tshark ist wohl das mächtigste Werkzeug zur Netzwerkdaten-Analyse. Ich zeige hier die wichtigsten Kommandos und Filter für SIP.
Inhaltsverzeichnis ...
tshark starten mit libpcap filter
tshark -i <interfacename> -f "<libcap filter expressions>"
tshark -i eth0 -f "tcp port 5060"
tshark starten mit display filter
tshark -i eth0 -Y sip
tshark filter mischen
tshark lässt es natürlich auch zu, libpcap filter zusammen mit highlevel Protokoll-Filter zu mischen.
Tshark Tabellenform
Im folgenden Beispiel geben wir die Tracedaten in Tabellenform aus:
tshark -i lo -f "udp port 5060" -T fields -e frame.number -e sip.Method -e sip.from.user -e sip.from.host -e sip.to.user -e sip.to.host -E header=y REGISTER 9999999993 10.100.61.120 9999999993 10.100.61.120 24 9999999993 10.100.61.120 9999999993 10.100.61.120 25 26 REGISTER 9999999991 10.100.61.120 9999999991 10.100.61.120 27 9999999991 10.100.61.120 9999999991 10.100.61.120 28 29 INVITE 9999999993 10.100.61.120 9999999991 10.100.61.120 30 9999999993 10.100.61.120 9999999991 10.100.61.120 31 INVITE 9999999993 10.100.61.120 9999999991 sip_ip_alias_1 32 33 9999999993 10.100.61.120 9999999991 sip_ip_alias_1 34 ACK 9999999993 10.100.61.120 9999999991 sip_ip_alias_1 35 36 9999999993 10.100.61.120 9999999991 10.100.61.120 37 38 ACK 9999999993 10.100.61.120 9999999991 10.100.61.120 39 40 41 BYE 9999999993 10.100.61.120 9999999991 10.100.61.120 42 43 9999999993 10.100.61.120 9999999991 10.100.61.120