Hallo wertes Forum,
ich versuche seit geraumer Zeit, Telefongespräche mit tcpdump aufzuzeichnen. Leider werden Daten nur in ausgehender Richtung aufgezeichnet. Wenn ich über die grafische Oberfläche eine „capture“ starte, werden Daten in beide Richtungen aufgezeichnet.
Folgende Besonderheiten sind mir aufgefallen:
Beim Capture über die GUI wird die IP-Adresse des DSL Interfaces (also die Öffentliche) aufgezeichnet.
Beim Aufzeichnen mit tcpdump werden, obwohl „-i dsl“ angegeben wurde, nur Daten mit der IP-Adresse von eth0 aufgezeichnet. Das dsl-Interface ist in meiner FB das vierte Interface. Ein „-i 4“ führt leider zum selben Ergebnis.
Wird, während ein Capture über die GUI Daten aufzeichnet, ein tcpdump gestartet, werden auch von tcpdump Telefongespräche in beide Richtungen aufgezeichnet.
Meine Vermutung ist daher, dass das dsl-Interface keinen promiscuous mode (pm) unterstützt oder dieser zumindest nicht aktiviert ist. Während eines aktiven captures scheint diese der Fall zu sein.
Falls meine Vermutung zutrifft: Wie lässt sich der pm aktivieren?
Sollte dies nicht möglich sein, wäre eventuell ein umleiten des RTP-Verkehrs (udp port 7078) mit Hilfe von iptables und prerouting über ein virtuelles Interface eine mögliche Lösung.
Ich benutze eine FB 7390 mit aktueller Firmware, falls dies von Interesse sein sollte. Tcpdump rufe ich wie folgt auf:
tcpdump -i dsl -vv -s0 port 5060 or udp portrange 7078-7110 -w dump.cap
Jede Hilfe ist willkommen, ich bin mit meinem Latein wirklich am Ende…
Gruß
Janick
ich versuche seit geraumer Zeit, Telefongespräche mit tcpdump aufzuzeichnen. Leider werden Daten nur in ausgehender Richtung aufgezeichnet. Wenn ich über die grafische Oberfläche eine „capture“ starte, werden Daten in beide Richtungen aufgezeichnet.
Folgende Besonderheiten sind mir aufgefallen:
Beim Capture über die GUI wird die IP-Adresse des DSL Interfaces (also die Öffentliche) aufgezeichnet.
Beim Aufzeichnen mit tcpdump werden, obwohl „-i dsl“ angegeben wurde, nur Daten mit der IP-Adresse von eth0 aufgezeichnet. Das dsl-Interface ist in meiner FB das vierte Interface. Ein „-i 4“ führt leider zum selben Ergebnis.
Wird, während ein Capture über die GUI Daten aufzeichnet, ein tcpdump gestartet, werden auch von tcpdump Telefongespräche in beide Richtungen aufgezeichnet.
Meine Vermutung ist daher, dass das dsl-Interface keinen promiscuous mode (pm) unterstützt oder dieser zumindest nicht aktiviert ist. Während eines aktiven captures scheint diese der Fall zu sein.
Falls meine Vermutung zutrifft: Wie lässt sich der pm aktivieren?
Sollte dies nicht möglich sein, wäre eventuell ein umleiten des RTP-Verkehrs (udp port 7078) mit Hilfe von iptables und prerouting über ein virtuelles Interface eine mögliche Lösung.
Ich benutze eine FB 7390 mit aktueller Firmware, falls dies von Interesse sein sollte. Tcpdump rufe ich wie folgt auf:
tcpdump -i dsl -vv -s0 port 5060 or udp portrange 7078-7110 -w dump.cap
Jede Hilfe ist willkommen, ich bin mit meinem Latein wirklich am Ende…
Gruß
Janick
