The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"tcpdump для sip"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Программирование под UNIX (Отладка и профилирование)
Изначальное сообщение [ Отслеживать ]

"tcpdump для sip"  +/
Сообщение от Fazatron (ok) on 16-Фев-15, 15:54 
Добрый день!
Используем tcpdump для диагностики sip и выглядит он примерно так:

90.107.249.222.5468 > 90.107.248.2.5060: SIP, length: 468
        OPTIONS sip:2210224@90.107.249.222:5060 SIP/2.0
        Via: SIP/2.0/UDP 90.107.249.222:5468;rport;branch=z9hG4bK-o26268163942656145886888
        From: <sip:90.107.249.222>;tag=26268163942656145886686
        To: <sip:2210224@89.107.249.222>
        Call-ID: 1424-88870-790006
        CSeq: 780424 OPTIONS
        User-Agent: Eltex smg_pa_sip 3.2.1.42
        Max-Forwards: 70
        Allow: INVITE, ACK, BYE, CANCEL, PRACK, REGISTER, INFO, REFER, NOTIFY, OPTIONS, UPDATE
        Supported: 100rel, replaces
        Content-Length: 0

но вот в чем проблема, когда порт источника и назначения нестандартный и отличается от 5060, выглядит он вот так:

17:14:34.025921 IP (tos 0x60, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 859)
    90.107.249.222.5468 > 90.107.248.2.1442: UDP, length 831
17:14:34.080314 IP (tos 0x0, ttl 63, id 12718, offset 0, flags [none], proto UDP (17), length 412)
    90.107.248.2.1442 > 90.107.249.222.5468: UDP, length 384
17:14:34.087907 IP (tos 0x0, ttl 63, id 12719, offset 0, flags [none], proto UDP (17), length 495)

как то можно его как то настроить, чтобы вывод был правильный как в примере вверху?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "tcpdump для sip"  +/
Сообщение от поросёнок_петя on 16-Фев-15, 17:59 
man tcpdump до полного просветления

хинт опция -A и некоторые другие


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "tcpdump для sip"  +/
Сообщение от fail on 16-Фев-15, 18:10 
> Добрый день!

И вам добрый час.

> но вот в чем проблема, когда порт источника и назначения нестандартный и
> отличается от 5060, выглядит он вот так:
> 17:14:34.025921 IP (tos 0x60, ttl 64, id 0, offset 0, flags [DF],
> proto UDP (17), length 859)
>     90.107.249.222.5468 > 90.107.248.2.1442: UDP, length 831
> 17:14:34.080314 IP (tos 0x0, ttl 63, id 12718, offset 0, flags [none],
> proto UDP (17), length 412)
>     90.107.248.2.1442 > 90.107.249.222.5468: UDP, length 384
> 17:14:34.087907 IP (tos 0x0, ttl 63, id 12719, offset 0, flags [none],
> proto UDP (17), length 495)

По сущecтвy:
настройте полный вывод в tcpdump`e и/или wireshark`e,
а то знаете ли гадать - не перегадать,
что в этих октетах

length 859 <<<<<<<<<<
и
length 495 <<<<<<<<<<

> как то можно его как то настроить, чтобы вывод был правильный как
> в примере вверху?

имо, соответствующие рук-во к анализатору трафика

Попытайтесь проанализировать с помощью wireshark`oм - вроде его парсер SIP`a должен проработать .


P.S.:
Вceвышний милoвaл плотно пеpeceкатьcя с этой бинapно-текстовой хренью (SIP) эмуляции каналов на пакетах

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "tcpdump для sip"  +/
Сообщение от Fazatron (ok) on 17-Фев-15, 10:23 

>[оверквотинг удален]
> и
> length 495 <<<<<<<<<<
>> как то можно его как то настроить, чтобы вывод был правильный как
>> в примере вверху?
> имо, соответствующие рук-во к анализатору трафика
> Попытайтесь проанализировать с помощью wireshark`oм - вроде его парсер SIP`a должен проработать
> .
> P.S.:
> Вceвышний милoвaл плотно пеpeceкатьcя с этой бинapно-текстовой хренью (SIP) эмуляции каналов
> на пакетах

Дело в том что tcpdump вшит в железяку (транковый шлюз) и да есть возможность делать дампы из веб-морды в файл и открывать wireshark`oм, но это не оперативно. хотелось бы сразу видеть результат.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "tcpdump для sip"  +/
Сообщение от Fazatron (ok) on 17-Фев-15, 10:27 
-A частично помогла, но все равно как то кривовато выводит) спс за наводку будем искать дальше.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "tcpdump для sip"  +/
Сообщение от fail on 17-Фев-15, 10:47 
> Дело в том что tcpdump вшит в железяку (транковый шлюз) и да
> есть возможность делать дампы из веб-морды в файл и открывать wireshark`oм,
> но это не оперативно. хотелось бы сразу видеть результат.

Если железка позволяет прозеркалить трафик - то перенаправьте на нужный хост для онлайн трассировки - для анализа более свежими версиями.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "tcpdump для sip"  +/
Сообщение от Fazatron (ok) on 17-Фев-15, 13:48 
>> Дело в том что tcpdump вшит в железяку (транковый шлюз) и да
>> есть возможность делать дампы из веб-морды в файл и открывать wireshark`oм,
>> но это не оперативно. хотелось бы сразу видеть результат.
> Если железка позволяет прозеркалить трафик - то перенаправьте на нужный хост для
> онлайн трассировки - для анализа более свежими версиями.

более свежие версии так же отображают! у меня например версия 4.5.1 а вывод такой же сжатый((

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "tcpdump для sip"  +/
Сообщение от fail on 17-Фев-15, 15:14 
> более свежие версии так же отображают! у меня например версия 4.5.1 а
> вывод такой же сжатый((

в смысле tcpdump (4.5.1) ?

надобно еще попытаться пройтись по трафику wireshark`om, вapиaнтов не много:
- завернуть трафик с железки непосредственно
- M(H)ITM - в смысле, хост по середине


вопрос риторический - эта возня с работой связана ?


P.S.:

Да уж, миловала меня фортуна от знакомства с этой хренью.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "tcpdump для sip"  +/
Сообщение от Fazatron (ok) on 17-Фев-15, 16:01 
>> более свежие версии так же отображают! у меня например версия 4.5.1 а
>> вывод такой же сжатый((
> в смысле tcpdump (4.5.1) ?
> надобно еще попытаться пройтись по трафику wireshark`om, вapиaнтов не много:
>  - завернуть трафик с железки непосредственно
>  - M(H)ITM - в смысле, хост по середине
> вопрос риторический - эта возня с работой связана ?

Да, с работой( ну приходится рожать pcap через веб-интерфейс, и шарком читать только так, но почему в tcpdump не предусмотрели что порты могут отличатся от 5060? ((

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "tcpdump для sip"  +/
Сообщение от fail on 17-Фев-15, 18:13 

> Да, с работой( ну приходится рожать pcap через веб-интерфейс, и шарком читать
> только так, но почему в tcpdump не предусмотрели что порты могут
> отличатся от 5060? ((

Хм, имо, здесь не столько разрабы tcpdump виновны,
сколько *доны(проставить нужый префикс), пропихнувшие ст0ндарт по SIP.

Это ж надо было такое вывалить:

- перенести все хворячки каналов на пакеты
- контрольный выстрел: бинарно-текствой хренью полить
- ну и ишо возможность каждому вендору со своими трактовками залезть

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру