Так удобно снимать дамп вызова для последущего анализа в wireshark
только сигнализация
tcpdump -nqt -s 0 -A -i eth0 port 5060
tcpdump -i eth0 -n -s 0 port 5060 -vvv -w file_dump.pcap - c выводом на экран
tcpdump -i eth0 -s 0 port 5060 -w file_dump2.pacap
весть трафик к хосту, в том чиcле rtp
tcpdump -i eth0 -s 0 host 10.1.1.1 -w full_dump.pcap
-vvv максимальная детализация
-n работать только с айпи без ДНС
-s 0 захватывать полные пакеты
-w запись в файл
С упаковкой каждый час
tcpdump -pni eth0 -s65535 -G 3600 -w 'trace_%Y-%m-%d_%H:%M:%S.pcap'
Упаковкой по 100Мб
tcpdump -pni eth0 -s65535 -G 3600 -w 'trace_%Y-%m-%d_%H:%M:%S.pcap' -z gzip
tcpdump -nqt -s 0 -A -i eth0 port 5060
where:
-n do not convert IP address to DNS names
-q be quite, print less output informations
-t do not print timestamps
-s capture number of bytes from a packet, 0 = default iptions which is max 65535, or simply a whole packet
-A prints each packet in ASCI
-vvv be very very verbose
-i use interface to capture on
port 5060 listen for traffic ort 5060 traffic for (source and destination)
tcpdump -nq -s 0 -i eth0 -w /tmp/dump.pcap port 5060
tcpdump -nqt -s 0 -A -i eth1 host 172.22.77.38 and port 5060
Дампим сип траф в определенной сети по определенным портам
tcpdump -i ens192 -n -s 0 -vvv -C 500 -w sip_dump_vtb_$_now.pcap net 172.16.20.0/24 and dst port 5060 or 5080
