Filtrage des appels VoIP avec tshark

Je suis en analysant les appels VoIP sur mon réseau

Pour l'instant, je suis en utilisant un générés .fichier pcap, mais plus tard, je vais être à l'écoute de ce en temps réel.

Je suis en utilisant tshark, et je ne peux filtrer certaines données importantes assez facilement à partir de l' .ppce (comme "source de l'adresse ip et le port", "destination ip addr et le Port", charge utile pckt perdu, Max Delta(ms),Max Gigue(ms),la Moyenne de la Gigue(ms)) avec

tshark -r monfichier -q -z rtp,les ruisseaux

Ce que je veux savoir, c'est: comment puis-je obtenir le sip addrs d'un appel? (client et serveur)

Je peux récupérer certains sip addrs (client uniquement) par filtrage de tous les sip INVITE, comme ceci:

tshark -r monfichier -R "sip.Ligne de requête contient INVITER"

Mais je ne peux pas obtenir l'adresse du serveur.

De clarifier un peu, mon idée était d'obtenir cette "statistique" dans tshark, comme wireshark me donne quand j'ai accès "Téléphonie>les Appels VoIP" (de la même manière que tshark -r monfichier -q -z rtp,streamsreturns m'statistiques comme wireshark Téléphonie>RTP>Afficher Tous les Ruisseaux), est-il un moyen de faire cela? Si ce n'est avec les "statistiques" (-z) comment puis-je créer un filtre (-R) de faire la même chose de la "VoIPCall" en fonction de la wireshark

Je suis en utilisant tshark que je veux travailler avec ces données, et pas seulement de les analyser sur mon écran

Grâce

Il est difficile de savoir exactement ce que vous voulez ou avez besoin. Est-ce quelque chose qui fournit de l'information "live" lors de la capture? Ou tout simplement une interface de ligne de commande pour obtenir les informations fournies par les "Téléphonie > les Appels VoIP" en mode graphique?

OriginalL'auteur Fred | 2012-05-15

  1. 5

    essayer:

    tshark -r myFile -R "sip.CSeq.method eq INVITE"

    Filtre pour la requête envoyée par le client et la réponse correspondante à partir du serveur.

    OriginalL'auteur user1591613

  2. 0

    J'ai été dans une situation similaire et a fini par tshark des pages de man.

    Commande: tshark -r input_file.pcap -q -z sip,stat

    Explication:

    -r <infile> : Read packet data from infile

-q : When reading a capture file, don't print packet information; this is useful if you're using a -z option to calculate statistics and don't want the packet information printed, just the statistics.

-z <statistics> : Get TShark to collect various types of statistics and display the result after finishing reading the capture file.

    Vous pouvez en outre ajouter des filtres pour le filtrage ainsi, si par exemple vous souhaitez résumer tous les paquets qui ne lui avait SIP 480 Code d'État, vous pouvez le faire par:

    tshark -r input_file.pcap -q -z sip,stat,sip.Status-Code==480

    -z sip,stat[,filter] : This option will activate a counter for SIP messages. You will get the number of occurrences of each SIP Method and of each SIP Status-Code

    Dans le cas où vous souhaitez utiliser plusieurs filtres, vous pouvez les ajouter un par un

    tshark -r input_file.pcap -q -z sip,stat,sip.Status-Code==480 -z sip,stat,sip.Status-Code==500

    Si vous voulez résumer par adresse sip, vous pouvez filtrer par:

    tshark -r input_file.pcap -q -z sip,stat,sip.to.host==sip-to-host.com

    Consulter:

    1. TShark Homme Page: https://www.wireshark.org/docs/man-pages/tshark.html
    2. SIP Filtres: https://www.wireshark.org/docs/dfref/s/sip.html

    OriginalL'auteur geekgunda