Erfassen Sie RTP und SIP-Verkehr mit TCPDump
Frage
Ich muss den SIP- und RTTP-Verkehr erfassen, um ein Problem mit etwas zu finden.Ich kann SIP-Nachrichten fein erfassen, aber ein Problem mit dem Aufnehmen des RTP-Verkehrs.
Ich habe das Folgende ausprobiert, aber das kommt nur die SIP-Pakete aus, und kein RTP.
tcpdump -t rtp -vvv src-s 1500 -i jeder -w /home/lantrace_test2.pcap Port 5060
Die andere Art und Weise, an die ich dachte, dass es sich um ein Sortiment von UDP-Anschlüssen handelt, nutzt die Reichweite der Reichweite, die wir für den RTP-Verkehr verwenden, aber ich kann keine Möglichkeit finden, eine Reihe von Ports so nicht sicher zu erfassen, dass sie nicht sicher sindWenn TCPDump Portbereiche für Capture
unterstütztDanke für jede Hilfe, die Sie anbieten können
Lösung
Ihr SIP-Verkehr läuft über 5060, wie Sie wissen, aber der Anschluss, auf dem der SNIFF-RTP von den SDP-Körpern der SIP-Nachrichten beschrieben wird.Mit anderen Worten, es gibt keine Möglichkeit zu wissen, an welchen Ports zum Schnüffeln, bis der Angebot / Antwortaustausch abgeschlossen ist.
Wenn Sie etwas über die beteiligten Benutzeragenten wissen, können Sie Tricks versuchen, den Verkehr auf einer Reihe von Häfen zu erfassen.(So etwas wie tcpdump -n dst portrange 10000-11000
zum Beispiel.)
Andere Tipps
Sie können so etwas versuchen:
generasacodicetagpre.Damit erfassen Sie SIP und Medien
Schauen Sie sich einen Blick auf pcapssipdump : schreibt SIP / RTP-Sitzungen in das gleiche Format, als "tcpdump -w", aber eine Datei pro SIP-Sitzung.Oder verwenden Sie Tshark mit der Filterung wie beschrieben hier .