当前位置：首页 > article >正文

用Wireshark抓包学LTE：手把手解析开机附着流程中的NAS/RRC消息

article 2026/3/31 0:17:10

用Wireshark抓包学LTE手把手解析开机附着流程中的NAS/RRC消息1. LTE信令分析实战环境搭建工欲善其事必先利其器。在开始解析LTE信令前我们需要搭建专业的分析环境。不同于传统教材的理论讲解我们将从工程师视角构建完整的分析平台。1.1 硬件设备选型指南商用终端选择推荐华为E398等支持LTE Cat3以上的USB Dongle这类设备通常开放AT命令接口便于控制射频信号捕获使用USRP B210软件无线电设备配合高增益室外天线建议800MHz-2.6GHz宽频段便携式测试设备考虑SDRplay RSPduo等便携式接收设备适合外场测试1.2 软件工具链配置# Wireshark基础配置 sudo apt install wireshark sudo usermod -aG wireshark $USER # 添加抓包权限 # LTE解码插件安装 git clone https://github.com/Comsys/lte cp -r lte/epc wireshark/plugins/ # 专用解析脚本 wget https://github.com/5G-slicing/lte-tools/raw/master/decode_lte.sh chmod x decode_lte.sh1.3 抓包点拓扑设计典型部署方案需要考虑多接口协同分析[UE]----(空口)----[eNodeB]----(S1)----[MME] | | (X2) (Uu)关键配置参数空口捕获中心频率设置需根据当地运营商频段如Band 3的1800MHzS1接口需配置端口镜像捕获端口36412S1AP和2152GTP-U时间同步使用PTPv2协议确保各节点时间误差1μs注意实际部署时应遵守运营商安全规范仅捕获测试SIM卡关联的信令2. 开机附着流程深度解析2.1 物理层同步过程小区搜索三阶段PSS同步检测5ms定时和物理层小区ID0-2# 示例PSS相关计算 import numpy as np d_u [25, 29, 34] # N_ID_2对应的根索引 zadoff_chu np.exp(-1j * np.pi * d_u[0] * np.arange(62) * (np.arange(62)1)/63)SSS同步确定10ms定时和物理层小区ID组0-167PBCH解码获取MIB信息系统带宽、PHICH配置等关键参数对比参数MIB携带SIB1携带测量方式系统带宽✓-1.4/3/5/10/15/20MHzPHICH配置✓-持续时间/资源系统帧号高8位-模1024循环TAC-✓16bit编码2.2 RRC连接建立流程完整的信令交互过程Random AccessMsg1(MAC)→Msg2(MAC)RRC SetupMsg3(RRC)→Msg4(RRC)Security ActivationAS层安全模式激活典型抓包过滤表达式lte-rrc.rrcConnectionSetupComplete || lte-rrc.securityModeCommand || lte-rrc.ulInformationTransfer2.3 NAS鉴权流程解密五元组鉴权过程UE→MMEAttach Request(IMSI/GUTI)MME→HSSAuthentication Information RequestHSS→MMEAV(RAND, AUTN, XRES, KASME)MME→UEAuthentication Request(RAND, AUTN)UE→MMEAuthentication Response(RES)安全算法选择// 典型算法优先级 EEA [EEA2, EEA1, EEA0] // 加密算法 EIA [EIA2, EIA1, EIA0] // 完整性保护3. 关键消息字段解析实战3.1 RRC Connection Setup详解消息结构树RRCConnectionSetup ├─ rrc-TransactionIdentifier ├─ radioResourceConfigDedicated │ ├─ srb-ToAddModList │ │ └─ SRB1参数 │ ├─ mac-MainConfig │ │ ├─ ul-SCH-Config │ │ └─ drx-Config │ └─ physicalConfigDedicated │ ├─ pdsch-ConfigDedicated │ └─ cqi-ReportConfig └─ nonCriticalExtension关键字段说明srb-IdentitySRB1固定为1ul-SCH-Config.maxHARQ-Tx建议设置为5-8次drx-Config.onDurationTimerDRX激活期(psf1-psf256)3.2 Initial Context Setup分析承载建立参数# QCI映射表 qci_config { 1: {type: GBR, priority: 2, delay: 100}, 5: {type: Non-GBR, priority: 1, delay: 300}, 6: {type: Non-GBR, priority: 6, delay: 300} # 典型默认承载 }安全能力协商SecurityAlgorithmConfig ├─ cipheringAlgorithm: eea2 (AES) ├─ integrityProtAlgorithm: eia2 └─ keyChangeIndicator: false4. 异常场景排查手册4.1 常见附着失败原因TOP5故障代码#3 (Illegal UE) - IMSI非法#6 (Illegal ME) - 终端未授权#7 (EPS services not allowed)#8 (EPS and non-EPS services not allowed)#11 (PLMN not allowed)信令追踪技巧s1ap.procedureCode 12 s1ap.cause.radioNetwork unknown-PLMN4.2 RRC连接失败分析故障树分析RRC连接失败 ├─ 随机接入失败 │ ├─ 功率设置不当 │ └─ 前导码冲突 ├─ 资源分配失败 │ ├─ 无线资源不足 │ └─ 调度算法限制 └─ 安全激活失败 ├─ 算法不匹配 └─ 密钥校验失败典型参数优化# eNodeB侧参数调整示例 LST CELLALGOSWITCH: RrcRejectSwitchOFF; # 关闭RRC拒绝 MaxRrcConnNum1024; # 增大连接数限制5. 进阶分析技巧5.1 时序关联分析多接口时间对齐方法使用Wireshark的Time Reference功能标记关键事件通过frame.time_delta过滤时延异常跨接口关联字段eNB-UE-S1AP-IDMME-UE-S1AP-IDGUTI5.2 无线质量关联RSRP与信令成功率关系RSRP(dBm) | 接入成功率 -----------|----------- -85 | 99.5% -85~-95 | 98.2% -95~-105 | 95.1% -105 | 82.3%测量报告触发条件% A3事件触发公式 Mn Ofn Ocn - Hys Mp Ofp Ocp Off % 其中 % Mn: 邻区测量结果 % Mp: 服务小区测量结果 % Hys: 滞后参数(0-15dB)6. 真实案例解析案例1鉴权流程卡顿现象Attach Request后5秒无响应重复发起随机接入根因分析跟踪HSS日志发现AV生成耗时3sMME侧配置的等待定时器不足解决方案!-- MME配置调整 -- timer nameT3460 value8/ !-- 原值5 -- auth-wait-timeout value10000/ !-- 毫秒 --案例2QCI配置异常异常现象默认承载建立成功但无法上网DNS查询超时排查过程抓包显示Bearer建立为QCI9运营商策略要求QCI6承载DNS终端APN配置错误配置对比正常配置 APN: cmnet / QCI6 / ARP8 异常配置 APN: ims / QCI5 / ARP17. 工具链扩展应用7.1 自动化分析脚本# LTE信令KPI统计脚本示例 import pyshark def analyze_attach(pcap): caps pyshark.FileCapture(pcap, display_filters1ap) stats {attempt:0, success:0, delay:[]} for pkt in caps: if s1ap.ProcedureCode 12: # Initial UE Message stats[attempt] 1 start_time pkt.sniff_time if s1ap.ProcedureCode 9: # Initial Context Setup stats[success] 1 stats[delay].append((pkt.sniff_time - start_time).total_seconds()) print(f成功率: {stats[success]/stats[attempt]:.2%}) print(f平均时延: {sum(stats[delay])/len(stats[delay]):.2f}s)7.2 可视化分析方案推荐工具组合Wireshark I/O Graph时延趋势分析Elastic Stack大规模日志处理GrafanaKPI仪表盘展示典型监控指标Attach成功率RRC建立平均时延鉴权流程耗时承载建立失败率8. 最新技术演进观察8.1 5G NSA信令对比关键差异点新增SCG添加流程NR RRC重配置双连接安全机制MCGSCG独立密钥QoS映射规则变化5QI与QCI映射8.2 VoLTE优化方向增强特性SRVCC切换准备时间优化eSRVCC的B2事件门限调整QCI1的Pre-emption Capability配置典型参数[VOLTE] T304_NB 2000 # 切换定时器(ms) Hysteresis 2 # 0.5dB单位 A2_Threshold -110 # dBm

用Wireshark抓包学LTE：手把手解析开机附着流程中的NAS/RRC消息

相关文章：

用Wireshark抓包学LTE：手把手解析开机附着流程中的NAS/RRC消息

一文读懂水面无人艇：每个硬件模块到底负责什么

嵌入式AI模型量化实战：用int8给ResNet减重80%还不掉精度

放弃OpenVINO！在树莓派5上用Anaconda环境直接跑通YOLOv5摄像头检测

ChatGLM3-6B-128K部署指南：Ollama环境配置避坑大全

Phi-3-mini-128k-instruct创意写作效果集锦：技术博客、邮件、周报一键生成

告别本地编译卡顿：用CLion+Docker容器实现丝滑的Linux远程C++开发（保姆级教程）

从零构建：基于FreeRTOS与LVGL的低功耗智能手表实战指南

域适应实战：如何用Python快速实现图像风格迁移（附代码）

Cisco Packet Tracer新手必看：5分钟搞定路由器静态路由配置（附避坑指南）

Rk3566 yolov5部署（一）Ubuntu系统镜像烧录与串口调试实战

webMAN-MOD实战指南：构建PS3主机扩展服务系统

ComfyUI自定义节点开发指南：从零构建你的专属AI工具链

Ryujinx零门槛全攻略：开源Switch模拟器从入门到精通

MAI-UI-8B部署全攻略：开箱即用，快速体验GUI智能体强大功能

别再只升级OpenSSH了！一次搞懂Linux离线环境下的依赖包管理与编译安装避坑指南

从电网到实验室——10kW大功率电源的Psim仿真实战

拆解RoboteX AVATAR机器人：4个电机如何驱动履带+摇臂？一份紧凑传动布局的保姆级图解

ZPL文件操作避坑指南：从OPEN到CLOSE的5个常见错误排查

Qwen3-Reranker-8B企业落地：保险条款智能比对系统重排模块部署

2025年阿里云幻兽帕鲁联机服务器极速搭建指南

STM32主从定时器实战：用CubeMX搞定PWM移相+动态调占空比（附G474配置）

Aspose.Words避坑指南：Java实现Word转PDF时如何去除水印（2023最新版）

用Segment Anything Model (SAM) 做3D目标检测？手把手教你复现SAM3D论文核心流程

Kaggle Notebook中文乱码终结者：3分钟搞定Matplotlib字体配置（附Noto Sans CJK全流程）

Java Eclipse JDK 1.8.0_25安装与配置全指南

OWL ADVENTURE Java面试题实战：手写一个简单的图像加载器

Unity游戏开发实战：用三阶贝塞尔曲线为你的角色设计一条丝滑的移动路径（附完整C#脚本）

PDF-Parser-1.0一键部署教程：5分钟搞定文档解析神器，小白也能轻松上手

ABAP开发避坑指南：绕过SAP GUI安全弹窗的5种编程方案实测