TCPdump: программа для перехвата и анализа SIP-сообщений.

TCPdump - мощная программа для анализа пакетов командной строки, которая может использоваться для перехвата/анализа SIP-сообщений. TCPdump предустановлен во многих дистрибутивах Linux или может быть установлен непосредственно из репозитория Debian:

apt-get install tcpdump

TCPdump позволяет записывать перехваченный трафик в файл или отображать его в реальном времени.

Его использование для анализа SIP-сообщений может выглядеть следующим образом:

1) Отображение в реальном времени на консоли

  tcpdump -nqt -s 0 -A -i eth0 port 5060

где:

-n не конвертировать IP-адреса в DNS-имена

-q печатать меньше исходящей информации

-t не печатать метки времени

-s число байтов захватываемых из пакета, 0 = число iptions по умолчанию, которое составляет максимум 65535, или просто целый пакет

-A печатает каждый пакет в ASCI

-v детализация вывода, vv будет очень подробным

-i интерфейс с которого будет производиться захват

port 5060 - указывает порт для прослушивания трафика (5060 в данном случае)

Example of sniffing output using settings described above:
IP 158.193.139.51.5060 > 85.248.145.114.28444: UDP, length 252
E.......@......3U..r..o....uOPTIONS sip:85.248.145.114:28444 SIP/2.0
Via: SIP/2.0/UDP 158.193.139.51:5060;branch=0
From: sip:pinger@kamailio.org;tag=532c3365
To: sip:85.248.145.114:28444
Call-ID: 085dfe91-025420f2-2812823@158.193.139.51
CSeq: 1 OPTIONS
Content-Length: 0


IP 85.248.145.114.28444 > 158.193.139.51.5060: UDP, length 455
E.......u.!'U..r...3o.......SIP/2.0 200 OK
Via: SIP/2.0/UDP 158.193.139.51:5060;branch=0
Contact: <sip:192.168.1.103:28444>
To: <sip:85.248.145.114:28444>;tag=771cf100
From: <sip:pinger@kamailio.org>;tag=532c3365
CSeq: 1 OPTIONS
Accept-Language: en
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, NOTIFY, MESSAGE, SUBSCRIBE, INFO
User-Agent: eyeBeam release 1102q stamp 51814
Content-Length: 0
or should be used with verbose extensions, which print some under layer protocol details, as check sums, header lengths…
tcpdump -nqt -s 0 -A -vvv -i eth0 port 5060

2) Второй вариант использования tcpdump - захват данных и их запись в файл pcacp, а затем пост-анализ, например, с помощью wireshark.

tcpdump -nq -s 0 -i eth0 -w /tmp/dump.pcap port 5060 

Домашняя страница инструмента tcpdump находится здесь: http://www.tcpdump.org/tcpdump_man.html

Хороший учебник доступен на http://danielmiessler.com/study/tcpdump/

Man pages

Дополнительная информация из справочных страниц:

Usage: tcpdump [-aAdDeflLnNOpqRStuUvxX] [-c count] [ -C file_size ]

            [ -E algo:secret ] [ -F file ] [ -i interface ] [ -M secret ]
            [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]
            [ -W filecount ] [ -y datalinktype ] [ -Z user ]
            [ expression ]

ОПЦИИ

-A Печатать каждый пакет (без заголовка уровня ссылки) в ASCII. Удобно для захвата веб-страниц.

-B Установить размер буфера захвата операционной системы равным buffer_size.

-c Выход после получения определенного количества пакетов

-C Перед записью необработанного пакета в файл сохранения проверяет, больше ли размер файла чем file_size, и, если это так, закрывает текущий файл сохранения и открывает новый. Файл сохранения после первого будут иметь имя, указанное с флагом -w и номер после него, начинающийся с 1 и увеличивающийся. Единицами file_size являются миллионы байтов (1 000 000 байтов, а не 1 048 576 байтов).

-d Дамп скомпилированного кода сопоставления пакетов в удобочитаемой форме для стандартного вывода и остановки.

-dd Дамп кода сопоставления пакетов как фрагмент программы на C.

-ddd Дамп кода сопоставления пакетов в виде десятичных чисел (с предшествующим счетчиком).

-D Распечатать список сетевых интерфейсов, доступных в системе и по которым tcpdump может захватывать пакеты. Для каждого сетевого интерфейса печатаются номер и имя интерфейса, за которым, может следовать текстовое описание интерфейса. Имя или номер интерфейса можно указать во флаге -i, чтобы указать интерфейс для захвата.

Это может быть полезно в системах, в которых нет команды для их перечисления (например, в системах Windows или системах UNIX, в которых отсутствует ifconfig -a); Номер может быть полезен в Windows 2000 и более поздних системах, где имя интерфейса представляет собой довольно сложную строку. Флаг -D не будет поддерживаться, если tcpdump был собран с более старой версией libpcap, в которой отсутствует функция pcap_findalldevs ().

-e Печатать заголовок канального уровня в каждой строке дампа.

-E Использовать алгоритм и секрет spi@ipaddr для расшифровки пакетов IPsec ESP, направленных по адресу addr и содержащих значение индекса параметра безопасности spi. Эта комбинация может повторяться с разделением запятой или новой строкой. Обратите внимание, что в настоящее время поддерживается установка секрета для пакетов IPv4 ESP. Алгоритмы могут быть des-cbc, 3des-cbc, blowfish-cbc, rc3-cbc, cast128-cbc или отсутствовать. По умолчанию используется des-cbc. Возможность дешифрования пакетов присутствует только в том случае, если tcpdump был скомпилирован с включенной криптографией. Параметр secret содержит ASCII-текст для секретного ключа ESP. Если ему предшествует 0x, то будет прочитано шестнадцатеричное значение. Опция предполагает RFC2406 ESP, а не RFC1827 ESP. Опция предназначена только для целей отладки, и использование этой опции с истинным «секретным» ключом не рекомендуется. Представив секретный ключ IPsec в командной строке, вы сделаете его видимым для других с помощью ps(1) и в ряде других случаев. Кроме вышеупомянутого синтаксиса параметры можно указать в файле опций, который tcpdump будет читать при получении первого пакета ESP.

-f Выводить «чужие» IPv4-адреса в числовом формате, а не символически (эта опция предназначена для того, чтобы обойти серьезные проблемы на NIS-сервере Sun). Проверка «чужих» адресов IPv4 выполняется с использованием адреса IPv4 и маски сети интерфейса, на котором выполняется захват. Если этот адрес или маска сети недоступны (либо потому что интерфейс, на котором выполняется захват, не имеет адреса или маски сети, либо потому, что захват выполняется на интерфейсе Linux «any», который может захватывать на нескольких интерфейсах) опция будет некорректно.

-F Использовать фильтр, находящийся в файле. При использовании данного параметра, фильтр из командной строки будет игнорироваться.

-G Если указано, включает ротацию файлов дампа указанных с параметром -w, каждые rotate_seconds секунды. Файлы сохранения будут иметь имя, указанное в -w, которое должно включать формат времени, определенный strftime (3). Если формат времени не указан, каждый новый файл будет перезаписывать предыдущий. Если используется вместе с опцией -C, имена файлов будут иметь вид `file<count>`.

-i Интерфейс для прослушивания. Если не указан, tcpdump ищет в системном списке интерфейсов настроенный интерфейс с наименьшим номером (исключая loopback). В системах Linux с ядром 2.2 или более поздней версии «any» может использоваться для захвата пакетов со всех интерфейсов. Обратите внимание, что захват со всех интерфейсов не будет выполняться в случайном режиме. Если поддерживается флаг -D, в качестве аргумента интерфейса может использоваться номер интерфейса, напечатанный этим флагом.

-I Перевести интерфейс в «режим мониторинга»; это поддерживается только в интерфейсах Wi-Fi IEEE 802.11 и только в некоторых операционных системах. Обратите внимание, что в режиме мониторинга адаптер может отсоединиться от сети, с которой он связан, так что вы не сможете использовать никакие беспроводные сети с этим адаптером. Это может помешать доступу к файлам на сетевом сервере или разрешению имен хостов или сетевых адресов, если вы выполняете захват в режиме мониторинга и не подключены к другой сети с помощью другого адаптера. Этот флаг повлияет на вывод флага -L. Если -I не указан, будут показаны только те типы канального уровня, которые доступны, когда он не находится в режиме мониторинга; если указан -I, будут отображаться только те типы канального уровня, которые доступны в режиме монитора.

-K Отключает проверку контрольных сумм IP, TCP или UDP. Это полезно для интерфейсов, которые выполняют такие проверки в аппаратных средствах; в противном случае все исходящие контрольные суммы TCP будут помечены как плохие.

-l Использовать стандартный потоковый вывод tcpdump (stdout). Полезно, если вы хотите увидеть данные во время их захвата. Например, “tcpdump -l | tee dat” or “tcpdump -l > dat & tail -f dat”.

-L Вывести список известных типов каналов передачи данных для интерфейса в указанном режиме и выйти. Список известных типов каналов передачи данных может зависеть от указанного режима; например, на некоторых платформах интерфейс Wi-Fi может поддерживать один набор типов каналов передачи данных, когда режим мониторинга не используется, и другой набор когда он включен.

-m Загружает SMI MIB модуль из файла модуля. Эта опция может использоваться несколько раз для загрузки нескольких модулей MIB в tcpdump.

-M Использовать секрет как общий секрет для проверки дайджестов, найденных в сегментах TCP с опцией TCP-MD5 (RFC 2385), если имеется.

-n Не конвертировать адреса (т. е. адреса хостов, номера портов и т. д.) в имена.

-N Не печатать доменное имя с указанием имен хостов. Например, если вы установите этот флаг, то tcpdump выведет «nic» вместо «nic.ddn.mil».

-O Не запускать оптимизатор кода соответствия пакетов. Это необходимо, только если вы подозреваете ошибку в оптимизаторе.

-p Не переводит интерфейс в режим приема всех пакетов. Обратите внимание, что интерфейс может быть в случайном режиме по какой-то другой причине; следовательно, `-p 'нельзя использовать в качестве сокращения для` ether host {local-hw-addr} или ether broadcast'.

-q Быстрый (тихий?) вывод. Печатает меньше протокольной информации, чтобы выходные строки были короче.

-R Предполагается, что пакеты ESP/AH основаны на старой спецификации (RFC1825 - RFC1829). Если указано, tcpdump не будет печатать поле replay prevention (защита от воспроизведения). Поскольку в спецификации ESP/AH нет поля версии протокола, tcpdump не может определить версию протокола ESP/AH.

-r Читает трафик из файла, если он был предварительно сохранен параметром -w.

-S Выводит абсолютные, а не относительные порядковые номера TCP.

-s Устанавливает количество байтов пакета, которые будет обрабатывать tcpdump. Пакеты, усеченные из-за данного ограничения, указываются в выходных данных «[|proto]», где proto - это имя уровня протокола, на котором произошло усечение. Обратите внимание, что создание больших моментальных снимков увеличивает время обработки пакетов и фактически уменьшает объем буферизации пакетов. Это может привести к потере пакетов. Вы должны ограничить snaplen наименьшим числом, которое будет захватывать интересующую вас информацию о протоколе. При установке snaplen в 0 устанавливается значение по умолчанию 65535 для обратной совместимости с более старыми версиями tcpdump.

-T Интерпретация пакетов заданного типа. В настоящее время известны следующие типы: aodv (Ad-hoc On-demand Distance Vector protocol), cnfp (протокол Cisco NetFlow), rpc (удаленный вызов процедур), rtp (протокол приложений реального времени), rtcp (протокол управления приложениями реального времени), snmp (простой протокол управления сетью), tftp (простой протокол передачи файлов), vat (Visual Audio Tool) и wb (distributed White Board).

-t Не печатать метку времени в каждой строке дампа.

-tt Печать неформатированной метки времени в каждой строке дампа.

-ttt Печать дельты (микросекундное разрешение) между текущей и предыдущей строками в каждой строке дампа.

-tttt Печать времени вместе с датой в каждой строке дампа.

-ttttt Вывести дельту (микросекундное разрешение) между текущей и первой строкой в каждой строке дампа.

-u Печать недекодированных манипуляторов (handle) NFS.

-U Захваченные пакеты будут сразу сохраняться в файл, а иначе копиться в памяти до тех пор, пока она не закончится. Флаг -U не будет поддерживаться, если tcpdump был собран с более старой версией libpcap, в которой отсутствует функция pcap_dump_flush ().

-v Печатает более подробную информацию (TTL; ID; общая длина заголовка, а также его параметры; производит проверку контрольных сумм IP и ICMP-заголовков). При записи в файл с параметром -w оповещает каждые 10 секунд о количестве перехваченных пакетов.

-vv Еще более подробный вывод. Например, дополнительные поля печатаются из ответных пакетов NFS, а пакеты SMB полностью декодируются.

-vvv Вывод максимально подробной информации. Например, опции telnet SB… SE отображаются полностью. С -X Telnet также отображаются в шестнадцатеричном формате.

-w Записывать необработанные пакеты в файл, а не анализировать и выводить их. Позже они могут быть напечатаны с опцией -r. Стандартный вывод используется, если файл «-». Преимущество использования данного способа по сравнению с обычным перенаправлением в файл является высокая скорость записи и возможность чтения подобных данных другими программами, например snort, но этот файл нельзя прочитать человеку. Смотрите pcap-savefile (5) для описания формата файла.

-W Используется вместе с опцией -C, это ограничивает количество созданных файлов указанным числом, и начнет перезаписывать файлы с самого начала, создавая таким образом ротацию буфера.

-x Выводит данные каждого пакета (за исключением заголовка канального уровня) в шестнадцатеричном формате.

-xx Аналогично -x, но включает в себя заголовок канального уровня

-X Выводит данные каждого пакета (за исключением заголовка канального уровня) в шестнадцатеричном и ASCII-формате. Это очень удобно для анализа новых протоколов.

-XX Аналогично -X, но включает в себя заголовок канального уровня.

-y Устанавливает тип канального уровня, используемого при захвате пакетов.

-z Используется вместе с опциями -C или -G, это заставит tcpdump запустить «командный файл», где файл - это файл сохранения, закрываемый после каждой ротации. Например, указание -z gzip или -z bzip2 будет сжимать каждый файл сохранения с помощью gzip или bzip2. Обратите внимание, что tcpdump будет запускать команду параллельно с захватом, используя самый низкий приоритет, чтобы это не нарушало процесс захвата. И если вы хотите использовать команду, которая сама принимает флаги или другие аргументы, вы всегда можете написать сценарий оболочки, который примет имя файла сохранения в качестве единственного аргумента, создаст флаги и аргументы и выполнит команду, которую вы хотите.

-Z Удаляет привилегии (если root) и меняет идентификатор пользователя на пользователя, а идентификатор группы на основную группу пользователей. Это поведение также может быть включено по умолчанию во время компиляции. выражение выбирает, какие пакеты будут сброшены. Если выражение не указано, все пакеты в сети будут сброшены. В противном случае будут выгружаться только пакеты, для которых выражение «true». Синтаксис выражения см. В разделе pcap-filter (7). Аргументы выражения могут быть переданы в tcpdump как один аргумент или как несколько аргументов, в зависимости от того, что более удобно. Как правило, если выражение содержит метасимволы Shell, его проще передать в виде одного аргумента в кавычках. Несколько аргументов объединяются с пробелами перед анализом.

  • blog/tcpdump_sip.txt
  • Последние изменения: 2020/01/14