Wireshark remote Linux Machine Connection

Подключение Wireshark на Windows к удаленному Linux хосту, для захвата и анализа SIP и RTP трафика.


Wireshark Windows pipe ssh Linux tcpdump

Все пакеты

 "C:\Program Files\putty\PLINK.EXE" -ssh -pw PASSWORD USER@HOST -P 22 "tcpdump -ni eth0 -s 0 -w - not port 22" | "C:\Program Files\Wireshark\wireshark.exe" -k -i -

SIP (udp 5060)

 "C:\Program Files\putty\PLINK.EXE" -ssh -pw PASSWORD USER@HOST -P 22 "tcpdump -ni eth0 -s 0 -w - udp port 5060 " | "C:\Program Files\Wireshark\wireshark.exe" -k -i -

SIP и RTP (udp 5060, 10000-20000)

 "C:\Program Files\putty\PLINK.EXE" -ssh -pw PASSWORD USER@HOST -P 22 "tcpdump -ni eth0 -s 0 -w - udp port 5060 or udp portrange 10000-20000" | "C:\Program Files\Wireshark\wireshark.exe" -k -i -

где:

"C:\Program Files\putty\PLINK.EXE" - Путь к приложению plink в вашей системе.

"C:\Program Files\Wireshark\wireshark.exe" - Путь к приложению Wireshark.

PASSWORD USER@HOST - ssh пароль, имя пользователя и адрес

-P - порт ssh (22)

eth0 - ethernet интерфейс со стороны Linux

udp port 5060 or udp portrange 10000-20000 - протокол и порт сигнализации SIP и протокол и диапазон портов RTP (tcp port 5061 or tcp portrange 10500-38000)

Фильтры

Команда Значение Пример использования
== равенство ip.dst == 192.168.0.10
!= Не равно udp.dst != 5060
< меньше чем ip.ttl < 24
> больше чем frame.len > 10
меньше или равно frame.len ⇐ 0x20
>= больше или равно tcp.analysis.bytes_in_flight >= 1000
matches регулярные выражения frame matches "[Aa][Ss][Ss]"
contains содержит dns.resp.name contains google

примеры:

Request INVITE to IP

 (ip.dst == 192.168.0.111) && (sip.Method == "INVITE")

Request REGISTER from IP

 (ip.src == 192.168.0.111) && (sip.Method == "REGISTER")

Wireshark SIP Filter reference

SIP response codes (Busy here)

 sip.Status-Code == 486

Not 1XX & 2XX response

 sip.Status-Code > 200

List of SIP response codes

SIP user 3944

 sip contains  "sip:3944"   

SIP user range 3944 & 3945

 sip matches  "sip:394[45]"

SIP user range 3…

 sip matches  "sip:3"

Extensions 810…

sip contains "INVITE sip:810" 

Screenshots

Telephony > Voip Calls

Если захвачен RTP трафик, можно прослушать разговор.

wireshark VoIP Calls

~~socialite~~

Только авторизованные участники могут оставлять комментарии.
  • soft/sip_tools/wireshark.txt
  • Последние изменения: 2019/01/25