Анализ SIP протокола tcpdump-ом +Wireshark

дооо иксы на PBX это правильное решение.

не Х, а либы

либы это тоже не очень хорошая идея. и кстати либы вроде libx называются или x-libs.

очень даже хорошая идея, я обычно так и делаю

ага. отличная просто. давайте к системе размеров 800мб добавим библдиотек размером еще в 800мб просто потому что нам лень один раз прочитать про фильтры tcpdumpа

их там сиииииильно меньше чем 800 метров. фильтры для tcpdump писать в случае дампа rtp и более 1 звонка с интересующей машины затрахацо можно. если rtp не надо но надо реалтайм то ngrep гораздо приятнее tcpdump'a. я спорить не стану дальше, но для любителей смотреть картинки в реалтайме libX это вариант.

неа. несильно. если ставить минимальный центос какраз доставляет 800 мб на 64 биат версии когда ставишь x.

[root@localhost ~]# df -h

Filesystem Size Used Avail Use% Mounted on

/dev/mapper/VolGroup-lv_root 2.5G 563M 1.9G 24% /

tmpfs 504M 0 504M 0% /dev/shm

/dev/sda1 485M 27M 433M 6% /boot

[root@localhost ~]# cat /etc/redhat-release

CentOS Linux release 6.0 (Final)

[root@localhost ~]# yum install wireshark-gnome

....

Transaction Summary

=======================

Install 47 Package(s)

Upgrade 0 Package(s)

Total download size: 22 M

Installed size: 94 M

Is this ok [y/N]: y

из всего этого бардака чтоб XForwarding заработал надо поставить xauth и еще 10 пакетов по депенденсам в сумме аж на 5 метров, все остальное для wireshark-гуя.

где тут 800 метров ???

для 5.5 64 бит было 800+ огда я прошлый раз twm ставил

twm это менеджер оконный, нафиг он тут нужен ? мы щас всеголишь про установку wireshark и окружения для работы X протокола.

meral видимо незнает что можно через ssh форвардить с удаленного сервера на локальную машину Xсессию, в том числе и под винду (например xming) А полный комплект иксов с DE действительно может до 800 мегабайт выжирать

конечно не занет.это ж мерал. он же всеголишь 15 лет с линуксом работает. ламер еще.

тогда откуда 800 мегов?

А если PBX далеко? А если нет циски?

Я просто все пакеты pcap захватываю микротиком или самим сервером и затем анализирую.

умный мальчик. вот только циско роутером стояло всего у ДВУХ клиентов за всю мою историю работы фрилансером. а вообще вполне хватает встроенного дебага и tcpdump. фильтры надо писать правильно просто.

А причем тут роутер? порты зеркалятся на коммутаторе, к тому же помимо циски это умеют делать любые коммутаторы L2, даже дешевые webview. встроенного дебага, согласен достаточно.

Не в этом дело. Просто вы наверно на работе обслуживаете астериск, а у нас с meral астериски все удаленные, и редиректить трафик некуда.

У меня конечно же не так много удаленных астерисков, как у вас с meral, но тоже есть. И везде есть худобедно управляемые коммутаторы. Зеркалить порты в основном с панасами приходится. В остальном я более чем согласен что дебага и tcpdump c нормально составленными фильтрами достаточно. Просто если хочется реалтайма + wireshark то вариант с зеркалированием порта едиснтвенный. т.е. я не оспариваю ни чье мнение в данном посте, а предложил в коментах еще один вариант.

ну я вам гворю реальную ситуацию. 97% проектов частные лица. никаких управляемых комутаторов нету. 3% компании, к комутаторам доступа нет. такчто вариант с зеркалированием это сильно екзотика.

видимо в этом разгадка, я работаю строго с юрлицами и как правило по новым проектам куда можно поставить нормальное оборудование.

Ну нафига лезть в укоммутатор и редиректить трафик на нем, когда можно преспокойно сделать pcap на самом астере??? Если уж редиректить, то на роутере, когда есть проблемы с голосом наружу. В общем спор бессмысленный и беспощадный...

switch, о каком редиректе вы вообще говорите? нафига ковырять маршрутизатор то? Я же сказал что делается зеркалирование трафик с одного порта на другой и там в реальном времени можно смотреть любимым вайршарком. Это спор ради спора по моему.

бтлят. Зачем вообще используется вайршарк, в каких случаях?

оставим этот спор, я уже всё что хотел сказал.

ну вот смотри шакиров. вот свич смотрит шарком сразу на астриске. а ты ждешь пока пакет с атсриска дойдет до свича, там делаешь редирект и потом с редиректа смотришь шарком. ну вот где логика в твоем случае? скучно чтоли?

meral, switch, хватит уже позориться, какон к ебеням редирект? мироринг порта это полное зеркало, это блеат не форвард никакой, что из в одном порту то и в другом. Вам что аппаратные IP станции никогда отлаживать не приходилось? А адаптивные системы борьбы с DDoS-ами когда со всех серверов порты зеркалятся в административный на котором висит SNORT? PS: switch снимает tcpdump-ом pcap, тащит его себе домой и там смотрит шарком, тогда как я сижу и смотрю в реалтайме. вот где логика.

нет, не приходилось. И не надо тут позориться: аппаратных IP станций не существует в принципе.

давайте занудствовать далье, чего уж там. аппаратных АТС уже впринципе не осталось, все программные в той или иной степени. давайте вспомним про какой-нибудь панас NCP, самснг, или про агат. давайте своим вайршарком и тисипидампом арудуйте, вперед.