Analizar la señalización SIP con TCPdump y Wireshark

Versión para impresiónSend by email

En muchas ocasione les habrá tocado tener que analizar la señalización SIP para encontrar el problema que les estaba causando un mal funcionamiento de su PBX (¿Asterisk?).

Muchos de ustedes lo habrán hecho con Ngrep, algunos con TCPdump, otros con Tshark (la versión textual de Wireshark).

Se habrán dado cuenta que quizás esta no es la forma más cómoda de leer los paquetes SIP.

Una solución es utilizar TCPdump para la captura de la señalización SIP guardando los paquetes en un archivo y luego importar el archivo en la versión desktop de Wireshark (para Windows, MacOS y Linux).

Primero se capturan los paquetes SIP con TCPdump:

tcpdump -i eth0 -n -s 0 port 5060 -vvv -w /tmp/captura

  • -i tarjeta de red donde se quiere capturar los paquetes
  • -n no se convierten las direcciones IP en nombres de dominio
  • -s cuanto bytes capturar para cada paquete. 0 significa que no se ponen limites
  • -vvv el nivel de verbosidad en los paquetes capturados
  • -w guardar los paquetes en un archivo en formato RAW

Se efectúa, por ejemplo, una llamada desde una extensión a otra y luego se termina la captura de los paquetes (CRTL-C)

Se descarga el archivo captura en el computador donde está instalado Wireshark (en Windows se puede usar WinSCP).

Se abre Wireshark y se carga el archivo captura desde el menú File –> Open

Aparecerá:

Captura

Es decir la señalización SIP de la llamada.

Seleccionando una de las líneas, se obtendrá información más detallada:

Captura

Captura

Fuente: Blog John

Comentarios

Aporte

Buen día,


Les comparto un filtro interesante para cuando se requiere
hacer trazas con el tcpdump y es necesario limitarnos a solo 2 IP. Por
ejemplo para cuando se hace con proveedores de telefonía externos, o un
teléfono específicamente.

tcpdump -pi eth0 -s0 -w sip.cap \(dst 192.168.1.1 or 205.16.17.18\)
and \(src 192.168.1.1 or 204.16.17.18\) -vvv

En este ejemplo, la IP 192.168.1.1 es del servidor Asterisk y la IP
205.16.17.18 es el proveedor de telefonía externo.

Re: Aporte

Muchas gracias por tu aporte.

Saludos

En este filtro como colocaste

En este filtro como colocaste tu los parámetros que usaste en el cliente y en el servidor?y ese filtro que usaste es para dos direcciones 204.16.17.18 y 205.16.17.18 que son distintas? también esos filtros se pueden hacer para cualquier captura es decir cuando captura uno video?

Analizar la señalización SIP con TCPdump y Wireshark

Primero que nada que buenos aportes gracias por los mismos.

Mi duda en este aspecto es si hay que realizar alguna modificacion al modem para que envie dicho trafico por el puerto ethernet a mi laptop o solo se debe realizar la ejecucion directa sin modificar algun aspecto ya sea de modem o de la computadora.

Les agradezco y quedo en espera de su respuesta

Distribuir contenido Distribuir contenido