sngrep анализатор SIP-трафика

sngrep, который поможет вам анализировать SIP-трафик в режиме реального времени. sngrep будет незаменимым помощником VoIP инженеров для диагностики VoIP-трафика.
Особенности sngrep:

  • Захват SIP трафика и чтение PCAP файлов
  • Поддержка UDP, TCP и TLS (частично)
  • Сохранение перехваченных пакетов в PCAP файл

Установка sngrep анализатора SIP-трафика

Устанавливаем необходимые библиотеки:

yum install libpcap libpcap-devel

Скачиваем, компилируем и запускаем sngrep:

cd /usr/src
git clone git://github.com/irontec/sngrep.git
cd sngrep
./bootstrap.sh
./configure ( если хотите анализировать TLS, нужно добавить – with-openssl)
make && make install

Описание ключей sngrep

Формат команды sngrep имеет следующий вид:

sngrep [-hVciv] [-IO pcap_dump] [-d dev] [-l limit] [-k keyfile] [] []

-h or – help: Хелпер
-V or – version: вывести информацию о версии
-I or – input : прочитать данные из файла filename.pcap
-O or – output : cохраните все перехваченные пакеты в файл PCAP
-d or – device : захват трафик с определенного интерфейса ( по умолчанию sngrep захватывает трафик со всех интерфейсов)
-k or – keyfile : использовать private keyfile файл для расшифровки перехваченных TLS пакетов
-c or – calls : отображение только диалоговых окон, начиная с запроса invite
-l or – limit : изменить ограничения захвата трафика
-N or – no-interface : захват трафика без указания интерфейса
-q or – quiet : не отображать захваченные пакеты в режиме без интерфейса

Примеры

Захват SIP трафика в котором есть данные принадлежащие порту 80 (udp или tcp)

sngrep анализатор SIP-трафика

sngrep port 5060

Захват SIP трафика в котором есть данные принадлежащие портов 5060-5062

sngrep portrange 5060-5062

Захват SIP трафика в котором в качестве адреса стоит IP 95.128.227.100

sngrep host 95.128.227.100

Захватив все SIP пакеты с определенного интерфейса (-d eth1), IP, порта, и сохранить все это в pcap файл

sngrep -d eth1 -O /usr/dump/sip_capture.pcap host 192.168.1.10 port 5061

Прочитать данные из pcap файла, имеющие IP 192.168.0.50

sngrep -I  sip_capture.pcap host 192.168.0.50

Работа со списком вызовов sngrep анализатора SIP-трафика

Первое, что перед вами появляется после выполнения команды sngrep, это список сделанных вызовов, который пополняется новыми вызовами в режиме реального времени. Вам может понадобится сохранить, отфильтровать, выделить собранный трафик. Все это можно сделать с помощью определенного сочетания клавиш:

Enter: Отображение текущего или выбранного диалога(ов)
F2 or s: Сохранить выбранные/все в файл pcap
F3 or / or TAB: Фильтр отображения. Этот фильтр будет применен к тексту строк в списке
F4 or x: Отображение текущего выбранного диалога и связанных с ним
F5: Очистить список вызовов
F6 or r: Отобразить выбранный диалог(и) сообщения в обычный текст
F7 or f: Показать advanded фильтры
F10 or t: Выберите отображаемые столбцы

sngrep: анализатор SIP-трафика
sngrep: анализатор SIP-трафика

Более детально ознакомиться с сочетанием клавиш и работой с sngrep вы можете на официальной странице sngrep на github.
Есть много программ (tshark, ngrep,tcpdump), которые делают то же самое и даже больше, но sngrep нам понравился своей простотой и функциональностью, он может стать незаменимым помощником VoIP инженера.
Если вы в статье нашли ошибки или несоответствия, мы будем благодарны, если вы напишите нам о них в комментариях.

Добавить комментарий