Пожалуйста, войдите здесь. Часто задаваемые вопросы О нас
Задайте Ваш вопрос

Анализ SIP протокола tcpdump-ом +Wireshark

4

На *nix  серверах, как правило, не установлена графическая оболочка, 
а tcpdump не очень удобен в исспользывании. 
Как же быть? 
Для этого можно воспользоваться  Wireshark  установленной на другой 
машине с графической оболочкой. 
На исследуемой машине tspdump-ом сохраняем полученную информацию в 
файл в двоичном формате:

tcpdump -i eth0 -n -s 0 port 5060 -vvv -w /tmp/capturefilename

В итоге получим достаточно маленький файлик, и копируем его на машину с установленной Wireshark . Запускаем Wireshark , загружаем (Open) наш файл. Далее идем в меню 'Telephony' и выбираем 'VoIP Calls' . Запускается тулза, которая просканит наш файлик и соберет все пакеты звонков вместе, - супер удобно. Кнопочка 'Flow' покажет в графике как был обмен, и там-же можно нажать 'Prepare Filter' - которая поместит фильтр в главное меню, где не забываем нажать 'Apply'. Готово, у нас на экране только интересующий нас звонок.

удалить закрыть спам изменить тег редактировать

спросил 2012-03-24 07:44:59 +0400

bolshoy_plohish Gravatar bolshoy_plohish
1388 25 20 38

Comments

Если есть возможность подключения поо ссх с пробросом иксов (-X или -Y), то удобнее запускать wireshark удаленно, а смотреть на своих иках локально.

pzhy ( 2012-03-24 14:28:22 +0400 )редактировать

При включении сбора в файл (-w) опция -v избыточна, она определяет уровень детализации при выводе в stdout. Поэтому упрощу:

  1. tcpdump -ni eth0 -s 0 port 5060 -w /tmp/capturefilename

  2. tcpdump -ni eth0 -s 0 host 10.1.1.1 -w /tmp/capturefilename

ro ( 2012-04-07 13:14:03 +0400 )редактировать

5 Ответов

4

как вариант можно просто xlibs поставить и ходить ssh'ом с установленной переменной DISPLAY.

еще ngrep удобная штука.

ссылка удалить спам редактировать

ответил 2012-03-24 11:24:03 +0400

g613 Gravatar g613
309 13

Comments

дооо иксы на PBX это правильное решение.

shakirov ( 2012-03-24 11:37:10 +0400 )редактировать

не Х, а либы

g613 ( 2012-03-24 11:49:37 +0400 )редактировать

либы это тоже не очень хорошая идея. и кстати либы вроде libx называются или x-libs.

meral ( 2012-03-24 15:40:36 +0400 )редактировать

очень даже хорошая идея, я обычно так и делаю

edo ( 2012-03-25 00:28:49 +0400 )редактировать

ага. отличная просто. давайте к системе размеров 800мб добавим библдиотек размером еще в 800мб просто потому что нам лень один раз прочитать про фильтры tcpdumpа

meral ( 2012-03-25 04:34:13 +0400 )редактировать

их там сиииииильно меньше чем 800 метров. фильтры для tcpdump писать в случае дампа rtp и более 1 звонка с интересующей машины затрахацо можно. если rtp не надо но надо реалтайм то ngrep гораздо приятнее tcpdump'a. я спорить не стану дальше, но для любителей смотреть картинки в реалтайме libX это вариант.

g613 ( 2012-03-25 18:29:12 +0400 )редактировать

неа. несильно. если ставить минимальный центос какраз доставляет 800 мб на 64 биат версии когда ставишь x.

meral ( 2012-03-25 19:36:44 +0400 )редактировать

[root@localhost ~]# df -h

Filesystem Size Used Avail Use% Mounted on

/dev/mapper/VolGroup-lv_root 2.5G 563M 1.9G 24% /

tmpfs 504M 0 504M 0% /dev/shm

/dev/sda1 485M 27M 433M 6% /boot

[root@localhost ~]# cat /etc/redhat-release

CentOS Linux release 6.0 (Final)

[root@localhost ~]# yum install wireshark-gnome

....

Transaction Summary

=======================

Install 47 Package(s)

Upgrade 0 Package(s)

Total download size: 22 M

Installed size: 94 M

Is this ok [y/N]: y

из всего этого бардака чтоб XForwarding заработал надо поставить xauth и еще 10 пакетов по депенденсам в сумме аж на 5 метров, все остальное для wireshark-гуя.

где тут 800 метров ???

g613 ( 2012-03-25 22:15:09 +0400 )редактировать

для 5.5 64 бит было 800+ огда я прошлый раз twm ставил

meral ( 2012-03-26 05:11:03 +0400 )редактировать

twm это менеджер оконный, нафиг он тут нужен ? мы щас всеголишь про установку wireshark и окружения для работы X протокола.

g613 ( 2012-03-26 09:05:38 +0400 )редактировать

meral видимо незнает что можно через ssh форвардить с удаленного сервера на локальную машину Xсессию, в том числе и под винду (например xming) А полный комплект иксов с DE действительно может до 800 мегабайт выжирать

shakirov ( 2012-03-26 09:15:54 +0400 )редактировать
1

конечно не занет.это ж мерал. он же всеголишь 15 лет с линуксом работает. ламер еще.

meral ( 2012-03-26 12:47:45 +0400 )редактировать
1

тогда откуда 800 мегов?

shakirov ( 2012-03-26 12:49:00 +0400 )редактировать
4

Гораздо удобнее отзеркалить порт с PBX на коммутаторе и смотреть всё реалтайм. На циске так:

 (config)#monitor session 1 source interface fastEthernet 0/12 both
 (config)#monitor session 1 destination interface fastEthernet 0/24
ссылка удалить спам редактировать

ответил 2012-03-24 09:55:34 +0400

shakirov Gravatar shakirov flag of Russian Federation
1143 46 14 46
http://gammatelecom.ru/

Comments

А если PBX далеко? А если нет циски?

Я просто все пакеты pcap захватываю микротиком или самим сервером и затем анализирую.

switch ( 2012-03-24 10:33:58 +0400 )редактировать

умный мальчик. вот только циско роутером стояло всего у ДВУХ клиентов за всю мою историю работы фрилансером. а вообще вполне хватает встроенного дебага и tcpdump. фильтры надо писать правильно просто.

meral ( 2012-03-24 11:07:13 +0400 )редактировать

А причем тут роутер? порты зеркалятся на коммутаторе, к тому же помимо циски это умеют делать любые коммутаторы L2, даже дешевые webview. встроенного дебага, согласен достаточно.

shakirov ( 2012-03-24 11:36:45 +0400 )редактировать

Не в этом дело. Просто вы наверно на работе обслуживаете астериск, а у нас с meral астериски все удаленные, и редиректить трафик некуда.

switch ( 2012-03-24 11:46:34 +0400 )редактировать

У меня конечно же не так много удаленных астерисков, как у вас с meral, но тоже есть. И везде есть худобедно управляемые коммутаторы. Зеркалить порты в основном с панасами приходится. В остальном я более чем согласен что дебага и tcpdump c нормально составленными фильтрами достаточно. Просто если хочется реалтайма + wireshark то вариант с зеркалированием порта едиснтвенный. т.е. я не оспариваю ни чье мнение в данном посте, а предложил в коментах еще один вариант.

shakirov ( 2012-03-24 11:59:21 +0400 )редактировать

ну я вам гворю реальную ситуацию. 97% проектов частные лица. никаких управляемых комутаторов нету. 3% компании, к комутаторам доступа нет. такчто вариант с зеркалированием это сильно екзотика.

meral ( 2012-03-24 13:18:04 +0400 )редактировать

видимо в этом разгадка, я работаю строго с юрлицами и как правило по новым проектам куда можно поставить нормальное оборудование.

shakirov ( 2012-03-24 15:27:13 +0400 )редактировать

Ну нафига лезть в укоммутатор и редиректить трафик на нем, когда можно преспокойно сделать pcap на самом астере??? Если уж редиректить, то на роутере, когда есть проблемы с голосом наружу. В общем спор бессмысленный и беспощадный...

switch ( 2012-03-24 15:44:30 +0400 )редактировать

switch, о каком редиректе вы вообще говорите? нафига ковырять маршрутизатор то? Я же сказал что делается зеркалирование трафик с одного порта на другой и там в реальном времени можно смотреть любимым вайршарком. Это спор ради спора по моему.

shakirov ( 2012-03-24 15:47:48 +0400 )редактировать

бтлят. Зачем вообще используется вайршарк, в каких случаях?

switch ( 2012-03-24 15:50:02 +0400 )редактировать

оставим этот спор, я уже всё что хотел сказал.

shakirov ( 2012-03-24 15:53:31 +0400 )редактировать

ну вот смотри шакиров. вот свич смотрит шарком сразу на астриске. а ты ждешь пока пакет с атсриска дойдет до свича, там делаешь редирект и потом с редиректа смотришь шарком. ну вот где логика в твоем случае? скучно чтоли?

meral ( 2012-03-24 15:53:33 +0400 )редактировать

meral, switch, хватит уже позориться, какон к ебеням редирект? мироринг порта это полное зеркало, это блеат не форвард никакой, что из в одном порту то и в другом. Вам что аппаратные IP станции никогда отлаживать не приходилось? А адаптивные системы борьбы с DDoS-ами когда со всех серверов порты зеркалятся в административный на котором висит SNORT? PS: switch снимает tcpdump-ом pcap, тащит его себе домой и там смотрит шарком, тогда как я сижу и смотрю в реалтайме. вот где логика.

shakirov ( 2012-03-24 15:56:27 +0400 )редактировать

нет, не приходилось. И не надо тут позориться: аппаратных IP станций не существует в принципе.

switch ( 2012-03-24 15:58:09 +0400 )редактировать

давайте занудствовать далье, чего уж там. аппаратных АТС уже впринципе не осталось, все программные в той или иной степени. давайте вспомним про какой-нибудь панас NCP, самснг, или про агат. давайте своим вайршарком и тисипидампом арудуйте, вперед.

shakirov ( 2012-03-24 16:01:59 +0400 )редактировать
3

Про tshark видимо все забыли :)

ссылка удалить спам редактировать

ответил 2012-03-24 10:56:01 +0400

mistral Gravatar mistral flag of Ukraine
370 2 5 19
1

http://wiki.freeswitch.org/wiki/Packet_Capture

Кажется, здесь наиболее полный список видов сбора телефонных дампов. Лично меня порадовал sipgrep (скрипт для раскрашивания в разные цвета ngrep).

ссылка удалить спам редактировать

ответил 2012-03-27 08:01:27 +0400

ro Gravatar ro flag of Russian Federation
404 1 1 11
http://rootblog.ru/
0

Какие жаркие споры вы тут устроили!
Это всего лишь один из способов использования tcpdump-а!
Иногда возникают ситуации с плавящими неисправностями 
которые возникают не регулярно в течение суток.

ссылка удалить спам редактировать

ответил 2012-03-27 05:18:03 +0400

bolshoy_plohish Gravatar bolshoy_plohish
1388 25 20 38

Ваш ответ

Please start posting your answer anonymously - your answer will be saved within the current session and published after you log in or create a new account. Please try to give a substantial answer, for discussions, please use comments and please do remember to vote (after you log in)!
[скрыть предварительный просмотр]

Закладки и информация

Добавить закладку
3 закладки

подписаться на rss ленту новостей

Статистика

Задан: 2012-03-24 07:44:59 +0400

Просмотрен: 34,355 раз

Обновлен: Mar 27 '12

Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией GNU GPL.