1. 案发背景

曾经某局点“尸地”为了增强打僵尸的能力，以及提高整体作战的能力，增加了两台“大炮”（流媒体），并配置了两个导火芯（IP地址为192.168.1.99和101），当天白日里，DZ君冒死完成了炮台的搭建，且大炮已经开始自动攻击僵尸（流媒体正常转发，业务正常），完美保障了“作战指挥中心”。当晚，卫兵报出指挥中心遭到攻击的消息，说大炮已经不发射炮弹了（流媒体不转发了）。警报响起，各级领导找到我，要求我立即找出原因，恢复大炮的工作。于是DZ君首先就找到了白天了的大炮部署线路图（组网），查看到底是哪里的问题？

2. 大炮部署线路图（组网图）

        污染区A                                          A和B之间的时空隧道                                          污染区B

下级平台（192.168.1.1）------（192.168.1.254）网闸（192.168.2.254）-----（192.168.2.1）上级平台

下级平台大炮M1（流媒体）=192.168.1.99                              上级平台大炮M1（流媒体）=192.168.2.4

下级平台大炮M2（流媒体）=192.168.1.101                             下级平台大炮M2（流媒体）=192.168.2.5

在污染区B（上级平台）看大炮打僵尸（实况），发现污染区B和污染区A之间时空隧道门被关闭了（信令通道建立失败），为了确定是时空隧道门的问题，DZ君开启了透视镜（A区和B区互抓）。但在透视之前，我们要先做一件事，那就是大炮攻击僵尸的正常流程是啥？

3. 大炮正常工作流程（实况信令流程）

4. 透视图（抓包分析）

1）污染区B发给时空隧道门的INVITE消息

v=0

o=32028100002000000008 0 0 IN IP4 192.168.2.5

s=Play

c=IN IP4 192.168.2.5-----收流地址

t=0 0

m=video 18314 RTP/AVP 96----收流端口18314 and 使用UDP传输

i=primary

a=recvonly

a=rtpmap:96 PS/90000

y=0281001908

2）时空隧道门转发给污染区A的INVITE消息

v=0

o=32028100002000000008 0 0 IN IP4 192.168.1.254

s=Play

c=IN IP4 192.168.1.254----收流地址

t=0 0

m=video 14163 RTP/AVP 96---收流端口，使用UDP传输

i=primary

a=recvonly

a=rtpmap:96 PS/90000

y=0281001908

3）污染区A转发给时空隧道门的200Ok消息

v=0

o=32028104001322004425 0 0 IN IP4 192.168.1.101

s=Play

c=IN IP4 192.168.1.101---发流地址

t=0 0

m=video 25950 RTP/AVP 96--发流端口

a=rtpmap:96 PS/90000

a=sendonly

y=0100005110

f=v/2/4/25/1/2000a/1/8/1

4）时空隧道门转给污染区B的200OK消息

v=0

o=32028104001322004425 0 0 IN IP4 192.168.2.2501--纳尼，什么鬼，这什么IPV4地址？

s=Play

c=IN IP4 192.168.2.2501---纳尼，发流地址这就不存在啊

t=0 0

m=video 14163 RTP/AVP 96

a=rtpmap:96 PS/90000

a=sendonly

y=0100005110

f=v/2/4/25/1/2000a/1/8/1

5. 甩锅

报告领导，我开启透视图分析过后，发现是时空隧道门转发出问题了，需要时空隧道门的厂家来处理。需要我的地方，我帮忙处理。虽然甩锅了，但是态度还是要给力的。