Filtrage des appels VoIP avec tshark
Je suis en analysant les appels VoIP sur mon réseau
Pour l'instant, je suis en utilisant un générés .fichier pcap, mais plus tard, je vais être à l'écoute de ce en temps réel.
Je suis en utilisant tshark, et je ne peux filtrer certaines données importantes assez facilement à partir de l' .ppce (comme "source de l'adresse ip et le port", "destination ip addr et le Port", charge utile pckt perdu, Max Delta(ms),Max Gigue(ms),la Moyenne de la Gigue(ms)) avec
tshark -r monfichier -q -z rtp,les ruisseaux
Ce que je veux savoir, c'est: comment puis-je obtenir le sip addrs d'un appel? (client et serveur)
Je peux récupérer certains sip addrs (client uniquement) par filtrage de tous les sip INVITE, comme ceci:
tshark -r monfichier -R "sip.Ligne de requête contient INVITER"
Mais je ne peux pas obtenir l'adresse du serveur.
De clarifier un peu, mon idée était d'obtenir cette "statistique" dans tshark, comme wireshark me donne quand j'ai accès "Téléphonie>les Appels VoIP" (de la même manière que tshark -r monfichier -q -z rtp,streamsreturns m'statistiques comme wireshark Téléphonie>RTP>Afficher Tous les Ruisseaux), est-il un moyen de faire cela? Si ce n'est avec les "statistiques" (-z) comment puis-je créer un filtre (-R) de faire la même chose de la "VoIPCall" en fonction de la wireshark
Je suis en utilisant tshark que je veux travailler avec ces données, et pas seulement de les analyser sur mon écran
Grâce
OriginalL'auteur Fred | 2012-05-15
Vous devez vous connecter pour publier un commentaire.
essayer:
Filtre pour la requête envoyée par le client et la réponse correspondante à partir du serveur.
OriginalL'auteur user1591613
J'ai été dans une situation similaire et a fini par tshark des pages de man.
Commande:
tshark -r input_file.pcap -q -z sip,stat
Explication:
Vous pouvez en outre ajouter des filtres pour le filtrage ainsi, si par exemple vous souhaitez résumer tous les paquets qui ne lui avait SIP 480 Code d'État, vous pouvez le faire par:
tshark -r input_file.pcap -q -z sip,stat,sip.Status-Code==480
Dans le cas où vous souhaitez utiliser plusieurs filtres, vous pouvez les ajouter un par un
tshark -r input_file.pcap -q -z sip,stat,sip.Status-Code==480 -z sip,stat,sip.Status-Code==500
Si vous voulez résumer par adresse sip, vous pouvez filtrer par:
tshark -r input_file.pcap -q -z sip,stat,sip.to.host==sip-to-host.com
Consulter:
OriginalL'auteur geekgunda