Анализ SIP протокола tcpdump-ом +Wireshark

На *nix серверах, как правило, не установлена графическая оболочка, а tcpdump не очень удобен в использывании. Как же быть?

Для этого можно воспользоваться Wireshark установленной на другой машине с графической оболочкой. На исследуемой машине tspdump-ом сохраняем полученную информацию в файл в двоичном формате:

tcpdump -i eth0 -n -s 0 port 5060 -vvv -w /tmp/capturefilename 

В итоге получим достаточно маленький файлик, и копируем его на машину с установленной Wireshark .

Запускаем Wireshark , загружаем (Open) наш файл. Далее идем в меню ‘Telephony’ и выбираем ‘VoIP Calls’ . Запускается тулза, которая просканит наш файлик и соберет все пакеты звонков вместе, — супер удобно. Кнопочка ‘Flow’ покажет в графике как был обмен, и там-же можно нажать ‘Prepare Filter’ — которая поместит фильтр в главное меню, где не забываем нажать ‘Apply’.

Готово, у нас на экране только интересующий нас звонок.