Добрый день!
Используем tcpdump для диагностики sip и выглядит он примерно так:

90.107.249.222.5468 > 90.107.248.2.5060: SIP, length: 468
        OPTIONS sip:2210224@90.107.249.222:5060 SIP/2.0
        Via: SIP/2.0/UDP 90.107.249.222:5468;rport;branch=z9hG4bK-o26268163942656145886888
        From: <sip:90.107.249.222>;tag=26268163942656145886686
        To: <sip:2210224@89.107.249.222>
        Call-ID: 1424-88870-790006
        CSeq: 780424 OPTIONS
        User-Agent: Eltex smg_pa_sip 3.2.1.42
        Max-Forwards: 70
        Allow: INVITE, ACK, BYE, CANCEL, PRACK, REGISTER, INFO, REFER, NOTIFY, OPTIONS, UPDATE
        Supported: 100rel, replaces
        Content-Length: 0

но вот в чем проблема, когда порт источника и назначения нестандартный и отличается от 5060, выглядит он вот так:

17:14:34.025921 IP (tos 0x60, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 859)
    90.107.249.222.5468 > 90.107.248.2.1442: UDP, length 831
17:14:34.080314 IP (tos 0x0, ttl 63, id 12718, offset 0, flags [none], proto UDP (17), length 412)
    90.107.248.2.1442 > 90.107.249.222.5468: UDP, length 384
17:14:34.087907 IP (tos 0x0, ttl 63, id 12719, offset 0, flags [none], proto UDP (17), length 495)

как то можно его как то настроить, чтобы вывод был правильный как в примере вверху?

• tcpdump для sip,поросёнок_петя, 17:59 , 16-Фев-15
• tcpdump для sip,fail, 18:10 , 16-Фев-15
  • tcpdump для sip,Fazatron, 10:23 , 17-Фев-15
    • tcpdump для sip,Fazatron, 10:27 , 17-Фев-15
    • tcpdump для sip,fail, 10:47 , 17-Фев-15
      • tcpdump для sip,Fazatron, 13:48 , 17-Фев-15
        • tcpdump для sip,fail, 15:14 , 17-Фев-15
          • tcpdump для sip,Fazatron, 16:01 , 17-Фев-15
            • tcpdump для sip,fail, 18:13 , 17-Фев-15

man tcpdump до полного просветления

хинт опция -A и некоторые другие

> Добрый день!

И вам добрый час.

> но вот в чем проблема, когда порт источника и назначения нестандартный и
> отличается от 5060, выглядит он вот так:
> 17:14:34.025921 IP (tos 0x60, ttl 64, id 0, offset 0, flags [DF],
> proto UDP (17), length 859)
>     90.107.249.222.5468 > 90.107.248.2.1442: UDP, length 831
> 17:14:34.080314 IP (tos 0x0, ttl 63, id 12718, offset 0, flags [none],
> proto UDP (17), length 412)
>     90.107.248.2.1442 > 90.107.249.222.5468: UDP, length 384
> 17:14:34.087907 IP (tos 0x0, ttl 63, id 12719, offset 0, flags [none],
> proto UDP (17), length 495)

По сущecтвy:
настройте полный вывод в tcpdump`e и/или wireshark`e,
а то знаете ли гадать - не перегадать,
что в этих октетах

length 859 <<<<<<<<<<
и
length 495 <<<<<<<<<<

> как то можно его как то настроить, чтобы вывод был правильный как
> в примере вверху?

имо, соответствующие рук-во к анализатору трафика

Попытайтесь проанализировать с помощью wireshark`oм - вроде его парсер SIP`a должен проработать .

P.S.:
Вceвышний милoвaл плотно пеpeceкатьcя с этой бинapно-текстовой хренью (SIP) эмуляции каналов на пакетах

>[оверквотинг удален]
> и
> length 495 <<<<<<<<<<
>> как то можно его как то настроить, чтобы вывод был правильный как
>> в примере вверху?
> имо, соответствующие рук-во к анализатору трафика
> Попытайтесь проанализировать с помощью wireshark`oм - вроде его парсер SIP`a должен проработать
> .
> P.S.:
> Вceвышний милoвaл плотно пеpeceкатьcя с этой бинapно-текстовой хренью (SIP) эмуляции каналов
> на пакетах

Дело в том что tcpdump вшит в железяку (транковый шлюз) и да есть возможность делать дампы из веб-морды в файл и открывать wireshark`oм, но это не оперативно. хотелось бы сразу видеть результат.

-A частично помогла, но все равно как то кривовато выводит) спс за наводку будем искать дальше.

> Дело в том что tcpdump вшит в железяку (транковый шлюз) и да
> есть возможность делать дампы из веб-морды в файл и открывать wireshark`oм,
> но это не оперативно. хотелось бы сразу видеть результат.

Если железка позволяет прозеркалить трафик - то перенаправьте на нужный хост для онлайн трассировки - для анализа более свежими версиями.

>> Дело в том что tcpdump вшит в железяку (транковый шлюз) и да
>> есть возможность делать дампы из веб-морды в файл и открывать wireshark`oм,
>> но это не оперативно. хотелось бы сразу видеть результат.
> Если железка позволяет прозеркалить трафик - то перенаправьте на нужный хост для
> онлайн трассировки - для анализа более свежими версиями.

более свежие версии так же отображают! у меня например версия 4.5.1 а вывод такой же сжатый((

> более свежие версии так же отображают! у меня например версия 4.5.1 а
> вывод такой же сжатый((

в смысле tcpdump (4.5.1) ?

надобно еще попытаться пройтись по трафику wireshark`om, вapиaнтов не много:
- завернуть трафик с железки непосредственно
- M(H)ITM - в смысле, хост по середине

вопрос риторический - эта возня с работой связана ?

P.S.:

Да уж, миловала меня фортуна от знакомства с этой хренью.

>> более свежие версии так же отображают! у меня например версия 4.5.1 а
>> вывод такой же сжатый((
> в смысле tcpdump (4.5.1) ?
> надобно еще попытаться пройтись по трафику wireshark`om, вapиaнтов не много:
>  - завернуть трафик с железки непосредственно
>  - M(H)ITM - в смысле, хост по середине
> вопрос риторический - эта возня с работой связана ?

Да, с работой( ну приходится рожать pcap через веб-интерфейс, и шарком читать только так, но почему в tcpdump не предусмотрели что порты могут отличатся от 5060? ((

> Да, с работой( ну приходится рожать pcap через веб-интерфейс, и шарком читать
> только так, но почему в tcpdump не предусмотрели что порты могут
> отличатся от 5060? ((

Хм, имо, здесь не столько разрабы tcpdump виновны,
сколько *доны(проставить нужый префикс), пропихнувшие ст0ндарт по SIP.

Это ж надо было такое вывалить:

- перенести все хворячки каналов на пакеты
- контрольный выстрел: бинарно-текствой хренью полить
- ну и ишо возможность каждому вендору со своими трактовками залезть