Wireshark: VoIP-Telefonate mitschneiden und anhören nach Beginn des Gesprächs

Wireshark Logo

In meinem Artikel „FRITZ!Box – VoIP-Telefonate mitschneiden und anhören“ habe ich aufgezeigt, wie VoIP-Telefonate ganz einfach mitgeschnitten werden können. Die dort aufgeführte Methode funktioniert allerdings nur, wenn der Paketmitschnitt vor dem Telefonat gestartet wird. Beginnt der Paketmitschnitt erst nach dem Anfang des Gesprächs, funktioniert das dort beschriebene Vorgehen leider nicht.

Vor dem Mitschneiden von VoIP-Telefonaten sollte jedoch die aktuelle Rechtslage beachtet werden! Bei unerlaubten Aufzeichnungen sind sogar strafrechtliche Konsequenzen möglich. Ich übernehme keine Haftung.

Erklärung

Wenn der Paketmitschnitt erst nach Beginn des Telefonats gestartet wird, fehlt logischerweise auch die Protokollierung des Verbindungsaufbaus. Der Auf- und Abbau von VoIP-Verbindungen wird auch Signalisierung bzw. Verbindungssteuerung genannt. Dies kann mit unterschiedlichen Signalisierungsprotokollen (SIP, MGCP, H.248, …) geschehen, wobei sehr häufig SIP zum Einsatz kommt. Innerhalb des SIP-Protokolls wird das Session Description Protocol (SDP) zur Beschreibung der Eigenschaften von Multimediadatenströmen verwendet. Konkret gesagt kommt SDP bei der Aushandlung von Codecs, Transportprotokollen und IP-Adressen zum Einsatz. Ohne diese Daten kann Wireshark nicht automatisch herausfinden, welche UDP-Pakete zum RTP-Stream gehören und welche nicht.

Lösung

Damit der RTP-Stream, welcher die Audio-Daten enthält, dennoch extrahiert werden kann, müssen die UDP-Pakete innerhalb des Paketmitschnitts als RTP identifiziert werden. Hierfür existieren zwei unterschiedliche Möglichkeiten, die beide zum Ziel führen.

  1. Unter Wireshark 1.x müssen die Wireshark-Einstellungen geöffnet werden. Dies funktioniert im Menü unter „Edit“ und „Preferences…“. Im Einstellungsfenster „Protocols“ erweitern und dort auf „RTP“ gehen. Dort dann die Option „Try to decode RTP outside of conversations“ aktivieren. Anschließend hier mit Punkt 2 fortfahren.
    Wireshark RTP
    Bei Wireshark 2.x existiert die oben genannte Option nicht mehr. Stattdessen müssen hier im Menü unter „Analyze“ und “ Enabled Protocols…“ zwei Optionen aktiviert werden. Unterhalb vom Protokoll „RTP“ müssen hier noch „rtp_stun“ und „rtp_udp“ aktiviert werden. Anschließend hier mit Punkt 2 fortfahren.
  2. Für die zweite Möglichkeit muss zuerst der Paketmitschnitt im Wireshark geöffnet werden. Anschließend im Menü unter „Analyze“ den Punkt „Decode As…“ anklicken. Dort beide UDP-Streams auswählen und rechts „RTP“ auswählen. Anschließend hier mit Punkt 3 fortfahren.
    Wireshark_Decode

Tobi

Hallo, mein Name ist Tobias und ich habe diesen Blog im April 2009 ins Leben gerufen. Seitdem blogge ich hier über Software, Internet, Windows und andere Themen, die mich interessieren. SSDblog ist mein zweiter Blog, indem es rund um das Thema SSDs geht. Ich würde mich freuen, wenn ihr meinen Feed abonniert oder mir auf Twitter, Facebook, Google+ und Google+ (privat) folgt.

2 Antworten

  1. Karsten sagt:

    leider existiert der Punkt „Try to decode RTP outside of conversations“ in meiner neusten Version nicht.

    • Tobi sagt:

      Ja ab Wireshark 2.x ist die Option nicht mehr verfügbar bzw. wo anders zu finden. Habe meinen Artikel angepasst.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.