Analizar la señalización SIP con TCPdump y Wireshark

En muchas ocasione les habrá tocado tener que analizar la señalización SIP para encontrar el problema que les estaba causando un mal funcionamiento de su PBX (¿Asterisk?).

Muchos de ustedes lo habrán hecho con Ngrep, algunos con TCPdump, otros con Tshark (la versión textual de Wireshark).

Se habrán dado cuenta que quizás esta no es la forma más cómoda de leer los paquetes SIP.

Una solución es utilizar TCPdump para la captura de la señalización SIP guardando los paquetes en un archivo y luego importar el archivo en la versión desktop de Wireshark (para Windows, MacOS y Linux).

Primero se capturan los paquetes SIP con TCPdump:

tcpdump -i eth0 -n -s 0 port 5060 -vvv -w /tmp/captura

  • -i tarjeta de red donde se quiere capturar los paquetes
  • -n no se convierten las direcciones IP en nombres de dominio
  • -s cuanto bytes capturar para cada paquete. 0 significa que no se ponen limites
  • -vvv el nivel de verbosidad en los paquetes capturados
  • -w guardar los paquetes en un archivo en formato RAW

Se efectúa, por ejemplo, una llamada desde una extensión a otra y luego se termina la captura de los paquetes (CRTL-C)

Se descarga el archivo captura en el computador donde está instalado Wireshark (en Windows se puede usar WinSCP).

Se abre Wireshark y se carga el archivo captura desde el menú File –> Open

Aparecerá:

Captura

Es decir la señalización SIP de la llamada.

Seleccionando una de las líneas, se obtendrá información más detallada:

Captura

Captura

Fuente: Blog John

Vota el Articulo: 

Sin votos (todavía)
Evalúa la calidad del articulo

4 comentarios

En este filtro como colocaste

En este filtro como colocaste tu los parámetros que usaste en el cliente y en el servidor?y ese filtro que usaste es para dos direcciones 204.16.17.18 y 205.16.17.18 que son distintas? también esos filtros se pueden hacer para cualquier captura es decir cuando captura uno video?

Analizar la señalización SIP con TCPdump y Wireshark

Primero que nada que buenos aportes gracias por los mismos.

Mi duda en este aspecto es si hay que realizar alguna modificacion al modem para que envie dicho trafico por el puerto ethernet a mi laptop o solo se debe realizar la ejecucion directa sin modificar algun aspecto ya sea de modem o de la computadora.

Les agradezco y quedo en espera de su respuesta

Suscribirse a Comentarios de "Analizar la señalización SIP con TCPdump y Wireshark" Suscribirse a VozToVoice - Todos los comentarios