sngrep, который поможет вам анализировать SIP-трафик в режиме реального времени. sngrep будет незаменимым помощником VoIP инженеров для диагностики VoIP-трафика.
Особенности sngrep:
- Захват SIP трафика и чтение PCAP файлов
- Поддержка UDP, TCP и TLS (частично)
- Сохранение перехваченных пакетов в PCAP файл
Установка
Устанавливаем необходимые библиотеки:
yum install libpcap libpcap-devel
Скачиваем, компилируем и запускаем sngrep:
cd /usr/src git clone git://github.com/irontec/sngrep.git cd sngrep ./bootstrap.sh ./configure ( если хотите анализировать TLS, нужно добавить with-openssl) make && make install
Описание ключей sngrep:
Формат команды sngrep имеет следующий вид:
sngrep [-hVciv] [-IO pcap_dump] [-d dev] [-l limit] [-k keyfile] [] [] -h or help: Хелпер -V or version: вывести информацию о версии -I or input : прочитать данные из файла filename.pcap -O or output : cохраните все перехваченные пакеты в файл PCAP -d or device : захват трафик с определенного интерфейса ( по умолчанию sngrep захватывает трафик со всех интерфейсов) -k or keyfile : использовать private keyfile файл для расшифровки перехваченных TLS пакетов -c or calls : отображение только диалоговых окон, начиная с запроса invite -l or limit : изменить ограничения захвата трафика -N or no-interface : захват трафика без указания интерфейса -q or quiet : не отображать захваченные пакеты в режиме без интерфейса
Примеры:
Захват SIP трафика в котором есть данные принадлежащие порту 80 (udp или tcp)
sngrep port 5060
Захват SIP трафика в котором есть данные принадлежащие портов 5060-5062
sngrep portrange 5060-5062
Захват SIP трафика в котором в качестве адреса стоит IP 95.128.227.100
sngrep host 95.128.227.100
Захватив все SIP пакеты с определенного интерфейса (-d eth1), IP, порта, и сохранить все это в pcap файл
sngrep -d eth1 -O /usr/dump/sip_capture.pcap host 192.168.1.10 port 5061
Прочитать данные из pcap файла, имеющие IP 192.168.0.50
sngrep -I sip_capture.pcap host 192.168.0.50
Работа со списком вызовов
Первое, что перед вами появляется после выполнения команды sngrep, это список сделанных вызовов, который пополняется новыми вызовами в режиме реального времени. Вам может понадобится сохранить, отфильтровать, выделить собранный трафик. Все это можно сделать с помощью определенного сочетания клавиш:
Enter: Отображение текущего или выбранного диалога(ов) F2 or s: Сохранить выбранные/все в файл pcap F3 or / or TAB: Фильтр отображения. Этот фильтр будет применен к тексту строк в списке F4 or x: Отображение текущего выбранного диалога и связанных с ним F5: Очистить список вызовов F6 or r: Отобразить выбранный диалог(и) сообщения в обычный текст F7 or f: Показать advanded фильтры F10 or t: Выберите отображаемые столбцы