1. дома
  2. Вопрос и ответ
  3. показать агент пользователя SIP и IP только TCPDUMP

показать агент пользователя SIP и IP только TCPDUMP

2016-11-22 8 views
0

Я играл с некоторыми командами TCPDUMP ипоказать агент пользователя SIP и IP только TCPDUMP

задать расширенный 
tcpdump -i eth1 port sip -l -A | egrep -i 'User-Agent'

я оставил это работает на сервере PBx звездочки, и я могу видеть все useragents течет вниз по экрану.

Что бы я хотел видеть, это пользовательский агент и ip-адрес sip-клиента , а затем игнорировать несколько различных типов пользовательских агентов, чтобы, когда я закончил, я вижу только IP-адрес и пользовательские агенты, экран неизвестного трафика. Вот пример полных пакетов sip из команды без egrep. У меня нет примера, где пользовательский агент sipcli/v1.8 может быть позже, я могу это получить.

07:54:24.358716 IP xxx.xx.xx.xxx.5060 > 10.1.44.10.5060: SIP, length: 543 
EH.;.5..8.y..UF.&.. 
.....'!SSIP/2.0 401 Unauthorized 
Via: SIP/2.0/UDP 10.1.44.10:5060;branch=z9hG4bK49b7b7d0;received=10.1.44.10;rport=5060 
From: <sip:[email protected]>;tag=as5afba40a 
To: <sip:[email protected]>;tag=as14777e11 
Call-ID: [email protected] 
CSeq: 604 REGISTER 
Server: voip.ms 
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE 
Supported: replaces, timer 
WWW-Authenticate: Digest algorithm=MD5, realm="voipprovider3.domain.com", nonce="7810c539" 
Content-Length: 0 


07:54:24.384512 IP 10.1.44.10.5060 > xxx.xx.xx.xxx.5060: SIP, length: 558 
E`[email protected]&.. 
.UF......6..REGISTER sip:voipprovider3.domain.com SIP/2.0 
Via: SIP/2.0/UDP 10.1.44.10:5060;branch=z9hG4bK6ef2d7d2;rport 
Max-Forwards: 70 
From: <sip:[email protected]>;tag=as5afba40a 
To: <sip:[email protected]> 
Call-ID: [email protected] 
CSeq: 605 REGISTER 
User-Agent: unknown 
Authorization: Digest username="12345_3", realm="voipprovider3.domain.com", algorithm=MD5, uri="sip:voipprovider3.domain.com", nonce="7810c539", response="5d6ac715deff942d1a3b22b39f83c0b1" 
Expires: 120 
Contact: <sip:[email protected]:5060> 
Content-Length: 0 


07:54:24.387070 IP xxx.xx.xx.xxx.5060 > 10.1.44.10.5060: SIP, length: 549 
EH.A.6..8.y..UF.&.. 
.....-.GSIP/2.0 200 OK 
Via: SIP/2.0/UDP 10.1.44.10:5060;branch=z9hG4bK6ef2d7d2;received=10.1.44.10;rport=5060 
From: <sip:[email protected]>;tag=as5afba40a 
To: <sip:[email protected]>;tag=as14777e11 
Call-ID: [email protected] 
CSeq: 605 REGISTER 
Server: voip.ms 
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE 
Supported: replaces, timer 
Expires: 120 
Contact: <sip:[email protected]:5060>;expires=120 
Date: Tue, 22 Nov 2016 12:54:24 GMT 
Content-Length: 0 


07:54:24.813579 IP 10.1.44.10.5060 > xxx.xx.xx.xxx.5060: SIP, length: 551 
E`[email protected]&.. 
.UF....../..REGISTER sip:voipprovider.domain.com SIP/2.0 
Via: SIP/2.0/UDP 10.1.44.10:5060;branch=z9hG4bK3b0c2176;rport 
Max-Forwards: 70 
From: <sip:[email protected]>;tag=as5b82aabf 
To: <sip:[email protected]> 
Call-ID: [email protected] 
CSeq: 604 REGISTER 
User-Agent: unknown 
Authorization: Digest username="12345", realm="voipprovider1.domain.com", algorithm=MD5, uri="sip:voipprovider.domain.com", nonce="236a06e2", response="13d3528c45792fb242a47f1c18b43879" 
Expires: 120 
Contact: <sip:[email protected]:5060> 
Content-Length: 0 


07:54:24.816319 IP xxx.xx.xx.xxx.5060 > 10.1.44.10.5060: SIP, length: 539 
EH.7Jy..7.Ou.UF.&.. 
.....# .SIP/2.0 401 Unauthorized 
Via: SIP/2.0/UDP 10.1.44.10:5060;branch=z9hG4bK3b0c2176;received=10.1.44.10;rport=5060 
From: <sip:[email protected]>;tag=as5b82aabf 
To: <sip:[email protected]>;tag=as15b40d21 
Call-ID: [email protected] 
CSeq: 604 REGISTER 
Server: voip.ms 
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE 
Supported: replaces, timer 
WWW-Authenticate: Digest algorithm=MD5, realm="voipprovider1.domain.com", nonce="168d0f22" 
Content-Length: 0 


07:54:24.842388 IP 10.1.44.10.5060 > xxx.xx.xx.xxx.5060: SIP, length: 551 
E`[email protected]&.. 
.UF....../..REGISTER sip:voipprovider.domain.com SIP/2.0 
Via: SIP/2.0/UDP 10.1.44.10:5060;branch=z9hG4bK69d58133;rport 
Max-Forwards: 70 
From: <sip:[email protected]>;tag=as5b82aabf 
To: <sip:[email protected]> 
Call-ID: [email protected] 
CSeq: 605 REGISTER 
User-Agent: unknown 
Authorization: Digest username="12345", realm="voipprovider1.domain.com", algorithm=MD5, uri="sip:voipprovider.domain.com", nonce="168d0f22", response="724e79293e8d587a2b8106df991486d7" 
Expires: 120 
Contact: <sip:[email protected]:5060> 
Content-Length: 0 


07:54:24.899968 IP xxx.xx.xx.xxx.5060 > 10.1.44.10.5060: SIP, length: 545 
EH.=Jz..7.On.UF.&.. 
.....)..SIP/2.0 200 OK 
Via: SIP/2.0/UDP 10.1.44.10:5060;branch=z9hG4bK69d58133;received=10.1.44.10;rport=5060 
From: <sip:[email protected]>;tag=as5b82aabf 
To: <sip:[email protected]>;tag=as15b40d21 
Call-ID: [email protected].0.1.1 
CSeq: 605 REGISTER 
Server: voip.ms 
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE 
Supported: replaces, timer 
Expires: 120 
Contact: <sip:[email protected]:5060>;expires=120 
Date: Tue, 22 Nov 2016 12:54:24 GMT 
Content-Length: 0

Здесь приведен пример egrep и строки с адресами ip на нем. я просто хочу показать только те строки, которые показывают пользовательский агент. это также отображается без useragent.

tcpdump -i eth1 port sip -l -A | egrep -i 'User-Agent|SIP/2.0/UDP' 

Via: SIP/2.0/UDP 10.1.44.10:5060;branch=z9hG4bK6fd0af5a;received=10.1.44.10;rport=5060 
Via: SIP/2.0/UDP 158.85.70.151:5060;branch=z9hG4bK64939182;rport 
User-Agent: VoipProvider 
Via: SIP/2.0/UDP 158.85.70.151:5060;branch=z9hG4bK64939182;received=158.85.70.151;rport=42872 
Via: SIP/2.0/UDP 10.1.44.10:5060;branch=z9hG4bK600d27fe;rport 
User-Agent: Asterisk PBX 
Via: SIP/2.0/UDP 10.1.44.10:5060;branch=z9hG4bK600d27fe;received=10.1.44.10;rport=5060 
Via: SIP/2.0/UDP 10.1.44.10:5060;branch=z9hG4bK374f1905;rport 
User-Agent: Asterisk PBX 
Via: SIP/2.0/UDP 10.1.44.10:5060;branch=z9hG4bK374f1905;received=10.1.44.10;rport=5060 
Via: SIP/2.0/UDP 10.1.44.10:5060;branch=z9hG4bK4ac13138;rport 
User-Agent: Asterisk PBX 
Via: SIP/2.0/UDP 10.1.44.10:5060;branch=z9hG4bK4ac13138;received=10.1.44.10;rport=5060 
Via: SIP/2.0/UDP 10.1.44.10:5060;branch=z9hG4bK370927b1;rport 
User-Agent: Asterisk PBX 
Via: SIP/2.0/UDP 10.1.44.10:5060;branch=z9hG4bK370927b1;received=10.1.44.10;rport=5060 
Via: SIP/2.0/UDP 185.40.4.96:5070;branch=z9hG4bK-ac834e0a1d92fc96bb7b4da395a5ead5;rport 
User-Agent: sipcli/v1.8 
Via: SIP/2.0/UDP 185.40.4.96:5070;branch=z9hG4bK-ac834e0a1d92fc96bb7b4da395a5ead5;received=185.40.4.96;rport=5070 
Via: SIP/2.0/UDP 185.40.4.96:5070;branch=z9hG4bK-ac834e0a1d92fc96bb7b4da395a5ead5;received=185.40.4.96;rport=5070 
Via: SIP/2.0/UDP 10.1.44.10:5060;branch=z9hG4bK7a1517ef 
User-Agent: Asterisk PBX 
Via: SIP/2.0/UDP 10.1.44.10:5060;branch=z9hG4bK7a1517ef;received=10.1.44.10;rport=5060 
Via: SIP/2.0/UDP 185.40.4.96:5070;branch=z9hG4bK-ac834e0a1d92fc96bb7b4da395a5ead5;received=185.40.4.96;rport=5070 
Via: SIP/2.0/UDP 10.1.44.10:5060;branch=z9hG4bK425ae339 
User-Agent: Asterisk PBX 
Via: SIP/2.0/UDP 10.1.44.10:5060;branch=z9hG4bK425ae339;received=10.1.44.10;rport=5060 
Via: SIP/2.0/UDP 185.40.4.96:5070;branch=z9hG4bK-ac834e0a1d92fc96bb7b4da395a5ead5;received=185.40.4.96;rport=5070 
Via: SIP/2.0/UDP 185.40.4.96:5070;branch=z9hG4bK-ac834e0a1d92fc96bb7b4da395a5ead5;received=185.40.4.96;rport=5070 
Via: SIP/2.0/UDP 185.40.4.96:5070;branch=z9hG4bK-ac834e0a1d92fc96bb7b4da395a5ead5;received=185.40.4.96;rport=5070 
Via: SIP/2.0/UDP 10.1.44.10:5060;branch=z9hG4bK7ac74b27 
User-Agent: Asterisk PBX 
Via: SIP/2.0/UDP 10.1.44.10:5060;branch=z9hG4bK7ac74b27;received=10.1.44.10;rport=5060 
Via: SIP/2.0/UDP 185.40.4.96:5070;branch=z9hG4bK-ac834e0a1d92fc96bb7b4da395a5ead5;received=185.40.4.96;rport=5070 
Via: SIP/2.0/UDP 185.40.4.96:5070;branch=z9hG4bK-ac834e0a1d92fc96bb7b4da395a5ead5;received=185.40.4.96;rport=5070 
Via: SIP/2.0/UDP 185.40.4.96:5070;branch=z9hG4bK-ac834e0a1d92fc96bb7b4da395a5ead5;received=185.40.4.96;rport=5070 
Via: SIP/2.0/UDP 185.40.4.96:5070;branch=z9hG4bK-ac834e0a1d92fc96bb7b4da395a5ead5;received=185.40.4.96;rport=5070 
Via: SIP/2.0/UDP 185.40.4.96:5070;branch=z9hG4bK-ac834e0a1d92fc96bb7b4da395a5ead5;received=185.40.4.96;rport=5070 
Via: SIP/2.0/UDP 10.1.44.10:5060;branch=z9hG4bK7723c051 
User-Agent: Asterisk PBX

Я хотел бы увидеть что-то вроде этого

sipcli/v1.8 185.40.4.96

источник

2016-11-22 user2630659

+2

добавьте образец ввода текста из команды tcpdump и покажите нам ожидаемый результат из этого текста ... – Sundeep

+0

i egrep it down, но он по-прежнему показывает много дополнительных. Я хочу просто увидеть ips, которые не являются одним из моих телефонов, моего провайдера или моей телефонной системы. просто все остальное. – user2630659

+0

Вы считали использование tshark с фильтром diplay? –

ответ

1

вы могли бы попробовать что-то вроде этого:

tshark -Y 'sip.User-Agent == "foo bar"' -T fields -e sip.User-Agent -e sip.Contact

иметь в виду, что агент пользователя не является обязательным в выпейте пакетах.

источник

2016-11-22 16:04:37

 Смежные вопросы

  • Нет связанных вопросов^_^