Warto w tym miejscu zaznaczyć, że używany przez protokół HTTP identyfikator URL (Uniform Resource Locator) nie jest tożsamy z URI, mimo łudząco podobnych nazw. Oba terminy są obecnie używane wymiennie, co stanowi jednak duże uproszczenie. URL określa jedynie miejsce, w którym dany zasób jest dostępny, natomiast jego rodzaj określa URI. W pewnym sensie URI jest elementem nadrzędnym wobec URL - często jest tak, że URI jest tożsame z URL, ale nie musi być to regułą.

Aby zainicjować połączenie, agent UAC wysyła do najbliższego serwera SIP proxy komunikat "INVITE" z adresem odbiorcy połączenia. SIP proxy przeprowadza routing komunikatów SIP (lub SIP redirect od razu informuje klienta, żeby skontaktował się bezpośrednio z innym serwerem), by ustalić adres serwera obsługującego punkt docelowy. Poszukiwania adresata mogą być przeprowadzane zarówno poprzez serwery DNS, jak i ENUM, wiążące numery telefoniczne z adresami sieciowymi. W tym czasie informacje o próbie lokalizacji punktu docelowego połączenia, SIP proxy wysyła do agenta SIP, inicjującego żądanie (odpowiedzi z zakresu 1xx, np. 180 - "ringing", czy 181 - "call is being forwarded"). Docelowy SIP proxy po otrzymaniu zgłoszenia pobiera z serwera lokalizacji (registrar) dane użytkownika, a następnie kieruje do niego żądanie zestawienia sesji. Po pomyślnej wymianie komunikatów zestawiana jest sesja RTP bezpośrednio między dzwoniącym i adresatem.

Informacje o charakterze zestawianej sesji (głos, wideo, dane) są przekazywane za pomocą wspomnianego już protokołu SDP (Session Description Protocol) oraz SAP (Session Announcement Protocol). Wiadomości SDP określają, jakie możliwości muszą mieć terminale końcowe do poprawnego zrealizowania połączenia. Za pomocą SAP można natomiast poinformować większą liczbę użytkowników o otwieranej sesji (telekonferencje, wideokonferencje, telewizja internetowa itp.).

Bezpieczeństwo SIP

Otwartość, prostota i uniwersalność protokołu SIP to jego główne zalety. W pewnych okolicznościach mogą się stać jednak poważną wadą. Jako że znaczna część wdrożeń SIP jest powiązana z telefonią IP (VoIP), to bardzo istotny staje się problem zabezpieczenia transmisji danych i komunikatów. Mechanizmy bezpieczeństwa opisane w dokumentach RFC 3261 i RFC 3329 stanowią jedynie zalecenie i trudno wymagać, by były dołączane do każdej implementacji protokołu. Wśród najpoważniejszych konsekwencji braku zabezpieczeń sieci SIP należy wymienić: podsłuchiwanie rozmów, przeprowadzanie ataków DDoS (Distributed Denial of Service) oraz kradzież konta (tożsamości), powiązana z wyciekiem ważnych danych (vishing). Obecnie większość urządzeń SIP ma dołączone funkcje zwiększające bezpieczeństwo. Największym jednak problemem jest czynnik ludzki, czyli często nieświadomy zagrożeń użytkownik.

Jedną z metod, która pozwala m.in. podsłuchiwać czy nagrywać rozmowy, jest użycie fałszywego serwera SIP proxy. Transport komunikatów między serwerami proxy odbywa się zwykle przy użyciu niezabezpieczonego protokołu UDP, co umożliwia atakującemu umieszczenie swojego serwera na drodze transmisji. W tym celu można posłużyć się metodami typu DNS spoofing (podszycie się pod serwer DNS), ARP spoofing (LAN). Zrealizowanie takiego ataku pozwala blokować połączenia, podsłuchiwać je, zestawiać telekonferencje itp.