Иногда требуется снять дамп SIP с голосом для дальнейшего анализа качества или же просмотра направления rtp трафика, но онлайн анализ по каким то причинам не получается сделать. В таком случае для этого удобнее всего использовать tshark, что бы далее послушать вызов в Wireshark или же sngrep.
Я это делаю следующей командой
|
1 |
tshark -i eth0 -w /root/dump.pcap -f "(udp port 5060) or (udp[1] & 1 != 1 && udp[3] & 1 != 1 && udp[8] & 0x80 == 0x80 && length < 250)" -R "ip.addr == 8.8.8.8" |
,где /root/dump.pcap — файл дампа, а ip.addr == 8.8.8.8 — ip адрес партнера.
Так же нужно быть очень внимательным, если трафика от (на) партнера очень много, то тогда дамп может получится в несколько гигабайт за считанные секунды. И в таком случае лучше добавить еще фильтры, например по полю From или To.