Аналіз SIP протоколу tcpdump-ом Wireshark - Asterisk Питання та Відповіді
Якщо є можливість підключення по ссх з прокидом іксів (-X або -Y), то зручніше запускати wireshark віддалено, а дивитися на своїх іках локально.
При включенні збору файл (-w) опція -v надлишкова, вона визначає рівень деталізації під час виведення в stdout. Тому спрощу:
tcpdump -ni eth0 -s 0 port 5060 -w /tmp/capturefilename
tcpdump -ni eth0 -s 0 host 10.1.1.1 -w /tmp/capturefilename
Набагато зручніше віддзеркалити порт з PBX на комутаторі та дивитися все реалтайм. На циску так:
shakirov 1143 ● 46 ● 13 ● 46 http://gammatelecom.ru/
А якщо PBX далеко? А якщо немає циски?
Я просто всі пакети pcap захоплюю мікротиком або самим сервером, а потім аналізую.
розумний хлопчик. ось тільки циско-роутером стояло всього у ДВОХ клієнтів за всю мою історію роботи фрілансером. а взагалі цілком вистачає вбудованого дебага та tcpdump. Фільтри треба писати правильно просто.
А до чого тут роутер? порти дзеркаються на комутаторі, до того ж крім циски це вміють робити будь-які комутатори L2, навіть дешеві webview. вбудованого дебага, згоден достатньо.
Не в цьому справа. Просто ви напевно на роботі обслуговуєте астериск, а у нас з meral астериски всі віддалені, і редиректувати трафік нікуди.
У мене звичайно ж не так багато віддалених астерісків, як у вас з meral, але теж є. І скрізь є керовані комутатори. Дзеркати порти переважно з панасами доводиться. У решті я більш ніж згоден що дебага та tcpdump з нормально складеними фільтрами досить. Просто якщо хочеться реалтайму + wireshark, то варіант з дзеркалюванням порту є єдиним. тобто. я не заперечую жодну думку в даному пості, а запропонував у коментах ще один варіант.
ну я вам кажу реальну ситуацію. 97% проектів – приватні особи. ніяких керованих комутаторів немає. 3% компанії, до комутаторів доступу немає. Так що варіант із дзеркалюванням це сильно екзотика.
мабуть у цьому розгадка, я працюю суворо з юрособами і як правило за новими проектами, куди можна поставити нормальне обладнання.
Ну нафіга лізти в укоммутатор і редагувати трафік на ньому, коли можна спокійнісінько зробити pcap на самому астері. Якщо вже редиректити, то на роутері, коли є проблеми із голосом назовні. Загалом суперечка безглузда і нещадна.
switch, про який редирект ви взагалі кажете? нафіга колупати маршрутизатор щось? Я ж сказав, що робиться дзеркалювання трафік з одного порту на інший і там в реальному часі можна дивитися улюбленим вайршарком. Це суперечка заради суперечки на мою.
блять. Навіщо взагалі використовується вайршарк, у яких випадках?
залишимо цю суперечку, я вже все що хотів сказав.
ну ось дивись шакір. ось свіч дивиться кулькою відразу на астриску. а ти чекаєш, поки пакет з атсриску дійде до свіча, там робиш редирект і потім з редиректу дивишся кулькою. ну ось де логіка у твоєму випадку? нудно чи що?
meral, switch, вистачить уже ганьбитися, як він до ебенів редирект? мироринг порту це повне дзеркало, це блеат не форвард ніякої, що з одного порту те й у іншому. Вам що апаратні IP станції ніколи налагоджувати не доводилося? А адаптивні системи боротьби з DDoS-ами коли з усіх серверів порти дзеркаються в адміністративний, на якому висить SNORT? PS: switch знімає tcpdump-ом pcap, тягне його собі додому і там дивиться кулькою, тоді як я сиджу і дивлюся в реалтаймі. Ось де логіка.
ні не доводилось. І не треба тут ганьбити: апаратних IP станцій не існує в принципі.
давайте занудитидалі, чого там. апаратних АТС вже в принципі не залишилося, всі програмні тією чи іншою мірою. Давайте згадаємо про якийсь панас NCP, самснг, або про агат. давайте своїм вайршарком і тисипідампом арудуйте, вперед.