只过滤端口，因为系统里面信令端口都是固定的,而目前能控制的抓包范围就是在VM服务器上，通过远程连接软件(ssh secureCRT等)或者直接在VM服务器的shell界面中执行

2.2 VM服务器抓包常用表达式

(1) 抓取VC和VM之间通信的GMP报文： tethereal port 12000 –w gmp.cap tcmpdump –s port 12000 –w gmp.cap

(2) 抓取AS和CC以及和DM之间通信的SIP报文: tethereal port 5060 or 6060 –I lo –w sip.cap tcmpdump –s 4096 port 5060 or 6060 –I lo –w sip.cap

(注：抓取VM5000上的DM和VM通信的报文，因为它们通常绑定的是同一个网卡上不同IP，所以应该才用环回接口)

(3) 抓取前端设备EC/DC/MP和CC之间通信的报文： tethereal port 6060 –w vmp.cap tcpdump –s 4096 port 6060 –w vmp.cap (4) 抓取AS CC和DB交互的报文 tethereal port 5432 –i lo –w db.cap tcpdump –s 4096 port 5432 –i lo –w db.cap

3 正确的过滤数据包

3.1 过滤报文使用工具

在分析收集到的报文之前，必须将vmp.dll sip.dll gmp.dll三个解包显示插件文件增加到安装目录下的plugins\\0.99.0目录下。

4/2/2013

华为三康机密，未经许可不得扩散第7页, 共17页

iVS8000 IP智能视频监控系统抓包专题文档密级使用报文分析软件ethereal（注意版本必须为：0.99.0）分析收集到的报文，报文收集到之后用ethereal工具打开：

3.2 过滤报文常用参数

(1) SIP报文和gmp报文直接使用 (2) vmp报文涉及参数

register/unregister 注册/解除注册 setup/release 请求/释放监控关系 notify 告警 info 云台控制指令 keepalive 保活 set 下发 query 查询录象 initiator/initiatorrelease 开始/停止回放 apply/delete 申请/释放MS转发

如果对报文的字段代表值比较熟悉也可以直接使用，如下：

4/2/2013

华为三康机密，未经许可不得扩散第8页, 共17页

iVS8000 IP智能视频监控系统抓包专题文档密级红色框内command字段代表vmp报文的类型为register (0)代表该字段的实际值为0

其他VMP报文也是如此。

3.3 常用过滤表示式

(1) 过滤SIP和gmp报文直接在Filter框内输入SIP或gmp (2) 过滤查看特定类型的vmp报文：vmp.cmd2 == [报文类型] (3) 过滤查看sequence number一样的报文：vmp.seq == [seq num] (4) 过滤查看来源为特定值的报文：vmp.fromid == [as id]

3.4 常用运算符

|| 或 == 等于 &&与！非 ()括号

3.5 正常过滤报文举例

(1) 使用参数过滤

Vmp.cmd2 == set || vmp.cmd2 == keepalive

4/2/2013

华为三康机密，未经许可不得扩散第9页, 共17页

iVS8000 IP智能视频监控系统抓包专题文档密级

(2)使用字段值过滤

Vmp.cmd2 == 2 || vmp.cmd2 == 5

4/2/2013

华为三康机密，未经许可不得扩散第10页, 共17页

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库iVS8000IP智能视频监控系统抓包专题(2)在线全文阅读。

iVS8000IP智能视频监控系统抓包专题(2).doc 将本文的Word文档下载到电脑，方便复制、编辑、收藏和打印下载失败或者文档不完整，请联系客服人员解决！

下载这篇word文档

本文链接：https://www.77cn.com.cn/wenku/zonghe/318276.html（转载请注明文章来源）

上一篇：咸味食品香精及素食品加工项目国家高技术产业化项目资金建设可行
下一篇：学校公务接待自查报告