当前位置：首页 > news >正文

别再死记硬背了！用Wireshark抓包实战，带你一步步拆解5G手机的注册与PDU会话建立流程

news 2026/5/11 22:00:13

5G信令实战：用Wireshark透视手机注册与PDU会话建立全流程

当你的5G手机从飞行模式切回蜂窝网络时，屏幕上信号图标旁那个小小的"5G"字样背后，正上演着一场精密的数字芭蕾。作为网络工程师，我们不仅需要理解协议文档中的流程图，更要掌握将这些抽象步骤转化为可观测数据的能力。这就是Wireshark抓包分析的价值所在——它像一台高精度显微镜，让我们能直观看到每个信令交互的细节。

1. 实验环境搭建与抓包准备

1.1 硬件配置方案

要捕获真实的5G NAS信令，你需要：

支持5G的测试手机：建议选用搭载骁龙X55/X60基带的开发设备（如Quectel RM500Q模组），这些设备通常开放更多调试接口
便携式基站模拟器：商业级的Keysight UXM5G或开源版的srsRAN项目都可模拟gNB功能
网络分流器：当使用真实运营商网络时，需通过分光器镜像流量（注意法律合规性）

提示：在实验室环境使用2.6GHz或3.5GHz频段需提前申请无线电实验许可

1.2 Wireshark配置要点

# 安装必要插件 sudo apt install wireshark-qt sudo usermod -aG wireshark $(whoami) # 关键过滤语法（保存为profile） ngap || nas-5gs || http2 || pfcp || diameter

协议支持矩阵：

协议层	过滤关键字	对应接口	主要功能
无线接入	ngap	N2	gNB-AMF交互
核心网信令	nas-5gs	N1	UE-AMF加密消息
服务化接口	http2	N8/N12	AMF与AUSF/UDM通信
用户面管理	pfcp	N4	SMF-UPF会话控制
认证授权	diameter	N6/N7	PCF/AAA服务器交互

2. 初始注册流程报文解析

2.1 注册请求(Registration Request)解剖

捕获到的第一条关键消息通常是NAS层的Registration Request，典型字段包括：

5GS Registration Type: 0... .... = Initial registration: True .01. .... = Follow-on request pending: No ...0 0101 = Registration type: Initial registration (0x05) 5G-GUTI or IMSI: Mobile Identity: 5G-GUTI (0x02) MCC: 310 MNC: 410 AMF Region ID: 0x8000 AMF Set ID: 0x01 AMF Pointer: 0x00 TMSI: 0x00000001 UE Security Capability: Encryption algorithms: 128-NEA0, 128-NEA1, 128-NEA2, 128-NEA3 Integrity algorithms: 128-NIA0, 128-NIA1, 128-NIA2

关键观察点：

如果看到SUCI而非5G-GUTI，说明正在使用5G的隐私保护功能
NEA0/NIA0算法存在表示支持空加密，这在运营商网络中通常会被策略拒绝

2.2 认证与安全建立过程

认证流程会在AMF和AUSF间产生Diameter消息，过滤条件可设为：

diameter && (diameter.cmd.code == 318 || diameter.cmd.code == 319)

典型的安全模式命令(Security Mode Command)报文结构：

NAS Security Mode Command: Security header type: Integrity protected and ciphered (0x02) Message authentication code: 0x8a7b6c5d Sequence number: 1 5GS security algorithms: Ciphering algorithm: 128-NEA2 (0x02) Integrity algorithm: 128-NIA2 (0x02)

注意：若发现反复的Security Mode Reject事件，可能是UE与网络的安全能力集不匹配导致

3. PDU会话建立流程深度解码

3.1 SMF选择与会话创建

PDU会话建立会触发N4接口的PFCP会话建立请求，关键字段包括：

PFCP Session Establishment Request: F-SEID: 0x0102030405060708 PDI: Source Interface: Access (0x00) Network Instance: internet UE IP Address: 192.0.2.1/32 Create PDR: PDR ID: 1 Outer Header Removal: GTP-U/UDP/IPv4 (0x00) FAR ID: 1

关联协议流程：

UE发送PDU Session Establishment Request（NAS消息）
AMF通过Nsmf_PDUSession_CreateSMContext（HTTP/2）通知SMF
SMF与UPF建立PFCP会话（N4接口）
UPF分配UE IP并返回响应

3.2 QoS规则与流量过滤器

成功的PDU会话会包含详细的QoS规则，可通过以下过滤条件定位：

nas-5gs && (nas_5gs.sm.message_type == 0x26)

示例QoS规则表：

QFI	5QI	ARP	UL MBR	DL MBR	Flow Direction	Filter Type
1	6	8	50Mbps	100Mbps	Uplink	IPv4
2	7	5	10Mbps	10Mbps	Bidirectional	TCP 80
3	4	1	1Gbps	1Gbps	Downlink	UDP 5000

4. 异常场景排查手册

4.1 常见错误代码解析

通过nas-5gs.sm.cause过滤可快速定位失败原因：

原因值	十六进制	典型触发场景	解决方案
Insufficient resources	0x1A	UPF资源不足	检查UPF负载均衡配置
Missing or unknown DNN	0x2B	错误APN配置	核对UDM中的订阅数据
Service not supported	0x5E	5QI不被支持	更新SMF的QoS策略模板
Invalid PTI value	0x6F	会话管理冲突	检查UE的PTI分配逻辑

4.2 典型故障树分析

场景：PDU会话建立卡在SMF选择阶段

检查AMF日志确认是否收到Nsmf_PDUSession_CreateSMContext

http2.frame.type == 0x01 && http2.header.path == "/nsmf-pdusession/v1/sm-contexts"

若无响应，检查NRF服务发现是否正常

http2.header.path == "/nnrf-disc/v1/nf-instances"

若NRF返回404，需验证SMF的NF注册信息是否完整

抓包技巧：在AMF上设置tcpdump -i any -s 0 -w amf.pcap port 8080可捕获服务化接口消息

5. 高阶分析技巧

5.1 时间序列关联分析

使用Wireshark的Statistics > Flow Graph功能生成信令时序图时，注意调整：

时间精度：微秒级 过滤条件：ngap || nas-5gs 显示选项：隐藏ACK/Keepalive报文

典型注册流程时间分布：

阶段	平均耗时(ms)	主要影响因子
RRC连接建立	15-50	无线信号质量
NAS安全建立	80-120	认证服务器响应
PDU会话建立	200-500	UPF资源准备时间
端到端完成	300-700	网络切片配置复杂度

5.2 加密报文逆向分析

虽然NAS消息内容被加密，但元数据仍可提供有价值信息：

NAS 5GS Security Protected Message: Security header type: Integrity protected and ciphered (0x02) Message authentication code: 0x9e8d7c6b Sequence number: 42 Protocol discriminator: 5GS mobility management (0x7e)

关键洞察：